Positive Technologies: геополитическая напряженность изменила ландшафт киберугроз Ирана

Эксперты Positive Technologies проанализировали ландшафт киберугроз Ирана за период со второй половины 2024 года по первую половину 2025-го. Пик активности злоумышленников пришелся на июнь текущего года — момент обострения геополитической обстановки. Атаки охватили ряд социально значимых сфер, таких как финансы, медиа, интернет и телекоммуникации, и в большинстве случаев приводили к нарушению основной деятельности организаций, а также наносили ущерб интересам государства.

Современный цифровой ландшафт Ирана характеризуется стремлением к технологическому суверенитету, расширением криптовалютной инфраструктуры, развитием экосистемы стартапов, в том числе технологических, а также исследованием и разработкой решений с использованием искусственного интеллекта. Однако активная цифровизация расширяет и поверхность кибератак, привлекая внимание как финансово мотивированных киберпреступников, так и хактивистов.

По данным исследования Positive Technologies, во второй половине 2024 года и первой половине 2025-го злоумышленники чаще всего атаковали финансовые организации (30%), транспорт и промышленные компании (17% и 13% соответственно). При этом сравнительный анализ полугодий показал: в 2025 году наибольший прирост (36%) получила отрасль финансов, а также телекоммуникации и СМИ (по 8 п. п.). Изменения вызваны июньской геополитической напряженностью, когда внимание киберпреступников переключилось на подрыв доверия населения к цифровой инфраструктуре страны.

Основными целями хакеров в июне являлись объекты, имеющие высокую экономическую и репутационную значимость. Согласно открытым данным, в 83% случаев от кибератак пострадал финансовый сектор. Злоумышленники не только парализовали все платежные процессы для населения, но и вывели из строя ключевые банки страны, а также скомпрометировали работу криптовалютных учреждений и сервисов. Кроме того, под прицелом киберпреступников оказались и СМИ, представляя собой главный инструмент влияния на общественное мнение. Более половины (53%) объявлений в дарквебе за июнь относились к организациям этой отрасли, преимущественно это были заявления о реализации DDoS-атак; 11% публикаций были связаны с госучреждениями.

Наиболее распространенный метод реализации кибератак во второй половине 2024 года и первой половине 2025-го — это использование вредоносного ПО, однако по сравнению с прошлым аналогичным периодом его доля снизилась на 15% (с 63% до 48%). Вероятно, это также связано с июньским конфликтом: стремясь нарушить функционирование крупных отраслевых объектов, политически мотивированные хакеры чаще прибегали к DDoS-атакам и дефейсу значимых сайтов. Об активной деятельности хактивистов в регионе в исследуемый период также свидетельствует тот факт, что доля бесплатно раздаваемых баз данных превысила долю продаваемых (63% против 31%).

Для повышения уровня защищенности инфраструктуры страны эксперты Positive Technologies рекомендуют внедрять продукты, позволяющие управлять инцидентами безопасности (в том числе SIEM-системы) и своевременно обнаруживать кибератаки на ранней стадии за счет анализа сетевого трафика. Следует обратить внимание на инструменты, использующие виртуальную среду для анализа ПО, а также на решения для безопасной разработки. Кроме того, специалисты подчеркивают важность комплексного подхода, сочетающего как межведомственную координацию, так и международное сотрудничество, с акцентом на защиту критической инфраструктуры.