Тихое присутствие вместо вымогательства: особенности национальных киберугроз в промышленности

Российский промышленный сектор переживает масштабную волну цифровой трансформации и форсированного импортозамещения. Однако оборотной стороной этого процесса стал резкий рост интереса к нему со стороны высокопрофессиональных злоумышленников.

Мы наблюдаем существенную разницу в подходах к кибератакам на отрасль: если во всем мире промышленность страдает от классических вирусов-вымогателей и шифровальщиков, требующих выкуп, то в России фокус окончательно сместился в сторону сложного кибершпионажа и глубокого скрытого закрепления в ИТ-инфраструктуре.

В этой статье мы разберем ключевые данные по атакам на российский промышленный сектор, проанализируем тактики атакующих групп, специфику применяемого инструментария, уязвимые места технологического сегмента, а также рассмотрим практические шаги для реализации концепции результативной кибербезопасности на производстве.

Промышленность на прицеле: абсолютное лидерство по числу атак

Доля атак на промышленные организации в России и мире (от общего числа атак на организации, 2022–2025)

В течение последних двух лет интенсивность кибератак на промышленный сегмент росла опережающими темпами по сравнению со всеми остальными секторами российской экономики. Если по итогам 2024 года на индустриальные предприятия приходилось порядка 16% от общего числа успешных инцидентов в стране, то в 2025 году эта доля увеличилась до 19%. Это позволило производственному сектору занять устойчивое первое место в антирейтинге самых атакуемых отраслей. Данная тревожная тенденция полностью сохраняется и в текущем 2026 году.

Такой устойчивый интерес со стороны атакующих обусловлен стратегической значимостью промышленности. Инциденты на крупных объектах способны не просто парализовать бизнес одного юридического лица, но и вызвать цепную реакцию во всей национальной экономике. От стабильной работы заводов напрямую зависят смежные сегменты: транспортная отрасль, логистические цепочки, капитальное строительство и ритейл. Более того, успешная атака на критическую инфраструктуру несет прямые риски нарушения жизнеобеспечения граждан — от прекращения подачи электроэнергии и тепла до сбоев в продовольственном снабжении и экологических катастроф.

Атакованные секторы промышленности в России (2024–2025)

За рассматриваемый период в российском производственном секторе была зафиксирована активность 55 профессиональных киберпреступных группировок (APT-групп и хактивистов). Наиболее уязвимым и привлекательным для злоумышленников элементом внутри индустриального контура остаются предприятия энергетики и топливно-энергетического комплекса (ТЭК). На их долю пришлось 22% от всех зафиксированных инцидентов в промышленности. Высокий уровень автоматизации технологических процессов и критическое значение для функционирования государства делают ТЭК главной мишенью для сложных целевых операций.

Национальная специфика атак: шпионаж против вымогательства

Мы отмечаем фундаментальное различие между глобальными трендами киберпреступности и российской спецификой. В общемировой практике главным кошмаром для индустриальных гигантов остаются финансово мотивированные группировки, использующие программы-вымогатели. По данным глобальной статистики, на вымогательство с шифрованием данных приходится до 54% всех промышленных кибератак в мире. Логика хакеров проста: остановить конвейер крупного автоконцерна или металлургического комбината, после чего потребовать многомиллионный выкуп за ключ дешифратора, рассчитывая на то, что бизнесу дешевле заплатить, чем терпеть многодневные убытки от простоя.

В России ситуация выглядит совершенно иначе. Распределение мотивов 55 группировок, атаковавших отечественные заводы, выглядит следующим образом:

Кибершпионаж (APT-атаки) — 47% инцидентов. Это абсолютные лидеры ландшафта угроз. Их цель — не быстрая финансовая нажива, а кража интеллектуальной собственности, получение доступа к конструкторской документации, планам модернизации предприятий и закрытым государственным контрактам.
Политически мотивированный хактивизм — 28% инцидентов. Эти группы нацелены на нанесение максимального репутационного ущерба, проведение деструктивных атак (с использованием т.н. вайперов, уничтожающих данные без возможности восстановления) или дефейс веб-ресурсов для демонстрации уязвимости систем.
Финансово мотивированные злоумышленники — 25% инцидентов. Сюда входят классические вымогатели, однако даже они в российских реалиях стали чаще прибегать к тактике «чистого вымогательства», когда данные не шифруются, а скрытно выкачиваются с угрозой их публикации или передачи конкурентам.

