Рост количества атак на госсектор обусловлен, с одной стороны, геополитической напряженностью, с другой — стремлением злоумышленников получить доступ к конфиденциальной информации, связанной с управлением и безопасностью, а также к персональными данными граждан. В атаках на государственные структуры чаще всего применяются шифровальщики, трояны удаленного доступа и шпионское ПО. Одним из примеров является атака на инфраструктуру российских судов, произошедшая в октябре 2024 года. Злоумышленники получили доступ к серверам, на которых хранились данные о судебных делах и информация о гражданах, участвующих в судебных процессах. В результате атаки было уничтожено значительное количество данных, включая резервные копии, что привело к сбоям в работе судебных органов. Также была нарушена работа интернет-сайтов федеральных арбитражных судов, а вместе с ними и сайтов мировых судей. Перестали также функционировать модуль «Электронное правосудие» и личные кабинеты работников судов, полностью не работали службы электронной почты ГАС «Правосудие» и интернет-портал ГАС «Правосудие». Кроме того, атакующие добрались до портала технической поддержки с внешними информационными системами и модуля «ЭПр-СМЭВ» («Электронное правосудие — Система межведомственного электронного взаимодействия»). Наряду с перечисленным злоумышленники повредили и телефонию арбитражных судов. Сбой системы продлился около месяца и был устранен 25 ноября 2024 года. Ответственность за инцидент взяла на себя киберпреступная группировка BO Team. Предполагается, что данная атака была произведена с использованием вымогательского ПО, а недоступность сервисов в течение длительного времени может объясняться тем, что злоумышленникам удалось добраться до резервных копий данных и удалить их. Кроме того, в мае 2025 года из опубликованного счетной палатой отчета стало известно, что треть архива (89 млн записей) системы ГАС «Правосудие» была утрачена.
Промышленные предприятия становятся все более уязвимыми из-за активной цифровизации и интеграции сегментов информационных технологий и операционных технологий, при этом уровень зрелости информационной безопасности в промышленности все еще остается низким. Так, в мае 2025 года немецкий производитель бумажной продукции Fasana подвергся кибератаке с применением программы-вымогателя. Инцидент парализовал ключевые бизнес-процессы: сотрудники не могли обрабатывать заказы, выписывать счета, некоторые процессы производства и поставок оказались приостановлены, другие остановлены полностью. Кроме того, атака затронула систему выплаты заработной платы для порядка 240 сотрудников. Ущерб составил миллионы евро и привел к подаче заявления о банкротстве. Несмотря на это в июне компании удалось частично восстановить операционную деятельность и возобновить поставки.
IT-компании оказались в центре внимания злоумышленников не только как конечные цели атак, но и как потенциальные промежуточные звенья в атаках на цепочку поставок ПО. Компрометация подрядчиков, разработчиков ПО или поставщиков облачных решений позволяет атакующим получить доступ к инфраструктурам клиентов — более защищенных компаний. Так, 18 июня 2024 года произошла атака с использованием программы-вымогателя на американскую компанию — поставщика ПО, которая предлагает приложения и услуги для автомобильной промышленности. В результате кибератаки были выведены из строя многие основные системы компании, что повлекло за собой нарушения в работе около 15 000 автосалонов по всей Северной Америке. Ответственность за атаку возлагается на банду вымогателей BlackSuit, которая потребовала выкуп. По данным Bloomberg, первоначальное требование составляло 10 млн долл., но увеличилось более чем до 50 млн. Полностью восстановить деятельность всех автосалонов удалось только через две с лишним недели после атаки. Согласно оценкам консалтинговой фирмы Anderson Economic Group, эта атака обошлась автосалонам более чем в 1 млрд долл.
Разработчики ПО все чаще становятся мишенью атак, направленных на компрометацию цепочек поставок ПО, особенно через компрометацию опенсорсных компонентов. Злоумышленники используют различные методы, включая публикацию вредоносных пакетов в публичных репозиториях, таких как PyPI и npm, с целью их последующего включения в проекты разработчиков. Среди распространенных техник:
- typosquatting (атаки на опечатки при установке зависимостей);
- dependency confusion (загрузка вредоносных пакетов с именами, совпадающими с внутренними библиотеками компании);
- repository hijacking (захват репозиториев, включая технику revival hijack — повторная регистрация удаленных пакетов);
- внедрение вредоносного кода в существующие библиотеки.
Эти методы позволяют внедрить бэкдоры на этапах разработки и сборки, потенциально скомпрометировать тысячи конечных пользователей. Так, в марте 2024 года во время сложной атаки, которая длилась более двух лет, один из пользователей смог получить контроль над проектом XZ Utils — набором утилит для сжатия, включенных во многие популярные дистрибутивы Linux, после чего он внедрил бэкдор в две версии данного пакета и опубликовал его на официальной странице. В результате скомпрометированная библиотека libzma была включена в бета-версии нескольких дистрибутивов Linux (в частности, Kali Linux, openSUSE Tumbleweed и openSUSE MicroOS, Fedora 41, Fedora Rawhide и Fedora Linux 40 beta; Debian и Arch Linux). К счастью, поскольку данная версия была включена только в тестовые версии, массовой компрометации устройств по всему миру удалось избежать.
Снижение доли атак на медицину и образование не означает, что эти отрасли перестали быть мишенями для хакеров. Скорее это отражает приоритеты конкретных группировок, действовавших в 2024 и первой половине 2025 года. Такая смена приоритетов обусловлена нацеленностью злоумышленников на более выгодные цели с точки зрения выкупа или стратегической значимости. Несмотря на снижение доли, медицинские и образовательные организации продолжают сталкиваться с угрозами — как массовыми, так и целевыми. Так, в декабре 2024 года медицинская компания Ascension сообщила, что в результате кибератаки в мае того же года произошла масштабная утечка данных, затронувшая 5,6 млн пациентов, а также сотрудников компании. Взлом произошел в рамках фишинговой атаки: один из сотрудников открыл письмо от злоумышленников и загрузил вредоносное ПО, которое позволило хакерам получить доступ к данным, которые могли включать медицинские сведения, данные банковских карт, номера счетов, информацию о страховании и другие данные, представляющие значительную ценность для киберпреступников.
