Суммарная доля шпионов и хактивистов в 2025 г. впервые превысила долю онлайн-вымогателей. Однако, по мнению экспертов, в будущем атаки с финансовой мотивацией продолжат превалировать над остальными, так как их целью может стать любая компания.
Об этом рассказал руководитель Bi.Zone Threat Inteligence Team (ООО «БИЗон») Олег Скулкин на презентации исследования ландшафта киберугроз Threat Zone 2026. По его словам, доля атак хакеров-шпионов и хактивистов суммарно впервые превысили долю злоумышленников-вымогателей. А главной причиной изменения стал рост атак с целью шпионажа и хактивизма.
«Доля атак, совершаемых ради шпионажа, выросла с 21% до 37%, а хактивизма — с 12% до 16%. На этом фоне доля атак с финансовой мотивацией продолжает снижаться. В 2023 г. она составила 76%, в 2024 г. — 67%, а в 2025 г. — 47%. Однако в абсолютном выражении количество финансово мотивированных атак остается стабильно высоким», — говорится в исследовании.
Однако, согласно ему, в будущем атаки с целью финансового обогащения продолжат превалировать над другими видами по отдельности. Одна из главных причин — обилие целей, хакеры-вымогатели могут выбирать цель практически из любой отрасли экономики. В топе целей злоумышленников остается госсектор (на него приходится 14% всех атак), финансовая отрасль (11%), транспортно-логистическая и ритейл (по 10% каждая).
«В 2025 г. мы, по крайней мере в пуле инцидентов, которые мы расследовали, напротив, видели сокращение доли хактивистских атак — с 22% в 2024 г. до 11% в 2025-ом. В 2024 г. хактивизма действительно было больше, чем финансово мотивированных атак, но в 2025 году ситуация изменилась. По нашей статистике, на атаки с целью шпионажа пришлось 61% инцидентов, на атаки с целью финансовой наживы – 17,4%, а хактивисты на третьем месте», — рассказал руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК «Солар» Иван Сюхин.
Он объяснил снижение доли хактивизма сокращением в 2025 г. «поверхности» для атак злоумышленников, занятых в этом «ремесле». Они, по его словам, обладают невысоким профессиональным уровнем и промышляют взломами сайтов и DDoS атаками, однако группировки, преимущественно проукраинские, продолжают совершать такие атаки, и в 2026 г. тенденция продолжит смещение в сторону киберударов с громкими «кинетическими» последствиями.
Аналитик исследовательской группы АО «Позитив Текнолоджиз» (Positive Technologies) Яна Авезова рассказала, что по данным компании, во втором полугодии 2024 г. и за девять месяцев 2025 г. вымогатели оказались самыми мотивированными, на их долю пришлась каждая третья успешная кибератака (33% от общего количества) на российские организации, на кибершпионаж почти каждая четвертая (22%), а хактивизм — почти каждая пятая (19%).
«Количество кибератак с использованием программ-вымогателей остается на стабильно высоком уровне — в 2025 г. они представляли одну из главных угроз для организаций в России. Пока мы не видим предпосылок для изменения ситуации. Это можно объяснить в том числе тем, что мотивация хакерских группировок постепенно размывается: например, хактивисты, число которых активно растет после 2022 г. на российском ландшафте угроз, в последнее время стремятся не только нанести максимальный ущерб, но и активно используют троянцы-шифровальщики и требуют у жертв выкуп», — сказал руководитель Kaspersky GReAT АО «Лаборатория Касперского» Дмитрий Галов.
Руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC Михаил Климов отметил, что уже трудно однозначно разделить атакующих на «хактивистов» и «вымогателей». По его словам, чистый хактивизм, когда злоумышленники взламывали сайты и писали на главной странице политические лозунги, практически полностью ушел в прошлое. И даже политически мотивированные проукраинские группировки тоже занимаются вымогательством.
«Более точно можно разделить атаки на те, которые направлены на долгое и незаметное присутствие в инфраструктуре с целью сбора информации (шпионаж), и те, которые направлены на остановку деятельности компании-жертвы (шантаж и саботаж). В этом разрезе мы фиксируем отраслевую специфику: например, ИТ и телеком чаще отражают атаки, которые могли бы привести к прерыванию бизнес-процессов, а промышленность — атаки с целью хищения конфиденциальной информации», — рассказал он.
Дмитрий Галов отметил, что по данным Kaspersky Threat Intelligence Portal, хакерские кибергруппировки, наиболее интенсивно атакующие российские организации, предпочитают госсектор и промышленность. Также все больше внимания злоумышленников привлекают разработчики ПО. Он отметил, что взломав их, злоумышленники получают доступ к заказчикам. Еще под удар часто попадают небольшие подрядчики — через них злоумышленники могут проникнуть в системы более крупных предприятий. Но стать целью может организация любого размера и из любой сферы.
«Организации госсектора, промышленность, ИТ и телекоммуникационные компании остаются в фокусе профессиональных группировок из года в год, однако в 2025 г. мы впервые увидели сложные атаки против организаций из сферы энергетики, причем эти атаки были ориентированы как на шпионаж, так и на финансовое обогащение. Мы предполагаем, что и в дальнейшем атакующие продолжат охотиться в том числе за такими целями: как правило, это крупные компании, напрямую влияющие на состояние российской экономики. В текущих геополитических условиях вероятность новых атак на такие организации со стороны профессиональных группировок, работающих в том числе на иностранные государства, повышается», — сказал Иван Сюхин.
По словам Яны Авезовой, самыми атакуемыми целями из года в год остаются организации промышленного сектора и государственные учреждения. Она рассказала, что в 2025 г. особую угрозу для этих отраслей представляли атаки через подрядчиков и поставщиков ИТ-услуг, и, по оценкам компании, эта тенденция сохранится в 2026 г.
«Злоумышленники будут стремиться к компрометации инфраструктуры крупных промышленных и государственных организаций через их менее защищенных поставщиков ИТ-сервисов и продуктов. В числе приоритетных целей злоумышленников остаются также телекоммуникационные компании. Интенсивность и характер атак на эту отрасль зависит от геополитической ситуации. При этом DDoS-атаки на операторов связи не исчезнут полностью: они сохранятся как инструмент давления, однако все чаще могут использоваться в вымогательских схемах с целью получения выкупа за их прекращение», — заключила она.
