Актуальные киберугрозы для организаций в СНГ: H2 2024 — Q3 2025

• С июля 2024 года по сентябрь 2025 года на организации стран СНГ пришлось 14–18% всех успешных кибератак в мире. С учетом ожидаемого роста активности злоумышленников во втором полугодии, по итогам 2025 года их количество может превысить показатель прошлого года на 5–15%.

• Основными методами кибератак на организации в странах СНГ остаются использование вредоносного ПО и социальная инженерия. По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с применением ВПО выросла с 54% до 67%, с использованием социальной инженерии — с 48% до 59%.

• Главная цель киберпреступников — промышленные предприятия. На них пришлось 15% всех успешных кибератак на организации, что на 4 п. п. больше, чем в 2023 году и первой половине 2024-го. Далее следуют государственные учреждения (13%), IT-компании и телекоммуникации (по 7%).

• Финансово мотивированные группировки остаются самыми активными. Во втором полугодии 2024-го и первых трех кварталах 2025 года они совершили 30% всех успешных кибератак, при этом было зафиксировано не менее 28 группировок с финансовой мотивацией. Чаще всего их жертвами становились промышленные (15%), торговые предприятия (10%) и финансовые организации (9%).

• С июля 2024-го по сентябрь 2025 года на организации в СНГ совершали атаки не менее 25 кибершпионских групп. На их долю пришлось 22% всех успешных кибератак. Чаще всего жертвами становились промышленные предприятия (20%), государственные учреждения (19%) и организации оборонного комплекса (11%).

• За тот же период организации в СНГ стали объектами атак как минимум 19 хактивистских группировок, на долю которых пришлось 18% всех успешных кибератак. Чаще всего их жертвами становились госучреждения (15%), промышленность (14%) и телекоммуникации (11%) — отрасли стратегического значения.

• Главные последствия атак — утечки данных и сбои в работе компаний. По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с утечкой информации увеличилась с 41% до 54%; доля успешных атак, приводивших к нарушению деятельности компаний, осталась на прежнем уровне (38%). Чаще всего похищалась информация, составляющая коммерческую тайну (30%), учетные записи (24%), а также персональные данные (16%).

• На теневых площадках более половины (54%) публикаций об утечках связаны с бесплатной раздачей украденных данных. Еще 26% объявлений нацелены на их продажу, при этом в большинстве случаев (79%) цена не превышает 1000 долларов.

• Четверть всех публикаций в дарквебе об утечках данных из компаний в СНГ приходится на торговую сферу — интернет-магазины, маркетплейсы, аптечные сети. Еще 14% связаны с государственными учреждениями: министерствами, ведомствами, местной администрацией и посольствами. Третье место по числу упоминаний занимает финансовый сектор (10%).

• Половина объявлений о продаже или раздаче данных связана с утечками небольшого размера — до 100 тыс. записей. Однако на теневых площадках встречаются и крупные утечки: каждое восьмое (12%) объявление содержало базы объемом свыше 5 млн записей. В 7% случаев предлагались архивы размером более 100 ГБ.

В первой половине 2025 года количество успешных кибератак на организации в странах СНГ превысило показатель за аналогичный период 2024 года на 20%. По состоянию на конец сентября в III квартале было зафиксировано 88 успешных атак — заметно меньше, чем в I и II кварталах. Однако их фактическое количество может быть выше, поскольку информация о многих инцидентах становится публичной лишь спустя несколько месяцев.

В IV квартале ожидается пик кибератак в масштабах года. Традиционно этот период совпадает с максимальной деловой активностью компаний: завершаются проекты, заключаются крупные сделки, распределяются бюджеты на следующий год и формируется отчетность. Такая концентрация критически важных процессов повышает привлекательность организаций для злоумышленников, нацеленных на кражу данных, вымогательство и шантаж.

Осенью и зимой также усиливается фишинговая активность, связанная с налоговыми уведомлениями и сезонными продажами и сезонными продажами. Дополнительный рост числа атак обусловлен политико-экономическими факторами — утверждением бюджетов, подведением итогов социально-экономического развития, проведением выборов. Так, по данным СМИ, 28 сентября, в день парламентских выборов в Молдове, сайты государственных органов этой страны подверглись кибератакам. Кроме того, к концу года во многих организациях накапливаются отложенные обновления ПО, а высокая нагрузка на IT-службы снижает их способность своевременно реагировать на инциденты.