Рисунок 16. Сообщение хактивистов с доказательствами взлома российского промышленного предприятия в конце 2025 года — Сообщение хактивистов с доказательствами взлома российского промышленного предприятия в конце 2025 года

Таким образом, приоритетом для большинства атакующих в РФ стала долгосрочная компрометация инфраструктуры и сбор конфиденциальных данных, а не немедленное выдвижение финансовых требований. Злоумышленники стремятся как можно дольше оставаться незамеченными ИБ-службами.

Инструментарий атакующих: триумф вредоносного ПО

Методы атак на промышленные организации в России и мире (доля успешных атак, 2024–2025)

Анализ методов проведения атак демонстрирует качественное изменение технического арсенала хакеров. Доля инцидентов с использованием вредоносного программного обеспечения (ВПО) в промышленном секторе России показала взрывной рост, увеличившись с 56% в прошлые периоды до внушительных 83% в структуре актуальных угроз. Вторым по популярности методом осталась социальная инженерия, зафиксированная в 71% случаев (зачастую эти методы комбинируются: фишинговое письмо служит вектором первоначального доступа для доставки ВПО).

Рисунок 7. Рассылка от группировки PhantomCore (источник: PT ESC) — Фишинговое письмо, отправленное группировкой Hive0117 (источник: PT ESC)

Если детализировать структуру применяемого вредоносного софта, то на передний план выходят инструменты для долгосрочного закрепления:

ВПО для удаленного управления, RAT (Remote Access Trojans) — использовалось в 55% случаев. Такой высокий показатель прямо подтверждает тезис о стремлении хакеров к организации скрытого присутствия. Получив контроль над сервером или рабочей станцией инженера, злоумышленники могут месяцами изучать топологию сети, собирать учетные данные и ждать удобного момента для горизонтального перемещения.
Шпионское ПО (spyware) — зафиксировано в 33% инцидентов. Программы-шпионы ориентированы на автоматический сбор паролей, перехват нажатий клавиш (кейлоггеры), копирование файлов определенных расширений и отправку этой информации на командные серверы (C2) атакующих.

Высокая доля скрытных инструментов указывает на то, что средства защиты периметра и сигнатурный анализ на конечных точках уже не справляются с обнаружением продвинутых угроз. Злоумышленники активно используют легитимные утилиты администрирования (тактика living off the land), легальные туннели и кастомные обертки для своего кода, что позволяет им годами мимикрировать под легитимный трафик внутренних систем.

Векторы проникновения и технологический сектор

Наибольшую опасность для любого промышленного объекта представляют действия нарушителей внутри технологического сегмента сети — в зоне ОТ, где функционируют автоматизированные системы управления технологическими процессами (АСУ ТП), программируемые логические контроллеры (ПЛК) и SCADA-системы.

Проникновение в технологическую сеть чаще всего происходит по стандартному сценарию через корпоративный контур (IT-сегмент). Из-за исторически сложившейся недостаточной изоляции или из-за ошибок в настройке межсетевых экранов (наличие сквозных маршрутов для нужд администрирования или сбора технологической статистики) злоумышленники осуществляют горизонтальное перемещение из скомпрометированной офисной сети непосредственно вглубь производства.

Среди ключевых факторов, способствующих успешным атакам в 2025–2026 годах, эксперты выделяют:

Фактор форсированного импортозамещения. Российские предприятия вынуждены в сжатые сроки мигрировать со стандартного западного ПО и оборудования (Siemens, Schneider Electric, SAP) на отечественные аналоги или решения из дружественных стран. Зачастую этот переход осуществляется в режиме жесткого дефицита времени, из-за чего этапы глубокого анализа защищенности, безопасной разработки и моделирования угроз попросту пропускаются. Новые ИТ-архитектуры внедряются с дефолтными конфигурациями и слабыми паролями, создавая «слепые зоны» для служб ИБ.
Эксплуатация уязвимостей на внешнем периметре. В последнее время участились атаки через уязвимости в пограничных устройствах: VPN-шлюзах, корпоративных почтовых серверах (например, получившие широкий резонанс эксплойты для Roundcube Webmail, активно использовавшиеся группами CapFix и Mythic Likho) и роутерах.
Атаки на цепочку поставок (supply chain attacks). Вместо прямого штурма хорошо защищенного периметра корпорации хакеры атакуют ее подрядчиков — небольшие ИТ-компании, интеграторов, сервисные организации, осуществляющие удаленное обслуживание станков или внедрение софта. Через их легитимные учетные записи и доверенные каналы связи злоумышленники проникают в целевую систему.

Последствия инцидентов: сколько стоит взлом?

