Согласно исследованию, в 2025 году аналитики F6 зарегистрировали 250 новых случаев утечек данных на андеграундных платформах и в Telegram-каналах, из которых 230 касались российских компаний. Это на 204 случая меньше, чем в 2024 году, когда было зафиксировано 455 утечек в России и других странах СНГ. Однако общий объем данных, попавших в открытый доступ, вырос: в 2025 году суммарно было обнародовано более 767 млн строк, что на 310 млн строк больше, чем в предыдущем году.
Большинство утечек, как и прежде, содержали электронные адреса, телефонные номера и пароли пользователей. Злоумышленники по-прежнему активно интересуются чувствительными данными, которые могут быть использованы в мошеннических схемах и для проведения каскадных атак на крупные компании. Из общего числа записей более 315 млн содержали электронные адреса, из которых лишь 88 млн были уникальными. Пароли пользователей были представлены в 156 млн записях, из которых уникальными оказались 142 млн.
В 2025 году F6 зафиксировала активность 27 прогосударственных APT-групп, нацеленных на Россию и страны СНГ. Для сравнения, в 2024 году таких групп было 24. Из них 24 атаковали российские компании, а 8 — белорусские. Эксперты отмечают, что за большинством атак стоят проукраинские группировки, хотя кибершпионажем в России также занимаются группы из других стран, преимущественно из Азии.
Семь новых APT-групп были выявлены впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak и NGC5081. Хотя они начали проводить атаки в предыдущие годы, их деятельность была обнаружена только в 2025 году. Среди топ-5 российских отраслей, подвергшихся атакам APT-групп, оказались госучреждения (13 групп), промышленность (11 групп), НИИ (9 групп), предприятия военно-промышленного комплекса (8 групп) и ТЭК (7 групп).
Прогосударственные группы использовали 0-day-эксплойты, инструменты и доступ к инфраструктуре, вероятно, приобретенные на андеграундных рынках. Это необычно для APT-групп и чаще встречается среди вымогателей и других финансово мотивированных хакеров. Атаки через цепочки поставок и подрядчиков (Supply chain, Trusted relationship) остаются эффективными и стали более точными и разрушительными.
В 2025 году продолжились совместные действия прогосударственных групп, киберпреступников и хактивистов. Количество атак программ-вымогателей увеличилось на 15% по сравнению с 2024 годом, когда рост составил 44%. В 15% случаев целью злоумышленников было не получение выкупа, а разрушение инфраструктуры и нанесение максимального ущерба.
Помимо групп-вымогателей, в 2025 году была зафиксирована активность более 20 финансово мотивированных групп, включая Vasy Grek, Hive0117 и CapFIX. Наиболее активными проукраинскими группами стали Bearlyfy/ ЛАБУБУ (55 атак), THOR (12 атак), 3119/TR4CK, Blackjack/Mordor и Shadow (по 4 атаки). Некоторые группы снизили свою активность из-за консолидации проукраинских сил.
Группировка CyberSec’s установила рекорд по сумме первоначального выкупа, потребовав 50 BTC (около 500 млн рублей). В среднем суммы выкупа за расшифровку данных варьировались от 4 млн до 40 млн рублей. Политически мотивированные группы также смещают фокус на нанесение максимального ущерба с помощью программ-вымогателей. В 2025 году более десяти хактивистских групп провели хотя бы одну атаку с использованием программ-вымогателей, и эта тенденция сохранится в 2026 году.
CEO компании F6 Валерий Баулин отметил, что злоумышленники также будут усиливать информационные атаки, публикуя фейковые новости и рассылая письма с угрозами. Пик активности придется на дни, когда публикуются громкие новости о взломах., что в России атаки направлены на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов и кражу чувствительных данных.
Ранее «Телеспутник» узнал у экспертов и игроков рынка, какие тренды и тенденции в сфере информационной безопасности будут актуальны в 2026 году.