Учитывая динамику 2023–2024 годов и ожидаемое увеличение активности злоумышленников в IV квартале, мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак на организации превысит показатель прошлого года на 5–15%.

Абсолютным лидером по числу успешных кибератак на организации в СНГ является Россия. Во втором полугодии 2024-го и в первых трех кварталах 2025 года на ее долю пришлось 72% всех успешных атак, направленных против организаций региона. На втором и третьем местах Беларусь (9%) и Казахстан (7%) соответственно.

Во второй половине 2024-го и первых трех кварталах 2025 года максимальному числу атак в странах СНГ подверглись промышленность (15%), госучреждения (13%), IT-компании и телекоммуникации (по 7%).

Финансово мотивированные группировки являются самой активной категорией злоумышленников в СНГ. Во втором полугодии 2024-го и первых трех кварталах 2025 года они совершили 30% всех кибератак в регионе, при этом было зафиксировано не менее 27 группировок с финансовой мотивацией. Чаще всего их жертвами становились промышленные предприятия (15%), торговые компании (10%) и финансовые организации (9%). При этом 30% атак были совершены без привязки к отрасли.

В рассматриваемый период на организации в СНГ совершали атаки не менее 25 кибершпионских групп. На их долю пришлось 22% всех кибератак в регионе. Чаще всего жертвами становились промышленность (20%), государственные учреждения (19%) и оборонные предприятия (11%).

Помимо кибершпионских групп за рассматриваемый период организации стран СНГ подверглись атакам как минимум 19 хактивистских группировок, на долю которых пришлось 18% всех зафиксированных в регионе кибератак. За последний год приоритеты хактивистов изменились: если ранее основным объектом атак была телекоммуникационная отрасль (23%), то теперь ее доля снизилась до 11%. Наибольшее число атак пришлось на госучреждения (15%) и промышленность (14%) — секторы, имеющие стратегическое значение для государств региона.

Мы проанализировали 971 уникальное объявление, опубликованное на различных теневых форумах и в Telegram-каналах, в которых упоминались утечки данных из организаций стран СНГ во второй половине 2024 года и в первых трех кварталах 2025 года. Большая часть (54%) этих публикаций связаны с бесплатным распространением архивов и баз данных. В 26% случаев данные предлагались к продаже, еще в 6% авторы заявляли о намерении купить ту или иную информацию. Оставшиеся 14% объявлений содержали предложения о сотрудничестве, обмене или запросы на конкретные наборы данных.

В 87% публикаций фигурировали российские компании. Упоминания организаций из других стран СНГ встречались значительно реже: Казахстан и Беларусь — по 6%, Узбекистан — 5%. На долю остальных стран СНГ приходилось не более чем по 2% объявлений.

Четверть публикаций об утечках данных из компаний из стран СНГ приходится на организации торговой сферы — интернет-магазины, маркетплейсы и аптечные сети. Еще 14% сообщений касаются утечек из государственных учреждений: министерств, ведомств, городских администраций, посольств и других структур. На третьем месте — финансовый сектор (10%), включая банки, микрокредитные организации и страховые агентства.

В дарквебе также регулярно публикуются объявления о продаже или бесплатной раздаче баз данных клиентов организаций из отдельных отраслей — например, банков, медицинских учреждений или страховых компаний. Мы отнесли такие случаи к категории «без привязки к отрасли»; их доля составила 4% от общего числа. Помимо этого, встречаются базы, сгруппированные по социальной принадлежности — пенсионеры, студенты, военнослужащие. Подобная информация может использоваться злоумышленниками для таргетированных фишинговых рассылок или для телефонного мошенничества.

В большинстве объявлений о продаже данных (79%) указана стоимость менее 1000 долларов. Однако встречаются и предложения, где цена превышает 50 000 долларов. Максимальная сумма — 300 000 долларов — была заявлена в объявлении о продаже файлов, принадлежащих крупной промышленной организации.

Большинство утечек, опубликованных в дарквебе, представляют собой небольшие базы данных (менее 100 тысяч строк) и архивы файлов объемом до 1 ГБ. Однако в 12% объявлений речь идет о крупных базах с количеством строк более 5 миллионов.

