Полмиллиарда рублей за разблокировку. Хакеры установили исторический рекорд по сумме выкупа в России
F6: в публичном доступе в 2025 году оказалось более 760 млн строк с данными россиян.
Компания F6 сообщила о предварительных итогах 2025 года по киберугрозам для российских организаций. По оценке аналитиков, количество и интенсивность атак на российские компании в целом стабилизировались, однако сохраняется рост числа проправительственных APT-групп, вымогателей, а также финансово и политически мотивированных объединений. В публичном доступе в уходящем году оказалось более 760 млн строк с данными россиян, а рекорд по сумме выкупа для зашифрованной компании достиг 50 BTC, что в компании оценивают примерно в 500 млн рублей на момент атаки. Для сравнения, годом ранее рекорд по сумме запрошенного выкупа составлял 240 млн рублей.
В 2025 году (на момент публикации пресс-релиза) аналитики выявили 225 ранее не опубликованных баз данных российских компаний в тематических Telegram-каналах и на андеграундных форумах, тогда как в 2024 году таких баз было 455. Помимо российских утечек в открытом доступе злоумышленники также опубликовали 20 баз данных компаний из других стран СНГ, из них 10 утечек относятся к компаниям в Беларуси. Как и годом ранее, основной площадкой распространения стал Telegram: 187 из 225 утечек были опубликованы именно в этом мессенджере. При этом, как отмечают в компании, несмотря на активные блокировки таких Telegram-источников, злоумышленники продолжали создавать им замену. Самой объемной «мегаутечкой» в очередной раз назван архив из 457 баз данных. Суммарно утечки российских компаний 2025 года содержали более 767 млн строк с данными пользователей, также были опубликованы 232 тыс. записей пользователей из Республики Беларусь. В скомпрометированных наборах чаще всего встречались ФИО, даты рождения, адреса, электронные почтовые адреса и номера телефонов. В «группе риска» утечек в 2025 году в первую очередь оказались ритейл и интернет-магазины, государственный сектор, профессиональные услуги, здравоохранение и информационные технологии.
На фоне геополитического противостояния атаки на российские компании для диверсий или шпионажа продолжаются, однако аналитики отмечают «выход на плато» и лишь незначительный рост количества атак по сравнению с 2024 годом. Всего в 2025 году были обнаружены 27 прогосударственных групп, атакующих Россию и СНГ, для сравнения в 2024 году фиксировались атаки 24 группировок. Часть APT-групп не проявляли активности, но были выявлены новые: в 2025 году впервые раскрыты семь группировок, среди которых Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak и NGC5081. Большая часть из них начала проводить атаки в 2024 году, но выявлены они были лишь в 2025-м. В топ-5 индустрий, на которые были нацелены прогосударственные группы в 2025 году, вошли госучреждения (их атаковали 13 групп), промышленность (11 групп), НИИ (9 групп), предприятия ВПК (8 групп) и ТЭК (7 групп). Также фиксируется повышенный интерес к ИТ-компаниям, которые могут использоваться как плацдарм для атак на клиентов.
В отчетном периоде отмечена активность более 20 финансово мотивированных группировок, среди наиболее примечательных названы Vasy Grek, Hive0117 и CapFIX. Всего четыре группы были замечены за проведением DDoS-атак: CyberSec's (BadB), Himars DDOS, «Кіберкорпус» и IT Army of Ukraine. Последняя, как и годом ранее, остается топ-1 угрозой по DDoS-атакам. В 2025 году эта группировка уделяла основное внимание атакам на российских интернет-провайдеров, при этом атаке подвергались и компании из сфер финансов, ИТ и разработки ПО, промышленности, энергетики и транспорта, а также государственные структуры. В компании также отмечают, что фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей: в 2025 году более десяти таких группировок отметились хотя бы одной атакой с применением шифровальщиков.
