Интерес злоумышленников к краже данных и шпионажу в 2025 году продемонстрировал стремительный рост - с 21% до 37%. Активность хактивистов также увеличилась, составив 16% против прежних 12%. Параллельно с этим наблюдается постепенное снижение доли атак с финансовой мотивацией: если в 2023 году этот показатель достигал 76%, то к 2025 году он снизился до 47%. Такие данные приводят специалисты BI.ZONE Threat Intelligence в исследовании ландшафта киберугроз Threat Zone 2026.
Особенно ярко эта тенденция проявилась в индустриальном и энергетическом комплексах. Здесь доля классического вымогательства с использованием шифровальщиков обвалилась с 57% до 42%. Напротив, операции по краже секретов и идеологически мотивированные диверсии заняли рекордные 58% в структуре угроз.
Хактивисты (от слов "хакер" и "активист") - люди, которые используют компьютерные технологии и взлом информационной инфраструктуры сетей для продвижения своих политических или социальных идей, - стали заметным явлением в криминальной киберсреде.
"Большинство финансово мотивированных атак, которые мы зафиксировали в 2025 году в промышленности и энергетике, не являются целевыми в классическом смысле этого слова. Чаще всего это массовые кампании, в ходе которых злоумышленники рассылают фишинговые письма с вредоносными программами огромному числу организаций из разных отраслей. Расчет здесь простой: чем шире круг потенциальных жертв, тем выше шансы на успех, - говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин. - А вот целевые атаки, когда мишенью становятся строго определенные промышленные и энергетические компании, в основном совершаются ради шпионажа, чуть реже - хактивизма. В первом случае злоумышленников интересуют конфиденциальные данные, в том числе информация о новых разработках. Хактивисты же обычно стараются нарушить работу предприятий, причем сделать это с максимальной оглаской".
В 2025 году эксперты компании F6 фиксировали активность 27 прогосударственных профессиональных хакерских групп, атакующих Россию и страны СНГ. В 2024 году были зафиксированы атаки 24 группировок. Из выявленных 27 групп 24 атаковали компании в России, 8 - белорусские организации. В условиях острого геополитического конфликта за большинством атак стоят проукраинские группы, при этом кибершпионажем в России по-прежнему занимаются группировки из других стран, преимущественно Азии, отмечают в F6.
Фишинг при этом остается самым результативным способом взлома - его применяют в 64% целевых атак. Каждый четвертый хакерский кластер использует вредоносные вложения в письмах для проникновения в IT-инфраструктуру. Прогнозируется, что злоумышленники будут все чаще переносить активность из электронной почты в социальные сети и мессенджеры. Среди других популярных путей вторжения выделяются: компрометация через системы удаленного доступа (18%) путем подбора паролей или использования программ, крадущих данные, а также атаки на цепочку поставок через подрядчиков (9%).
Для управления захваченными системами хакеры внедряют комбинированные схемы связи. Наряду со стандартными утилитами удаленного администрирования активно эксплуатируются легитимные веб-платформы. Лидером среди последних стал Telegram: использование мессенджера в качестве канала управления серьезно осложняет работу служб безопасности по выявлению присутствия посторонних внутри корпоративной сети.
В долгосрочной перспективе аналитики полагают, что финансовая выгода вновь вернет позиции основного стимула хакеров. Универсальность атак с целью выкупа позволяет преступникам выбирать жертв в любой отрасли, что делает такие операции экономически привлекательными и масштабируемыми.
"Вообще, рост шпионажа, спонсируемого государствами, наблюдается глобально с 2010 года. Для России он лишь ускорился после 2022 года, но нельзя сказать, что до 2022 года подобных атак не было, - говорит руководитель Incident response компании Innostage Константин Жигалов, но отмечает, что точная атрибуция мотивации атак - сложная задача. - То, что выглядит как шпионаж, может быть и подготовкой к финансовому преступлению. Не думаю, что рост числа атак будет уменьшаться, утечки исходного кода различного вредоносного программного обеспечения и общий тренд информатизации различных государственных систем только поддерживают данный тренд".
А генеральный директор компании VolgaBlob Александр Скакунов уверен, что в связи с бумом корпоративных LLM (ИИ-моделей) именно туда будет смещаться вектор внимания злоумышленников: "В результате успешной атаки они имеют все шансы получить ключевые чувствительные документы, которые руководящий состав загружает в LLM сознательно и добровольно. Будут ли эти данные монетизированы - уже вопрос к хакерам, которых можно, конечно же, назвать и шпионами, если так сейчас модно".