Россия является главным объектом интереса киберпреступников в СНГ: на ее долю приходится почти три четверти (72%) всех кибератак в регионе. Российские организации становились целями 88% кибершпионских группировок, действующих на территории Содружества. Такое доминирующее положение страны среди приоритетных целей объясняется рядом факторов.

Во-первых, Россия играет важную роль в формировании глобальной политической повестки. Это повышает интерес иностранных разведывательных структур и аффилированных с ними кибергруппировок, которые стремятся получить доступ к информации о планах и решениях руководства страны, чтобы предугадать или повлиять на ее действия.

Во-вторых, экономика России остается стратегически значимой благодаря энергетическим ресурсам — нефти, природному газу, углю — которые экспортируются в десятки стран и служат инструментом влияния на мировой рынок. Все большую роль начинает играть и атомная энергетика: Россия активно продвигает проекты АЭС за рубежом и развивает это направление как одно из ключевых в рамках своего энергетического присутствия. Контроль над промышленным сектором и понимание его будущих направлений развития представляют особую ценность для конкурирующих государств. Так, киберпреступники стремятся проникнуть на производственные предприятия, чтобы собирать данные о контрактах, инфраструктуре и технологических процессах. Промышленность — самая атакуемая отрасль в России, на ее долю пришлось 17% всех успешных кибератак, направленных против российских организаций.

В-третьих, Россия активно развивает собственные высокотехнологичные отрасли, включая ОПК, ядерные и космические технологии, IТ. Эти сферы традиционно находятся под прицелом конкурирующих держав, поскольку кража наработок или разведывательная информация могут дать серьезное стратегическое преимущество.

Наконец, Россия является частью международных организаций (БРИКС, ШОС и др.), где вырабатываются новые форматы сотрудничества. Данные о переговорах, позициях российских представителей и будущих инициативах представляют исключительный интерес для внешних игроков, стремящихся скорректировать свою политику или повлиять на баланс сил.

Таким образом, геополитическая роль России, ее ресурсы и технологический потенциал делают страну крайне привлекательной целью для киберпреступников. Причем атаки направлены не только на госструктуры, но и на крупный бизнес и его подрядчиков, что создает сложную и многоуровневую картину угроз.

Наиболее распространенным вектором первоначального проникновения из года в год остается фишинг. Методы социальной инженерии были задействованы в 60% кибератак, что на 11 п. п. больше, чем в 2023 и первой половине 2024 года. Выросла также и доля атак с использованием вредоносного ПО — с 56% до 71%.

Более половины (56%) атак заканчивались утечками конфиденциальной информации. Утекшие данные нередко оказываются на теневых площадках в дарквебе. В 55% объявлений, связанных с утечками из российских организаций, информация распространяется бесплатно. В 88% подобных публикаций — будь то раздача или продажа — содержатся персональные данные. Четверть всех объявлений приходится на интернет-магазины, маркетплейсы и аптеки. Стоимость их баз данных на теневых площадках варьируется от 1200 до 8000 долларов США, при этом важно отметить, что в некоторых объявлениях цена не указана и является договорной.

Беларусь является одной из наиболее привлекательных мишеней для киберпреступников, атакующих страны СНГ, занимая второе место в регионе по числу кибератак. Согласно нашим данным, во второй половине 2024 года и первых трех кварталах 2025-го на долю белорусских организаций пришлось 9% всех успешных кибератак, направленных против организаций в странах СНГ. Это обусловлено несколькими факторами.

Во-первых, страна поддерживает устойчивое стратегическое партнерство с Россией в ключевых сферах. Участие в Союзном государстве, ОДКБ и ЕАЭС делает Беларусь важным звеном в инфраструктуре союзнических связей, а значит — источником интересной информации для внешних кибершпионских структур. Злоумышленников могут интересовать как документы и переписка, касающиеся взаимодействия с российскими ведомствами, так и данные о логистике, санкционной политике и внутренней стабильности. Среди наиболее активных кибершпионских группировок, атакующих белорусские организации, выделяются PhaseShifters, Rare Werewolf, Cloud Atlas, XDSpy и GOFFEE.

