Ключевые тенденции взломов: эволюция угроз

В 2025 году киберугрозы продолжают эволюционировать, становясь более изощренными и целенаправленными, особенно в условиях геополитической напряженности. Согласно отчету ENISA Threat Landscape 2025, глобальный рост инцидентов составил значительную долю, с фокусом на фишинг (60%), эксплуатацию уязвимостей (21,3%) и шифровальщики.

В России, по данным Positive Technologies за I–II кварталы 2025 года, количество успешных атак выросло на 27%, с преобладанием применения вредоносного ПО (63%), социальной инженерии (50%) и эксплуатации уязвимостей (31%).

Эти тенденции особенно опасны для малых и средних компаний, где ограниченные ресурсы на ИБ приводят к высоким рискам утечек и простоев, в то время как крупные организации чаще инвестируют в защиту. Без регулярного тестирования на проникновение (пентеста) компании рискуют упустить уязвимости, что может обернуться финансовыми потерями и штрафами, но правильно спланированный пентест — доступный инструмент даже для МСП, позволяющий выявить ключевые слабые места без чрезмерных затрат.

Без регулярного тестирования на проникновение (пентеста) компании рискуют упустить уязвимости, что может обернуться финансовыми потерями и штрафами.

Если есть ощущение, что «нас, конечно, тоже могут ломать, но пока нам везет», лучше один раз посмотреть вместе с нами на инфраструктуру глазами атакующего и выбрать формат пентеста вместе со специалистами.

Ransomware остается доминирующей угрозой: по Allianz Commercial, оно вызывает 60% крупных убытков, а в России, согласно Positive Technologies, 49% успешных атак связаны с шифровальщиками, с ростом на 6 п.п. Злоумышленники используют ИИ для автоматизации, комбинируя шифрование с кражей данных для шантажа. В Code Red 2026 подчеркивается рост комбинированных последствий, а в F6 — фокус на промышленность и госучреждения.

Особенно уязвимы малые и средние компании (МСП), где, по данным Verizon (цитируемым в Allianz), вымогательское ПО участвует в 88% утечек данных — в два раза чаще, чем в крупных фирмах (39%). Это проявляется в внезапном шифровании систем, парализующем операции: для малого бизнеса это может быть блокировка бухгалтерии или клиентских баз через фишинг или съемные носители, приводя к выкупу от $500 до $150,000 и простою на дни. В Code Red отмечается, что МСП чаще имеют неполные политики обработки данных, устаревшее ПО и слабую сегментацию сети, что делает их чувствительными к репутационным потерям и заставляет легче соглашаться на уступки вымогателям. Пример: шифровальщик поразил десятки малых фирм в здравоохранении, как клиники "Family Doctor", вызвав утечки пациентских данных и финансовые убытки.

Для средних компаний атаки часто начинаются с компрометации поставщиков, шифруя ERP-системы и приводя к остановке производства — рост операционных нарушений на 13 п.п. (BO Team на промышленные фирмы). Крупные организации сталкиваются с хактивистским вымогательским ПО, сочетающим финансовые мотивы с саботажем, как в атаке на "Stolichnaya" в 2024–2025, приведшей к долгам в 6 млрд руб. и банкротству. Отказ от пентеста увеличивает риск, оставляя уязвимости незамеченными, но пентест, нацеленный на ключевые системы (например, внешний периметр), доступен для МСП и помогает вовремя предотвратить такие инциденты.

Фишинг доминирует (60% в ENISA), с ИИ для создания убедительных дипфейков и персонализированных атак. В Google Cloud Forecast отмечается рост генерируемого ИИ контента; в России F6 фиксирует 7% рост, с рассылками троянов через Telegram (88% случаев). По Kommersant, человеческий фактор вызывает 75% утечек.

