Тревожный 2025-й год
Эксперты Лаборатории Касперского отмечают интересную тенденцию, обозначившуюся в 2025 г. Количество уникальных образцов вредоносного ПО продолжает расти (в 2025 г. ЛК фиксировала 500 тыс. ед./сутки новых вредоносных файлов по сравнению с 467 тыс. в 2024 г.) Однако доля пользователей, столкнувшихся с киберугрозами, в России впервые с 2022 г. опустилась ниже 50% (47,4% в 2025 г. против 58% в 2024 г.)Как отметила вице-президент ЛК по развитию бизнеса в России и СНГ А. Кулашова, массовая киберпреступность продолжает расти, а ландшафт угроз усложняется. В 2025 г. на 128% выросло число атак на организации в России с использованием вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам, на 61% – с использованием бэкдоров, на 11% – программ-вымогателей.
Лаборатория Касперского
В 2025 г. Лаборатория Касперского выявила более 30 новых APT-кампаний, нацеленных на организации в России. Сохраняется тенденция к росту хактивизма, проявившаяся в 2022 г. – в прошедшем году российские организации атаковало более 20 хактивистских групп. Причем серьезность угрозы со стороны хактивистов нарастает. Так, группа Киберпартизаны, сложившаяся в Белоруссии на фоне оппозиционных настроений в 2020 г. как непрофессиональная хактивистская группировка, все более активно пытается атаковать критическую инфраструктуру, причем проводимые ими операции сложнее, чем заявляются.
Анализируя финансовые атаки на пользователей и организации, главный эксперт Лаборатории Касперского С. Голованов отметил всплеск телефонного мошенничества в отношении физических лиц в конце 2025 г., в ходе которого активно эксплуатировалась тема налоговых обязательств. Помимо чисто социальных методов, телефонные мошенники использовали и более сложные схемы с применением вредоносного ПО, например, утилиты NFCGate в рамках сценария «обратный NFC», нацеленного на кражу средств с банковских счетов пользователей без физического доступа к карте.
Лаборатория Касперского
В сегменте малого и среднего бизнеса всплыла старая схема атак через системы электронного документооборота (ЭДО), всплеск которых пришелся на апрель-июнь 2025 г. Всего в 2025 г. с вредоносным ПО, атакующим через системы ЭДО, столкнулись 12 тыс. корпоративных пользователей в России, при том, что в 2024 г. подобных атак не наблюдалось вообще. При этом в наибольшей степени были затронуты промышленные предприятия – на производственный сектор пришлось 26% атакованных.
В подобных схемах чаще всего используются троянцы Pure, Venom и Buhtrap, распространяемые с использованием методов социальной инженерии через целевые рассылки с вредоносным вложением. После заражения ПК жертвы вредоносное ПО открывает возможность злоумышленникам подменять реквизиты в счетах на оплату и красть средства предприятия. Также злоумышленники могут получить доступ к системе дистанционного банковского обслуживания юрлиц и подтвердить нужный мошенникам перевод.
Корпорации и не только
В сегменте крупного бизнеса в России основной киберугрозой остаются шифровальщики и вредоносы для уничтожения данных (вайперы). В 2025 г. шифровальщиками было атаковано 6% корпоративных пользователей. Основным вектором проникновения в инцидентах в крупных организациях остаются атаки через подрядчиков и поставщиков. В наибольшей степени от подобных атак страдали компании в наиболее критичных отраслях – энергетике, транспорте, финансовом и технологических секторах.С. Голованов отметил один любопытный момент, связанный с вступлением в силу в 2025 г. закона об оборотных штрафах за утечку персональных данных. Регулятор отмечает сокращение числа утечек, но злоумышленники начали активно блефовать на краже данных. Поэтому важно не только выстраивать систему защиты, но и привлекать экспертов по реагированию на инциденты.
Руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России Д. Галов отметил подъем кибершпионажа в 2025 г., как на частных, так и на корпоративных пользователей. Количество атак бэкдоров на российские компании выросло к 2024 г. на 61%, вредоносного ПО для сбора учетных данных (стилеров) – на 55%, шпионских программ – на 49%.
Лаборатория Касперского
В 2025 г. Лаборатория Касперского обнаружила волну целевых вредоносных рассылок на медучреждения в России, которые злоумышленники вели по электронной почте от имени страховых компаний либо больниц, используя архивы, инфицированные бэкдором BrockenDoor. Этот бэкдор собирает различную информацию с ПК жертвы, которая может использоваться для вымогательства или в других сценариях атак.