Во-вторых, после внутриполитического кризиса 2020 года Беларусь оказалась под пристальным вниманием со стороны политически мотивированных хактивистских группировок. На долю хактивизма приходится 24% успешных атак на организации. Во второй половине 2024-го и в первых трех кварталах 2025 года атаки фиксировались со стороны группировок «Киберпартизаны», Silent Crow, DumpForums, Cyber Anarchy Squad и Head Mare. Наиболее активной из них остаются «Киберпартизаны».

Первоначально атаки «Киберпартизан» были сосредоточены на белорусских организациях, однако со временем в список целей вошли и российские компании. Деятельность «Киберпартизан» характеризуется проведением резонансных кибератак, направленных на шифрование или уничтожение данных. В арсенале группировки присутствуют вредоносные инструменты собственной разработки — в частности, бэкдоры, ПО, удаляющее данные, и утилиты для туннелирования трафика, что говорит о наличии технически подготовленных участников и доступе к ресурсам для разработки кастомных решений. Помимо этого, «Киберпартизаны» периодически проводят дефейс-атаки. О своих кампаниях и жертвах злоумышленники сообщают через собственный Telegram-канал. В числе их недавних целей — белорусские финансовые организации, государственные структуры и СМИ.

В-третьих, Беларусь представляет интерес и для киберпреступников, нацеленных на финансовую выгоду. Банковская сфера, логистика, телеком и госуслуги подвергаются фишинговым атакам, внедрению вредоносного ПО и шантажу с использованием программ-шифровальщиков. В условиях ограниченного международного сотрудничества и слабой экстрадиционной политики злоумышленники ощущают меньший риск наказания.

Кроме того, на территории страны сохраняется значительное количество устаревших IT-систем, особенно в государственном и промышленном секторах. Это, в сочетании с недостаточной защитой и дефицитом специалистов по информационной безопасности, существенно повышает уязвимость цифровой инфраструктуры. В результате она становится легкой целью как для массовых, так и для целевых атак. Так, во второй половине 2024 года и в первых трех кварталах 2025-го доля успешных атак с эксплуатацией уязвимостей выросла с 34% до 48%.

Доля успешных кибератак с использованием социальной инженерии остается на уровне 2023 года и первой половины 2024-го — 67%. В то же время атаки с применением вредоносного ПО стали фиксироваться реже: их доля снизилась с 77% до 62%.

В 62% случаев успешные кибератаки заканчивались утечкой конфиденциальной информации. Информация из белорусских организаций пользуется большим спросом на теневых площадках: 14% всех объявлений, связанных с утечками, были направлены на поиск тех или иных данных, еще 14% составили объявления о покупке. При этом по сравнению с Россией доля объявлений о бесплатной раздаче украденных данных в Беларуси вдвое ниже — всего 27%.

В Беларуси высокая доля атак на госучреждения, она составила 18%. Существенным фактором выступает внутренняя политическая ситуация: атаки на государственные органы направлены не только на кражу данных, но и на дестабилизацию страны, распространение дезинформации с целью повлиять на общественное мнение. Дополнительным фактором риска становится активное развитие цифровой инфраструктуры: электронное правительство и цифровые сервисы повышают удобство для граждан и бизнеса, но одновременно создают новые уязвимости, которые используют злоумышленники.

На промышленность Беларуси приходится 14% кибератак. Привлекательность производственного сектора объясняется не только его масштабом и стратегической значимостью, но и спецификой экономики страны. Беларусь традиционно сильна в машиностроении, нефтехимии, легкой и пищевой промышленности. Эти сферы тесно интегрированы в экспорт и международные контракты, что повышает интерес к ним со стороны киберпреступников. Доступ к внутренним данным предприятий открывает конкурентам ценные сведения о технологиях, производственных процессах и партнерских связях.

Каждая девятая (11%) успешная кибератака на белорусские организации пришлась на финансовую отрасль. Банки и финтех-компании остаются одними из наиболее привлекательных целей для злоумышленников из-за концентрации финансовой информации, персональных данных клиентов и критически значимой инфраструктуры. Финансовый сектор в Беларуси атаковали, в частности, такие группировки, как Narketing163, TA558, «Киберпартизаны», ComicForm.