В малых и средних компаниях, где обучение ИБ часто минимально, фишинг проявляется как клик на вредоносную ссылку в email или Telegram, приводя к установке вредоносного ПО, краже учетных данных и утечкам — 53% инцидентов с компрометацией email. Для малого бизнеса это может быть имитация звонков от "властей", как в атаках на аптеки "Столички", вызывающая доступ к системам и потерю клиентских данных. Средние фирмы рискуют из-за зависимости от мессенджеров: трояны вроде Remcos RAT крадут данные, проявляясь как необычное поведение аккаунтов и инсайдерские утечки (Cloud Atlas через Office-документы). Крупные компании сталкиваются с APT-фишингом, маскирующимся под доверенные источники, с длительным скрытым присутствием (Sticky Werewolf на госконтракторов).

Без пентеста риски растут: уязвимости в веб-приложениях остаются открытыми, но для МСП доступен базовый пентест на социальную инженерию и внешние интерфейсы, снижающий вероятность успешных атак на 50–70%.

ENISA и Google Cloud отмечают рост компрометаций цепочек (15% убытков в Allianz от CBI). В России Code Red выделяет уязвимости импортозамещения; Positive Technologies — атаки через GitHub/PyPI (Lazarus).

Малые и средние компании часто становятся жертвами косвенных атак: для малого бизнеса как поставщиков это утечка через уязвимые API партнеров, проявляющаяся как неожиданная кража данных и перебои в обслуживании (цепочечные атаки на IT-вендоров). В средних фирмах атака на поставщика (рост вдвое до 4% инцидентов) внедряет вредоносный функционал в ПО, приводя к компрометации инфраструктуры — пример TetraSoft в 2024–2025, поразившая нефтегазовые компании через мониторинг-системы.

Крупные рискуют саботажем КИИ с бэкдорами в коде (REG.RU утечка 750,000 записей; Awaken Likho на промышленность). Отказ от пентеста оставляет цепочки незащищенными, но для МСП аудит поставщиков с пентестом на ключевые интеграции — доступный шаг, минимизирующий риски без полного перестройки ИТ.

ENISA фиксирует 76,7% DDoS от хактивистов; в России Kaspersky описывает кластеры (TWELVE, Head Mare, BlackJack), а F6 — гибридные группы с вымогательством.Для малых и средних компаний хактивизм проявляется как косвенные DDoS через общую инфраструктуру, парализующие сайты и вызывающие потерю клиентов (NoName057(16) на связанные с госресурсы). В средних фирмах сочетается с фишингом (рост на 77,7% ежеквартально), приводя к перегрузке сетей и утечкам (BO Team на телеком). Крупные терпят саботаж с вайперами и шифровальщиками (822 DDoS на госсистемы в феврале 2025; атаки на Лукойл и СБП). Без пентеста DDoS-уязвимости остаются, но для МСП внешний пентест на веб-ресурсы — простой и недорогой способ укрепить защиту.

GenAI Report: 45% небезопасного кода от LLM; LayerX: 40% загрузок в ИИ — чувствительные данные. В России F6 отмечает ПО двойного назначения как вектор.

В малых и средних компаниях использование GenAI без контроля приводит к утечкам: вставка ПДн в чаты или уязвимый код вызывает случайные кражи (фейковые AI-инструменты как DeepSeek). Для средних — эксплуатация в публичных приложениях (SQL-инъекции, CVE-2025-24071 для кражи паролей). Крупные рискуют zero-day в репозиториях (Lazarus в PyPI). Отказ от пентеста усиливает эти риски, но целевой анализ кода и AI-интерфейсов доступен для МСП, предотвращая утечки на ранних этапах.

Утечки данных часто происходят не из-за сложных хакерских схем, а из-за повседневных нарушений контуров защиты — слабых мест в инфраструктуре, процессах и поведении сотрудников, которые злоумышленники эксплуатируют с минимальными усилиями. Согласно аналитическому отчету центра противодействия кибератакам Solar JSOC ГК "Солар" по пентесту за 2024 год, 91% компаний уязвимы к проникновению, где средняя длина успешного вектора атаки составляет всего 2–3 шага, а минимальное время для преодоления внешнего периметра — 1 час. В 31% случаев полный доступ достигается за 1 день, а в среднем — за 1–8 дней для внешних сетей и 1–5 дней для внутренних.

