Шпионаж и финансовая выгода почти вытеснили хактивизм из целей кибератак

Около 90% хакерских атак профессиональных группировок в первом полугодии 2025 года были направлены на шпионаж и финансовую выгоду. В то время как доля хактивизма — атак для продвижения политических и других идеологических идей — снизилась до 8%, хотя в 2023 году она составляла 35%. К таким выводам пришли эксперты центра исследования Solar 4RAYS. Подробности — в распоряжении «Инка».

Анализ инцидентов показал рост доли атак с целью шпионажа до 68% от общего числа расследований, что на 7 п.п. выше, чем годом ранее. Вымогательство и майнинг криптовалют заняли 20% случаев, увеличившись на 8 п.п., тогда как хактивистские действия с элементами разрушения инфраструктуры или утечек данных уменьшились до 8%, потеряв 4 п.п.

Руководитель по развитию направления реагирования на инциденты центра исследования киберугроз Solar 4RAYS Геннадий Сазонов связывает снижение доли хактивизма с тем, что хакеры ставят перед собой более масштабные задачи. 

«Просто взломать какой-то сайт и разместить на нем политический баннер уже неинтересно и в целом мало эффективно. Есть какой-то резонанс, но он утихает в короткий промежуток времени. Приоритетной целью становится нанесение более серьезного ущерба, что подтверждает уже этот год», — добавил он.

В то же время, по словам руководителя группы расследования инцидентов центра исследования Solar 4RAYS Ивана Сюхина, немногочисленные, но деструктивные атаки хактивистов сохраняют угрозу.

Злоумышленники также стали избирательнее в выборе целей, сократив количество атакованных отраслей на 40% по сравнению с аналогичным периодом 2024 года. Сокращение числа целевых отраслей привело к концентрации на шести ключевых: государственном секторе (36% расследований), промышленности (20%), ИТ (12%), медицине (12%), энергетике (12%) и ритейле (8%). При этом атаки на госорганизации выросли на 5 п.п., а на промышленные предприятия — на 11 п.п.

В отдельных случаях фиксировались одновременные атаки на одну компанию от двух-трех независимых группировок, что подчеркивает привлекательность объектов, влияющих на экономику и безопасность.

Основные методы проникновения включали эксплуатацию уязвимостей в веб-приложениях (46% случаев) и использование скомпрометированных учетных записей (40%). Фишинг и атаки через цепочки поставок составили по 7%. Хотя 32% инцидентов длились не более недели, растет тенденция к затяжным операциям: доля атак до месяца увеличилась на 7 п.п. до 16%, а до двух лет — на 10 п.п. также до 16%. В одном примере майнер работал в инфраструктуре компании незамеченным около 10 лет.