В числе наиболее часто атакуемых организаций оказались также белорусские СМИ, на них приходится 6% кибератак. СМИ аккумулируют обширные базы данных пользователей (подписки, регистрация на сайтах, комментарии), которые интересны для киберпреступников. Атаки на информационные ресурсы позволяют влиять на общественное мнение: от дефейса сайтов и распространения дезинформации до временной дестабилизации работы популярных новостных порталов. В условиях политической напряженности это делает СМИ стратегической целью, где кибератаки превращаются в инструмент информационного и идеологического воздействия.

Казахстан остается одной из приоритетных целей для кибератак благодаря сочетанию геополитической значимости, богатой ресурсной базы и активной цифровизации. Страна занимает стратегическое положение в Центральной Азии и проводит многовекторную внешнюю политику, сотрудничая одновременно с Россией, Китаем и западными государствами, что неизбежно повышает интерес со стороны киберпреступников. Во второй половине 2024 года и первых трех кварталах 2025-го на Казахстан пришлось 7% всех успешных кибератак, направленных против организаций из стран СНГ, что ставит его в один ряд с Беларусью и выше ряда других стран региона. Среди наиболее активных группировок — Rare Werewolf, MuddyWater, GOFFEE и Bloody Wolf.

Одним их основных методов кибератак остается социальная инженерия: доля успешных атак с использованием социальной инженерии выросла с 46% до 58%. Чаще всего это фишинговые письма и сообщениях в мессенджерах, через которые распространяется вредоносное ПО (применялось в 71% всех успешных кибератак на организации). Также распространены мошеннические схемы с использованием фишинговых сайтов и поддельных страниц в социальных сетях. Так, служба реагирования на компьютерные инциденты KZ-CERT совместно с Народным банком Казахстана, крупнейшим коммерческим банком страны, регулярно выявляют фишинговые ресурсы, маскирующиеся под сайт банка (homebank.kz) и нацеленные на кражу персональных и учетных данных пользователей онлайн-банка.

В 52% случаев кибератаки приводили к утечке конфиденциальной информации. Анализ объявлений об утечках на теневых площадках показал, что в 97% публикаций, связанных с продажей или бесплатным распространением данных казахстанских организаций, содержатся персональные сведения. Крупнейшая выявленная база включала 16 млн строк с данными жителей страны (Ф.И.О., пол, дата рождения, ИИН, номер телефона и др.) и распространялась бесплатно.

Доля объявлений о бесплатной раздаче украденных данных в Казахстане сопоставима с такой долей в Беларуси и составляет 35%. В 41% публикаций информация была выставлена на продажу, причем стоимость обычно не указывается и обсуждается индивидуально. Помимо этого, встречаются предложения о партнерстве или обмене данными. Например, в одном из объявлений автор предлагает помощь в приведении ее в удобный для дальнейшего использования вид, гарантируя конфиденциальность и отсутствие передачи информации третьим лицам.

Казахстан активно развивает систему электронного правительства и в 2025 году вошел в топ-10 мирового рейтинга по уровню развития онлайн-госуслуг. Сегодня более 92% услуг государственных органов доступны через портал eGov.kz и мобильное приложение, а к середине 2025 года число зарегистрированных пользователей на платформе почти достигло 15 млн. Однако развитие цифровизации сопровождается и новыми рисками: злоумышленники все чаще используют уязвимости для кражи персональных данных и дестабилизации критически важных систем. Существенную роль в этом играет и внутренний политический контекст: атаки на госорганы и силовые структуры позволяют не только добывать информацию о процессах внутри страны, но и оказывать давление на политическую стабильность. Доля атак на госучреждения в Казахстане составила 13%.

Внимание киберпреступников привлекает и промышленный сектор, на долю которого пришлось 10% успешных атак на организации. Казахстан обладает крупными запасами нефти, газа и угля, а также является мировым лидером по добыче урана, обеспечивая около 40% глобального производства. Участие страны в международных инициативах, включая проект «Один пояс и один путь», усиливает интерес иностранных игроков, ориентированных на экономический и промышленный шпионаж.

Не меньший интерес для злоумышленников представляет телекоммуникационная отрасль, атаки на этот сектор составили 8% от всех успешных кибератак на организации. Операторы связи аккумулируют обширные массивы персональных данных клиентов — паспортные сведения, адреса, номера телефонов, детализацию звонков и переписки. Эти данные ценятся как на теневых рынках, где их продают или распространяют бесплатно, так и в рамках кибершпионских операций, используемых для слежки за отдельными лицами и организациями.