9 февраля 2026 г.

Тимур Зиннятуллин

Количество кибератак неумолимо растет из года в год. Согласно данным Statista, в 2024 году по всему миру было зарегистрировано 15,32 млн кибератак, что в 3,5 раза выше показателей 2016 года. Россия по-прежнему является самой атакуемой хакерами страной в мире, а в фокусе злоумышленников оказываются самые разные компании — от малого бизнеса до энтерпрайза. Эксперты Angara MTDR провели исследование, построенное на результатах работы направления реагирования (DFIRMA) за период 2024 года — первой половины 2025 года, и поделились его ключевыми выводами.

Скорость как главный тренд: от проникновения до атаки — несколько дней

Одним из самых тревожных открытий исследования стала радикально возросшая скорость развития киберинцидентов. Данные показывают, что почти половина (48%) атак переходит к своей финальной фазе — нанесению ущерба — за срок до двух недель. При этом медианный показатель в этой категории составляет всего 3-4 дня. Эта цифра знаковая на фоне статистики предыдущих лет: 16 дней в 2022 году и 243 дня в 2012 г.

Такое резкое сокращение говорит о преобладании агрессивных кампаний с использованием различных автоматизированных средств и массовых эксплойтов. Немаловажную роль играют предварительно заготовленные сценарии, благодаря которым атака идет «как по шаблону». После них киберкриминалисты все чаще сталкиваются со «свежими» следами злоумышленников: журналы доступа, первичные артефакты редко успевают бесследно исчезнуть, даже вопреки попыткам их удаления. Однако сжатые сроки появления ущерба требуют от компаний гораздо большей оперативности для начала реагирования на инцидент.

Вторая группа по длительности инцидентов, на которую в совокупности приходится 34% изученных случаев, — это подготовленные, но не всегда быстрые кампании. В них злоумышленник тратит больше времени на разведку и распространение своего вредоносного программного обеспечения в целевой инфраструктуре, прежде чем перейти к финальной стадии атаки. Скрытное пребывание в инфраструктуре для таких атак занимает от двух недель до года.

Отдельного внимания заслуживают инциденты, где злоумышленникам необходимо оставаться в системе как можно дольше — от полугода и более. Они нередко связаны с долгосрочными целевыми кампаниями и атаками. Здесь уже могут использоваться так называемые «спящие» бэкдоры, с помощью которых осуществляется возвращение в систему для продолжения изучения бизнес-процессов организации и планомерного распространения своего присутствия в сети. В 18% инцидентов атаки длились более года, пока активность злоумышленников не была обнаружена. Эти кампании могут быть связаны как со сложным промышленным шпионажем, так и с несанкционированным использованием ресурсов атакованных систем. Это полярные инциденты, однако они достойны отдельного упоминания. Некоторые организации, ставшие жертвами несанкционированного использования ресурсов, до сих пор сталкиваются с трудностями обнаружения «низкоуровневых» угроз из-за системных проблем в области глубины мониторинга.

Интересны все: смена отраслевых приоритетов

Как показывает исследование, интересы злоумышленников давно вышли за пределы финансового сектора и распространились практически на все сферы экономики. При этом отраслевая структура инцидентов продолжает видоизменяться и расширяться из года в год.

Если несколько лет назад «Финансы и страхование» были безоговорочными лидерами в аналогичных отчетах ввиду высокой привлекательности банковских систем, то сейчас эта отрасль наилучшим образом адаптировалась.

Это произошло в силу жесткого регулирования и принятия отраслевых стандартов, а также благодаря значительным инвестициям банков в защитные меры и высокой зрелости при обмене информацией об атаках внутри индустрии.

На смену финсектору приходят компании из других сфер экономики. Сопоставимым с финансовым по масштабу атак стало направление «Информационные технологии и консалтинг» — 17% расследованных нами инцидентов было связано именно с организациями в области IT (аутсорсинг, облачный провайдер, интегратор). Злоумышленники осознали, что компрометация подрядчика, выступающего в роли сервис-провайдера, благодаря широкой взаимосвязи с другими организациями, позволяет создать надежный плацдарм для атак через доверительные отношения на десяток, а иногда и на сотни других бизнесов. Это значительно упрощает жизнь атакующим — снижает затраты на вредоносные кампании и повышает получаемую выгоду.

Замыкает тройку лидеров «Государственный сектор» (14% от всех инцидентов), что свидетельствует о его растущей привлекательности для атакующих.

Выводы для бизнеса

Необходимо знать не только ландшафт угроз для своей организации и отрасли, но и отслеживать тренды злоумышленников, активно распространяемые ими на форумах инструменты и мануалы, инструкции по взлому систем. Часто именно их берут за основу при совершении большинства атак и рутинных действий.

Для своевременного обнаружения атак сегодня необходим не только оперативный мониторинг событий информационной безопасности, но и выстроенные процессы по проактивному поиску киберугроз (Threat Hunting). Речь идет о поиске аномалий на конечных узлах и на уровне сети, которые потенциально могут быть признаком уже свершившейся компрометации.

В современных условиях кибербезопасность — это непрерывная гонка, где преимущество получают те, кто не только защищает периметр, но и ведет постоянную разведку, проактивный поиск угроз и оперативно адаптируется к меняющимся тактикам противника.

Источник: Тимур Зиннятуллин, директор Angara MTDR