По данным компании, в 2025 году количество атак программ-вымогателей выросло на 15% по сравнению с предыдущим годом, тогда как годом ранее рост составлял 44%. При этом в 15% инцидентов, связанных со средними и крупными предприятиями, целью киберпреступников был не выкуп, а диверсия, то есть разрушение инфраструктуры и нанесение максимального ущерба (в прошлом году на подобные атаки приходилось 10%). Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн рублей на момент атаки), что почти в два раза больше по сравнению с прошлым годом. В среднем суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 млн до 40 млн рублей, для малого и среднего бизнеса - от 240 тыс. до 4 млн рублей. Чаще всего атаковали производственные и инжиниринговые компании (17,1%), организации из сфер оптовой (14,3%) и розничной (12,9%) торговли, ИТ (7,1%), транспорта и логистики (7,1%). Среди наиболее активных проукраинских группировок в этом году названы Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12 атак), 3119/TR4CK (не менее 4 атак), Blackjack/Mordor (не менее 4 атак) и Shadow (не менее 4 атак). Отмечается и рост консолидации таких групп, на что, по оценке экспертов, указывает повышение «качества» атак за счет координации и появления новых участников. Малый и средний российский бизнес с целью выкупа чаще всего атаковали Mimic/Pay2Key, Proton/Shinra и C77L. В своих атаках киберпреступники чаще всего использовали шифровальщики Mimic/Pay2Key и LockBit 3 Black, на них пришлось до 25% и 21% инцидентов соответственно, а также Proton/Shinra (11,4%) и Babuk (10,2%). Кроме того, в 7,5% инцидентов вымогатели использовали легитимные программы для архивации файлов и полнодискового шифрования.
В статистике инцидентов, на которые приходилось реагировать специалистам компании в 2025 году, чаще всего встречались управляемые человеком атаки (32%). На втором месте оказались майнеры (26%), на третьем инциденты, связанные с использованием троянов удаленного доступа (9%). Наиболее частым вектором атаки названа загрузка пользователями программ с вредоносной нагрузкой: 66% от общего количества инцидентов за год. Также среди распространенных способов компрометации выделены зараженные съемные накопители и эксплуатация уязвимостей, по 11% инцидентов каждый. При этом по итогам 2025 года отмечено снижение доли инцидентов, связанных с загрузкой ПО из недоверенных источников, с 74% в первом полугодии до 38% во втором, а также снижение доли атак через подключение зараженных носителей, с 12% до 8%. Одновременно злоумышленники стали чаще проникать в сеть жертвы через эксплуатацию уязвимостей: с 5% в первом полугодии до 31% во втором. Растет и число инцидентов с использованием валидных учетных данных пользователей: с 2% до 15%. В компании также приводят распределение фишинговых рассылок с вредоносным ПО по дням недели: чаще всего такие письма рассылались по вторникам (25,5% всех отправлений), меньше всего рассылок в 2025 году приходилось на воскресенья (2%).
В компании отмечают переход части скам-групп от фишинга к скаму на фоне усиления борьбы с мошенничеством. Все чаще жертвы сталкиваются с ресурсами, которые вместо данных карт или личного банковского кабинета просят оплатить по QR-коду или реквизитам. На блокировку скама, как отмечается, уходит больше ресурсов и времени, чем на фишинг, чем и пользуются мошенники. В 2025 году было заблокировано 7 357 скам-ресурсов на один бренд (6 398 годом ранее) и 3 851 фишинговый ресурс на один бренд (3 714 в прошлом году). На первом месте по количеству как фишинговых, так и мошеннических атак находится ритейл: бренды компаний розничной торговли эксплуатируются в схеме «Мамонт», на нее пришлось 48% заблокированных фишинговых ресурсов из общего числа заблокированного фишинга, а также в мошеннических партнерских программах. На втором месте указан финансовый сектор, на третьем онлайн-сервисы. В целом среднее число поддельных ресурсов на один бренд выросло на 12%, с 10 112 до 11 368. Наибольший прирост отмечен в схемах с распространением вредоносного ПО, где активно эксплуатируются реальные бренды: почти в 6 раз по сравнению с 2024 годом, с 28 до 160 ресурсов. Это связывают с развитием скам-групп, ориентированных на атаки с заражением мобильных устройств на Android.
Больше всего в 2025 году ссылок с фишингом и скамом выявлено в доменной зоне .ru (30,8%), далее следуют зоны .com (14%), .click (10,2%), .cfd (7,7%) и sa.com (7,3%). При этом отмечается, что киберпреступники реже используют .ru из-за налаженной работы блокировки доменов в зонах .ru/.рф и чаще выбирают другие доменные зоны и зарубежных регистраторов. Фишинговые и мошеннические ресурсы размещались у хостеров в США в 81% случаев, у российских хостинг-провайдеров - в 4,6%, в Швейцарии - в 3,8%.
Генеральный директор компании Валерий Баулин отметил, что экспоненциальный рост киберугроз последних трех лет замедлился, однако для бизнеса по-прежнему опасны вымогатели, диверсии, шпионаж, вредоносное ПО, телефонное и онлайн-мошенничество, а качество подготовки атак повышается и может приводить к многомиллионным убыткам и репутационным потерям.