Эти нарушения превращают рутинные операции в каналы утечек, приводя к финансовым потерям, штрафам и репутационным рискам. Ниже разберем ключевые причины на основе данных из отчетов, подчеркивая, как они проявляются в реальных сценариях.

Это одна из самых распространенных уязвимостей: в отчете по пентесту слабые пароли (например, "password", "user1", последовательности цифр или пустые пароли в системах вроде 1С) встречаются в 38% внешних периметров и 57% внутренних сетей. Они служат начальной точкой для 19% успешных векторов атаки на внешнем периметре и 30% для захвата домена внутри.

Проявляется это просто: злоумышленник использует brute-force или словарные атаки, чтобы получить доступ к учетным записям, которые открывают двери к критическим системам, базам данных или даже нескольким доменам (из-за повторного использования паролей в 20% случаев). В результате — утечка конфиденциальной информации без сложных инструментов, всего за несколько шагов. Повторное использование паролей усугубляет проблему, позволяя одной компрометации распространиться на всю сеть.

Устаревшие версии программ (например, Liferay, 1С-Битрикс, Pentaho, Cisco ExpressWay, Microsoft Exchange) с CVE вроде CVE-2020-7961 или CVE-2022-43938 обнаруживаются в 32% внешних и 37% внутренних сетей. Это начало 25% векторов атаки на внешнем периметре. Проявляется как эксплуатация известных дыр: злоумышленник сканирует сеть, находит устаревшее ПО и использует публичные эксплойты для выполнения произвольного кода (24% случаев на внешнем) или повышения привилегий.

Например, уязвимости вроде MS17-010 (EternalBlue) или CVE-2018-0171 позволяют получить доступ к домену за 2–3 шага, приводя к шифрованию данных или краже. Внутренние сети особенно уязвимы из-за некорректной настройки ACL (31%) и шаблонов сертификатов (23%), что облегчает движение по сети.

SQL-инъекции (внедрение кода в запросы к БД) встречаются в 24% внешних периметров и 21% внутренних, часто в веб-приложениях. Недостатки контроля доступа (32% внешних, 23% внутренних) позволяют обходить аутентификацию.

Проявляется как манипуляция запросами для извлечения данных: злоумышленник вводит вредоносный код в формы или API, получая доступ к базам без авторизации. В мобильных приложениях это сочетается с раскрытием отладочной информации (53% серверной части), что дает подсказки для дальнейших атак.

По данным отчета F6, съемные носители (флэш-накопители, внешние HDD) — это физический вектор, рост которого составил 12% в 2025 году. Проявляется как заражение через подключенные устройства: сотрудник вставляет зараженный USB (например, из "зараженных флеш-накопителей"), и вирус распространяется по сети, обходя периметр. ПО двойного назначения (например, инструменты для администрирования с бэкдорами) служит вектором для скрытого доступа, часто в комбинации с социальными атаками. Это превращает офисные устройства в точки входа для программ-вымогателей или стилеров.

В отчете LayerX 2025 подчеркивается, что 41% файлов, загружаемых в хранилища file storage, и 40% в GenAI содержат чувствительную информацию (ПДн и банковские сведения). 82% вставок pastes в AI-инструменты происходят из неуправляемых (личных) аккаунтов, с 77% сотрудников, вставляющих данные в GenAI (22% из них — чувствительные).

Средний сотрудник делает 46 pastes в день, из которых 14 — из non-corporate аккаунтов, и минимум 3 — чувствительные. Проявляется как "невидимая утечка": сотрудники копируют ПДн в ChatGPT (43% случаев, включающих ИИ) или Slack (87% платформ коммуникации не регулируются), где 62% вставок содержат чувствительную информацию. GenAI — #1 канал эксфильтрации (32% утечек корпоративных личных данных), где 4 из 10 случаев содержат чувствительную информацию. Нефедеративный доступ (83% ERP, 71% CRM) делает даже корпоративные логины уязвимыми, создавая слепые зоны.