Все шире используется коммерческое шпионское ПО, примером этого стала выявленная Kaspersky GReAT операция Форумный тролль, направленная против российских научных и государственных организаций. В ходе расследования было выявлено использование коммерческого шпионского ПО Dante, созданного Memento Labs (ex Hacking Team). Жертвами подобных атак являются организации и лица, имеющие высокую политическую, экономическую или репутационную ценность – политики, руководители крупных компаний, исследователи, дипломаты, представители СМИ.
Как атакуют промышленность?
Комментируя для Neftegaz.RU ситуацию с промышленной кибербезопасностью в России, А. Кулашова отметила, что в этом сегменте в 2025 г. сохранялись те же тенденции, что и в предыдущие годы. Большинство атак по-прежнему осуществлялось через поставщиков и подрядчиков. Также одним из основных векторов атак на промышленный сегмент остаются USB-устройства – принесенные сотрудниками флешки или даже специально подкинутые вредоносные устройства.В плане обеспечения промышленной кибербезопасности «Лаборатория Касперского» отмечает растущее внимание предприятий к вопросам ИБ.
«Компании перестали считать, что промышленный контур какой-то особенный, отдельный и злоумышленникам неинтересный, потому что, к сожалению, проникновения были. Сейчас промышленные предприятия серьезно относятся к промышленным контурам, много туда инвестируют, мы наблюдаем здесь большой рост», – отметила А. Кулашова.
Ключевой особенностью обеспечения ИБ в промышленности является безусловное превалирование функциональной безопасности над кибербезопасностью. Поэтому основную роль здесь играют регламенты промышленной безопасности, которые определяют, какие средства защиты информации могут устанавливаться в промышленном контуре, каким может быть режим обновления баз и т.п.
Интересным трендом промышленной кибербезопасности, по словам А. Кулашовой, стали детект-аномалии, выявляемые при помощи машинного обучения (ML). Этот механизм оказался очень востребован, когда западные вендоры ограничили российским компаниям доступ к телеметрии промышленного оборудования. В ответ российские разработчики предложили решения для перехвата данных, локального мониторинга и управления, чтобы обеспечить бесперебойное обслуживание и соблюдение регламентов, подобные успешные кейсы есть и в портфеле «Лаборатории Касперского».
Многогранный ИИ
В ходе конференции эксперты ЛК много внимания уделили анализу того, как искусственный интеллект меняет правила игры в сфере цифровой безопасности. ИИ в сфере кибербезопасности рассматривается как многогранное явление. С одной стороны, ИИ-модели становятся новой мишенью кибератак, которые могут быть реализованы через внедрение промптов и отравление данных.С другой стороны, нейросети все более активно используются атакующими и защищающимися как инструмент для повышения эффективности путем оптимизации рутинных операций. Генеративный ИИ в руках киберзлоумышленников применяется для масштабирования фишинга, поиска уязвимостей и создания вредоносного кода. Наблюдаются случаи, когда зловреды пытаются обращаться к языковым моделям, чтобы генерировать код прямо в процессе исполнения для усложнения детектирования, но такой подход злоумышленников малоэффективен, т.к. современные средства защиты анализируют не только сам код, но и поведение зловредов.
В сфере кибербезопасности большие языковые модели (LLM), основанные на нейронных сетях, а также машинное обучение находят свое применение в системах поиска аномалий, что позволяет охватывать векторы атак, сложно детектируемые с помощью традиционных методов. В решениях Лаборатории Касперского LLM и ML применяются в Kaspersky SIEM (KUMA) и Kaspersky XDR. LLM-помощник KIRA в Kaspersky EDR, XDR и Kaspersky Container Security повышает скорость и удобство работы с системой, а также снижает порог входа для пользователей.
Тенденцией 2025 г. в плане развития ИИ стало постепенное замещение ИИ-ассистентов ИИ-агентами, которые, в отличие от ассистентов, могут взаимодействовать с другими системами и самостоятельно принимать решения в зависимости от контекста, например, об отправке электронного письма или об оплате покупки. Такие решения имеют большой потенциал для автоматизации рутинных операций, но подверженность ИИ-агентов галлюцинациям, специфическим атакам и фишингу, усугубляет имеющиеся киберриски, связанные с мошенничеством и вредоносным ПО.
