Как хакеры грабят российские банки. ЦБ проанализировал атаки на финансовый сектор в 2025 году

Банк России подготовил «Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций», в котором приводятся итоги прошедшего года. Согласно документу, в 2025 году с помощью антифрод-систем было предотвращено 134,2 млн мошеннических операций на 13,9 трлн рублей. Рост числа заявлений о мошенничестве в ЦБ связывают в том числе с появлением у крупных банков «спецкнопки» в мобильных приложениях, позволяющей клиентам оперативно сообщать о хищениях даже на небольшие суммы.

Как указывается в документе регулятора, по инициативе Банка России за 2025 год была заблокирована 69,1 тыс. телефонных номеров мошенников, а также 38,4 тыс. фишинговых сайтов и страниц в социальных сетях.

Помимо мошенничеств с переводами, в 2025 году сохранялся высокий уровень целевых компьютерных атак на финансовые организации. По данным Центр взаимодействия и реагирования Департамента информационной безопасности (ФинЦЕРТ), в прошлом году зафиксировано 296 DDoS-атак, что на 21% меньше, чем годом ранее.

При этом каждая девятая такая атака приводила к инциденту операционной надежности (всего зафиксирован 761 такой инцидент общей продолжительностью 166 дней). В одном случае доступ к сервисам финансовой организации отсутствовал на протяжении четырех дней.

В структуре компьютерных инцидентов 2025 года доля атак с использованием вирусов-шифровальщиков составила 43%, тогда как на прочие типы угроз пришлось 57%. При этом в ЦБ отмечают увеличение количества инцидентов с использованием шифровальщиков именно через подрядчиков финансовых организаций.

Согласно обзору подавляющее большинство атак (98%) пришлось на кредитные и некредитные финансовые организации. Распределение вредоносного ПО показало, что чаще всего использовались шифровальщики (25%), программы-шпионы (24%) и бэкдоры (27%).

В ЦБ отмечают увеличение количества инцидентов с использованием вирусов-шифровальщиков. Чаще всего заражение происходило через подрядчиков финансовых организаций. Всего на российском рынке ИТ-услуг насчитывается около 150 значимых игроков, из которых 105 используются в финансовой сфере, но лишь 70 подключены к АСОИ ФинЦЕРТ. Как указывается в документах регулятора, соблюдение рекомендаций при работе с поставщиками значительно снижает риски атак через третьи стороны. Для этого ЦБ рекомендует вести реестр поставщиков, подключать их к АСОИ ФинЦЕРТ, закреплять в договорах стандарты и ответственность за нарушение ИБ, а также формировать базу знаний об используемом технологическом стеке.

Если ранее атаки шифровальщиков преследовали цель получения выкупа, то к концу года основной задачей злоумышленников стало нанесение максимального урона инфраструктуре. Также в отчете указывается, что в 2025 году не было выявлено новых семейств шифровальщиков — атакующие использовали программы, чей исходный код уже находился в открытом доступе, или прибегали к модели Ransomware as a Service (RaaS). Типовая схема атаки в 2025 году включала получение первоначального доступа (через эксплуатацию уязвимостей или перебор паролей), закрепление в инфраструктуре, сбор данных, горизонтальное перемещение, эксфильтрацию данных и финальное шифрование.

В 2025 году в киберучениях Банка России приняли участие более 320 организаций, что на 10% больше, чем годом ранее. В рамках учений отрабатывались сценарии эксплуатации уязвимостей, фишинговых рассылок и хищения денежных средств. Условно скомпрометированы были 25 работников в 21 финансовой организации, что составило 6,5% от участников. Всего за три года в учениях участвовали 987 организаций, было направлено более 30 тыс. писем и отработано свыше 30 сценариев.

В качестве основных векторов атак в обзоре названы эксплуатация уязвимостей (в том числе в продуктах 1С-Bitrix), фишинговые рассылки и компрометация подрядчиков. Среди тенденций 2026 года в Банке России прогнозируют дальнейший рост атак с применением ИИ, смещение фокуса на кражу данных, а также сохранение интереса злоумышленников к инфраструктуре малых и средних компаний как к точке входа в более крупные организации.