В 2025 году среднее время нахождения злоумышленника в инфраструктуре российских компаний составило 42 дня

Специалисты BI.ZONE DFIR и BI.ZONE Compromise Assessment представили данные о кибератаках на российские компании в 2025 году. Количество атак продолжает расти, а их сложность и разрушительность увеличиваются.

Среднее время присутствия злоумышленника в корпоративной инфраструктуре составило 42 дня. При этом минимальный зафиксированный промежуток от проникновения до шифрования данных — 12,5 минут, а наиболее продолжительная атака длилась 181 день. Время полного восстановления функциональности бизнес-процессов после инцидента в среднем занимало 14 дней.

Основным вектором проникновения по-прежнему остается фишинг, но в 2025 году стала чаще применяться тактика тотального уничтожения данных с использованием вайперов. Как сообщают аналитики, если ранее доминировала цель получения выкупа, то теперь все чаще фиксируются случаи целенаправленного уничтожения инфраструктуры без возможности восстановления.

Продолжение ниже

Отмечается рост атак через подрядчиков: в 2025 году около 30% инцидентов начинались с компрометации компаний-поставщиков, имеющих доступ к инфраструктуре клиента. Для устойчивого закрепления в сети злоумышленники активно используют сервисы туннелирования, такие как gsocket в Linux и Localtonet в среде Windows.

Согласно статистике, наиболее часто под удар в 2025 году попадали компании из сектора розничной торговли, что связывают со старой инфраструктурой и слабым сетевым сегментированием. Также частой целью становились небольшие IT-компании, которые использовались как точка входа для последующих атак.

В условиях эволюции угроз ключевыми факторами киберустойчивости становятся не только защита периметра, но и скорость реагирования, глубина анализа инфраструктуры и готовность к восстановлению.