К ноябрю 2025 года доля проникновения вредоносного программного обеспечения, применяемого профессиональными хакерскими группировками, в инфраструктуры российских компаний достигла 35%, что на 10 п.п. превышает показатель по итогам второго квартала. Об этом на SOC Forum сообщили «Известиям» эксперты ГК «Солар», архитектора комплексной кибербезопасности.
Так, в четвертом квартале 2024 года в среднем каждая компания фиксировала 40 случаев заражения ВПО, тогда как в октябре 2025 года их число выросло до 99. К концу года этот показатель может снова увеличиться — злоумышленники, особенно мотивированные финансово, традиционно активизируются перед распродажами, Новым годом и последующими каникулами.
В третьем квартале хакеры чаще предпринимали попытки атаковать организации в секторе промышленности (27% сработок сенсоров, -5 п.п. по сравнению со 2-м кварталом), в ТЭК (17%, +6 п.п.), в здравоохранении (17%, -1 п.п.) и в госструктурах (13%, +6 п.п.). Немного меньше инцидентов зафиксировано в IT-компаниях (11%), образовательных организациях (10%), кредитно-финансовой отрасли (4%) и телекоме (1%).
При этом в октябре 2025 года доля заражений ВПО в ТЭК поднялась до 30%, в здравоохранении — до 29%, а в госструктурах — до 26%. Остальные случаи инфекции пришлись на промышленность (6%), сферу образования (4%) и прочие отрасли.
Основная часть инцидентов приходилась на индикаторы присутствия APT-группировок (32% в 3-м квартале, +7 п.п. по сравнению со 2-м кварталом), на программы-стилеры для кражи конфиденциальной информации (30%, -8 п.п.) и на RAT-инструменты для получения удаленного доступа к ИТ-системам компании-жертвы (24%, +5 п.п.). В октябре 2025 года доля присутствия профессиональных хакеров выросла до 36%, доля стилеров — до 32%, тогда как RAT остался примерно на прежнем уровне и составил 23%.
Эксперты связывают рост популярности RAT с желанием хакеров контролировать скомпрометированные системы жертв и монетизировать атаки — например, посредством таких инструментов можно продавать на черном рынке доступы к взломанным инфраструктурам. Параллельно активность APT-группировок продолжает нарастать — это связано с последними геополитическими событиями, из-за которых российские организации вызывают больший интерес у профессиональных хакеров, действующих в интересах иностранных государств.
В начале ноября заместитель директора департамента металлургии и материалов Сергей Грачев рассказал «Известиям», что более половины кибератак начинаются с фишинга. Даже при наличии передовых систем защиты решающим остается человеческий фактор: сотрудник открывает вредоносное письмо, и заражение распространяется внутри корпоративного периметра.