«Число кибератак, в которых LLM – инструмент или цель, растет, поэтому нужно не только повышать осведомленность пользователей об угрозах, но и активно развивать системы для защиты от них, в т.ч. на базе машинного обучения», – отметил руководитель группы исследования технологий машинного обучения Лаборатории Касперского В. Тушканов.
Оценивая расстановку сил в противостоянии «ИИ-меча и щита», В. Тушканов отметил перевес, имеющийся у защищающейся стороны, поскольку у нее больше ресурсов, возможностей и точек применения для усиления экспертизы человека за счет ИИ.
Лаборатория Касперского
Взгляд в будущее…
Помимо угроз, связанных с ИИ, в числе ключевых трендов кибербезопасности в 2026 г. А. Кулашова назвала рост угроз от кибермошенничества как для частных, так и для корпоративных пользователей, а также влияние фрагментации геополитического ландшафта (хотя сотрудничество в сфере кибербезопасности даже с недружественными странами поддерживается).По оценкам С. Голованова, в 2026 г. ожидается тренд на сокращение телефонного мошенничества среди физлиц, а также на снижение количества киберинцидентов в бизнесе. При этом количество вредоносных программ, наоборот, продолжит рост. Бизнесу также следует обратить внимание на техники проникновения, отличные от широко распространенных (уязвимости, слабые пароли, фишинг), например, через подброшенные вредоносные устройства (флешки).
Говоря о том, что превращает киберинцидент в катастрофу Д. Галов назвал системной ошибкой защиты неготовность организации к негативному развитию ситуации.
«Все классы инцидентов должны быть заранее разобраны, построены сценарии митигации – что делать, если что-то пошло не так. Мы видим в некоторых классах атак тенденцию к сокращению срока атаки, что сокращает время на реагирование», – отметил эксперт.
…и его формирование
Отвечая на растущее число киберугроз, российский бизнес и промышленность усиливают защищенность своих сложных инфраструктур. «Лаборатория Касперского» по итогам 2025 г. фиксирует рост продаж сложных решений на 31%, систем расширенного обнаружения и реагирования (XDR) – на 80%, управляемого обнаружения и реагирования (MDR) – на 210%. В 2025 г. «Лаборатория Касперского» запустила собственный межсетевой экран нового поколения (NGFW), по данному продукту уже есть первые внедрения.
Еще одна тенденция заключается в том, что все больше российских компаний готовы отдавать на аутсорсинг создание центров мониторинга кибербезопасности (SOC). В числе основных причин, по которым для создания SOC планируется привлечение внешнего подрядчика, компании называют потребность в круглосуточной защите (57%), снижение нагрузки на внутренних ИБ-специалистов (47%), а также доступ к передовым решениям и технологиям вендоров (42%). Это указывает на сосредоточенность российского бизнеса на выстраивании процессов по реагированию на сложные киберугрозы путем передачи рутинных операций SOC на аутсорсинг.
В 2025 г. ведущие компании отрасли кибербезопасности – «Лаборатория Касперского», Positive Technologies, BI.ZONE, Солар и Security Vision выступили с инициативой по созданию в России Центра проведения сравнительного анализа средств защиты информации на базе МГТУ им. Н.Э. Баумана. Совместно с МГТУ разработана методика тестирования на примере одного класса решений EDR. На технологических мощностях университета под руководством опытных преподавателей и с привлечением наиболее подготовленных студентов идет подготовка к пилотной апробации этой методики на актуальных для российских компаний угрозах. В случае успешной реализации пилота методика сможет быть доработана для расширения области применения на другие классы и виды решений по кибербезопасности и защите информации.
Одной из своих ключевых задач на перспективу «Лаборатория Касперского» видит в формировании культуры кибербезопасности. Данное понятие включает в себя множество различных аспектов, в числе которых можно выделить этику и прозрачность (включая прозрачность исходного кода и процессов), киберустойчивость (защиту критической инфраструктуры, помощь в расследовании киберпреступлений и др.), технологии будущего (кибериммунитет – подход, предполагающий построение исходно безопасных ИТ-систем). Еще одним ключевым элементом в формировании кибербезопасного будущего эксперты «Лаборатории Касперского» назвали учет требований защиты на первом этапе разработки архитектуры сети.