Последствия атак на российские промышленные организации (доля успешных атак, 2024–2025)

Чаще всего атаки на российскую промышленность приводили к утечкам конфиденциальной информации (61%) и нарушениям основной деятельности (33%). Из организаций преимущественно похищалась коммерческая тайна (29%), доля ее краж существенно превышала общероссийский показатель по всем отраслям. Злоумышленников больше интересует техническая документация, сведения о разработках и ноу-хау.

Похищенные сведения не всегда остаются исключительно в руках самих злоумышленников. Объявления об утечках из российских промышленных организаций демонстрируют следующие тренды:

52% объявлений связаны с бесплатной раздачей украденных данных в сеть для нанесения ущерба;
14% объявлений связаны с коммерческой продажей украденных данных;
300 тыс. $ — стоимость самой дорогой утечки, продаваемой в даркнете.

Как защитить индустриальный гигант: переход к результативной ИБ

Классический «бумажный» подход к информационной безопасности, ориентированный исключительно на выполнение формальных требований регуляторов, окончательно изжил себя. В условиях, когда против промышленности работают более полусотни профессиональных APT-группировок, защита должна строиться на принципах результативности — предотвращения недопустимых для бизнеса событий.

Защита ИТ-инфраструктуры (Корпоративный сегмент)

Для построения надежной защиты необходим комплексный подход и использование специализированных ИБ-решений:

Фильтрация трафика и ВПО: Использование почтовых/веб-шлюзов реального времени, NGFW и прокси-серверов с категоризацией сайтов.
Управление уязвимостями и активами. Внедрение систем класса VM (vulnerability management)и AM (asset management) для инвентаризации «теневых» ИТ-систем и автоматизации обновлений.
Контроль комплаенса. Применение систем HCC (контроль узлов и парольных политик), NCC(безопасность сети и сегментация) и UCC (защита учетных записей и предотвращение их компрометации).
Аутентификация. Введение строгих парольных политик, использование менеджеров паролей и обязательная двухфакторная аутентификация для админов и внешних сервисов (VPN, почта).
Мониторинг и реагирование. Использование систем SIEM (сбор событий), EDR/EPP (защита конечных точек), NTA (анализ сетевого трафика) и продуктов защиты почты. При отсутствии ресурсов — привлечение внешнего SOC.
Аналитика и аудит: Подписка на фиды threat intelligence, регулярное проведение пентестов, киберучений и ретроспективного анализа инцидентов.

Защита технологического сегмента (ОТ / АСУ ТП)

Защита промышленной среды должна закладываться еще на этапе проектирования с учетом специфики техпроцессов. Разрозненные средства здесь неэффективны, необходим комплексный подход:

Инвентаризация и поиск уязвимостей: Автоматический сбор данных о ПО/железе (включая контроллеры и рабочие станции) и отслеживание изменений конфигураций.
Контроль целостности сети: Выявление несанкционированных подключений и анализ промышленных протоколов.
Обнаружение аномалий: Поиск в режиме реального времени признаков компрометации, сетевых туннелей, слабых паролей и атак на Windows/Linux.
Защита конечных узлов и SCADA: Антивирусная защита АРМ и серверов АСУ ТП, обнаружение скрытых атак и пресечение попыток подмены файлов проектов или нелегитимного запуска инженерного ПО.
Контроль техпроцесса: Мониторинг ключевых технологических параметров, фиксация отклонений и блокировка опасных команд (например, несанкционированная перепрошивка ПЛК).
Комплаенс: Выполнение требований ФСТЭК по защите КИИ и интеграция со структурами ГосСОПКА.

Заключение

Анализ кибератак на промышленный сектор за 2025–2026 годы демонстрирует, что российская промышленность находится в состоянии затяжного киберпротивостояния высокого уровня сложности. Смещение фокуса атак с банального шифрования ради выкупа на скрытный долгосрочный шпионаж требует от директоров по безопасности принципиальной смены парадигмы. Главной задачей становится не выстраивание глухих «заборов» на периметре, а развитие возможностей для мгновенного обнаружения аномалий внутри сети, минимизация радиуса поражения при неизбежном компромате отдельных узлов и обеспечение гарантированной непрерывности технологического цикла. Только такой прагматичный и результативный подход позволит отечественной индустрии сохранить устойчивость в эпоху глобальной цифровой трансформации.

С полной версией исследования можно ознакомиться на нашем сайте.

Валерия Беседина

Аналитик исследовательской группы PT Cyber Analytics

PT ISIM

Команда центра промышленной экспертизы PT ISIM

ссылка на оригинал статьи https://habr.com/ru/articles/1036788/