Эти нарушения — от слабых паролей до неконтролируемых вставок — превращают повседневные действия (подключение USB, вставка в AI, использование старого ПО) в каналы утечек, где проникновение занимает часы или дни. Без пентеста компании остаются слепы к этим рискам, но регулярное тестирование выявляет их своевременно, предотвращая инциденты.

В 2025 году эффективная защита от киберугроз требует комплексного подхода, сочетающего проактивные меры, технологические инструменты и человеческий фактор. Согласно отчету ENISA Threat Landscape 2025, компании, внедряющие многоуровневую оборону, снижают риски успешных атак на 40–60%, а Allianz Commercial подчеркивает, что инвестиции в resilience уменьшают среднюю стоимость инцидента на 2,2 млн долларов.

Для малых и средних компаний (МСП) ключ к успеху — в фокусе на доступных, масштабируемых решениях, таких как регулярный пентест, который не требует огромных бюджетов, но выявляет 80–90% уязвимостей своевременно. Ниже разберем ключевые методы, опираясь на рекомендации из отчетов Positive Technologies, Google Cloud, Kaspersky и свежих источников, таких как CISA и Accenture, с акцентом на практические шаги для противодействия тенденциям взломов.

Если хочется держать руку на пульсе: свежие кейсы взломов, провальные и удачные пентесты, разбор новых техник атак и требований регуляторов мы системно собираем их в нашем Telegram-канале Б-152.

Пентест (тестирование на проникновение) остается ключевым методом для симуляции реальных атак и выявления слабых мест, как рекомендуют ENISA и Google Cloud Cybersecurity Forecast 2024. Регулярные тесты (ежеквартально или ежегодно) снижают риски zero-day уязвимостей и атак на цепочки поставок, позволяя исправить проблемы до эксплуатации.

Для МСП это особенно важно: по данным Positive Technologies, 91% компаний уязвимы, но пентест на внешний периметр (веб-приложения, API) стоит от 200–500 тыс. руб. и окупается за счет предотвращения утечек. Дополните симуляции инцидентов, как советует Allianz: соберите команду для симуляции реагирования на фишинг или внедрение шифровальщика, чтобы отработать координацию и минимизировать время простоя. В CFC подчеркивают, что такие упражнения повышают эффективность реагирования на 30%, помогая быстро реагировать на zero-day атаки.

Начните с автоматизированных сканеров (например, Nessus или OpenVAS), затем перейдите к ручному пентесту для сложных векторов. Интегрируйте в CI/CD для проверки кода на уязвимости (GenAI Code Security Report: 45% кода от LLM небезопасны). Для МСП — внешний аудит раз в год, фокусируясь на критических активах.

Системы обнаружения с применением ИИ, как в рекомендациях Allianz и Google Cloud, анализируют трафик в реальном времени, снижая стоимость инцидентов на 2,2 млн долларов за счет раннего обнаружения. Kaspersky и F6 советуют MDR (Managed Detection and Response) сервисы для 24/7 мониторинга, особенно для МСП без собственной SOC-команды — это внешний эксперт, реагирующий на угрозы за минуты. В Accenture State of Cybersecurity Resilience 2025 отмечается, что компании с зрелой ИБ используют threat intelligence для предиктивной защиты, снижая инциденты на 25%. По данным CFC, план реагирования на инциденты (incident response plans) с четкими ролями и инструментами (SIEM, EDR) позволяет сдержать zero-day атаки в часы, а не дни.

Практические шаги: Внедрите EDR-инструменты (например, CrowdStrike или Suricata) для детекции аномалий. Разработайте IRP с этапами: идентификация, сдерживания, устранение и восстановление. Для МСП — облачные MDR от 50 тыс. руб./мес., интегрированные с AI для автоматизации оповещений. Регулярно тестируйте план через упражнения Red Team.

Обучение сотрудников — основа защиты от фишинга и социальной инженерии, как подчеркивают F6 и LayerX: регулярные тренинги снижают клики на вредоносные ссылки на 70%. Внедрите многофакторную аутентификацию (MFA) и single sign-on (SSO), блокируя личные аккаунты (67% AI-доступа — личные, по LayerX). CISA рекомендует программы обучения с симуляциями фишинга, чтобы развивать бдительность сотрудников. В Edstellar 2025 выделяют роль платформ threat intelligence для оповещений в реальном времени о фишинге. Для AI-рисков — политики на запрет вставки sensitive data в GenAI (40% загрузок — PII).

Практические шаги: Проводите ежемесячные вебинары по распознаванию фишинга (используйте платформы как KnowBe4). Внедрите DLP (Data Loss Prevention) для мониторинга копирований и вставок информации. Для МСП — бесплатные ресурсы CISA (cybersecurity awareness kits) плюс MFA в Office 365/Google Workspace..

Аудит поставщиков, как в Code Red, помогает выявить уязвимости в цепочках (15% убытков от CBI, по Allianz). Шифрование данных и сегментация сети (ENISA) предотвращают горизонтальное перемещение злоумышленников в инфраструктуре. В Canada's National Cyber Security Strategy подчеркивают устойчивость критических систем в модели с нулевым доверием: проверяйте каждый доступ, независимо от источника. BlueVoyant рекомендует регулярные аудиты со стороны третьих лиц, чтобы предотвратить атаки на цепочки. Для хактивизма — защита от DDoS (Cloudflare).

Практические шаги: Примените модель нулевого доверия с инструментами как Zscaler. Шифруйте данные в покое и транзите (AES-256). Аудитируйте поставщиков ежегодно, проверяя их соответствие требованиям регуляторов. Для МСП — облачные решения от 20 тыс. руб./мес., фокусируясь на ключевых партнерах.

Пентест от Б-152

Мы в Б-152 предлагаем пентест как ключевой инструмент для выявления уязвимостей в вашей информационной инфраструктуре, помогая предотвратить утечки данных и атаки до того, как они случатся. Наш подход сочетает автоматизированное и ручное сканирование и экспертизу, имитируя реальные действия хакеров — от внешних периметров (веб-сервисы, API) до внутренних сетей (серверы, рабочие станции). Мы адаптируем тестирование под ваш масштаб: от малого бизнеса с простыми системами до крупных корпораций с критической инфраструктурой, используя методологии Black Box, Grey Box или White Box для построения полной картины рисков.

В процессе мы не просто находим слабые места, такие как слабые пароли, устаревшее ПО или SQL-инъекции, но и моделируем цепочки атак, чтобы показать, как злоумышленник может проникнуть и распространиться. Это включает этапы от подготовки и сканирования до эксплуатации и пост-анализа, с обязательным отчетом и рекомендациями по устранению. Мы фокусируемся на соответствии требованиям регуляторов — 152-ФЗ, ФСТЭК и Банка России, — чтобы ваша система была защищена реально, а не отчетом для требований регулятора.

В итоге, пентест от Б-152 — это не разовая акция, а часть комплексной стратегии ИБ: мы помогаем внедрить изменения, предлагаем дополнительные опции вроде аудита Wi-Fi или социальной инженерии, и обеспечиваем ретест. Это доступно даже для малого бизнеса, с пакетами-конструкторами, в которых вы можете набрать нужные опции, укрепить защиту без лишних затрат и минимизировать риски.

В 2025 году взломы эволюционируют с ИИ, хактивизмом и цепочками поставок, но пентест остается надежным щитом. Не ждите инцидента — протестируйте систему сегодня с Б-152, чтобы избежать утечек и штрафов. Свяжитесь с нами для консультации!