Ежегодный отчёт Cyble Research & Intelligence Labs (CRIL) о ландшафте угроз за 2025 год гласит: киберпреступники и хактивисты усилили атаки на промышленные технологические среды, причём количество эксплойтов уязвимостей в этих системах почти удвоилось.
Одним из ключевых выводов авторов стал растущий интерес различных субъектов киберугроз к системам промышленного управления (industrial control systems, ICS) и операционным технологиям (OT). Сообщается о 2451 раскрытии уязвимостей в ICS от 152 поставщиков в прошлом году, тогда как годом ранее их было выявлено 1690 у 103 вендоров. Компания Siemens оказалась наиболее пострадавшей — с 1175 зарегистрированными случаями. Это значительно превзошло показатели Schneider Electric, занявшей второе место (163 эпизода за год).
Ухудшение ситуации частично обусловлено увеличением числа атак со стороны киберпреступников, которые всё чаще ищут уязвимости в системах «человеко-машинного интерфейса» (HMI) и системах диспетчерского управления и сбора данных (Supervisory Control and Data Acquisition, SCADA).
По данным Cyble, две сильно зависимые от ICS отрасли — производство и здравоохранение — стали наиболее подверженными атакам программ-вымогателей. Исследователи зафиксировали 600 скомпрометированных производственных и 477 медицинских организаций за отчётный период.
В 2025 году хактивисты также активно атаковали энергетические, коммунальные и транспортные компании, зависящие от ИКТ. Среди тех, кто расширил своё присутствие в сфере ICS и OT, называют Z-Pentest, Dark Engine и Sector 16. Менее активны Golden Falcon Team, NoName057 (16), TwoNet, RipperSec и Inteid.
Помимо этого, безопасники подчеркнули, что из всех выявленных в ИКТ уязвимостей 27 было связано с доступными через интернет активами в нескольких секторах критической инфраструктуры. На основе этих выводов и дальнейших исследований группа CRIL предсказала: в 2026 году преступники будут чаще вторгаться в уязвимые системы HMI и SCADA, а также осуществлять захват виртуальных сетевых вычислительных систем.
Как отмечают исследователи, несмотря на усиление давления со стороны правоохранительных органов и многочисленные судебные разбирательства в прошедшем году, ситуация с безопасностью «оставалась нестабильной». Команда CRIL задокументировала 5967 атак программ-вымогателей, что на 37% больше, чем в 2024-м. Также было зафиксировано 6979 случаев утечки данных и 2059 инцидентов, вызванных продажей скомпрометированного первоначального доступа.
В 2025 году появились десятки новых группировок, занимающихся вымогательством и шантажом. В то же время хактивизм продолжал развиваться и «превратился в глобально скоординированную угрозу, тесно связанную с геополитическими очагами напряжённости» — конфликтом между Израилем и Ираном, а также между Индией и Пакистаном.
«Вооруженные конфликты, выборы, торговые споры и дипломатические кризисы подпитывали интенсивные кампании против государственных учреждений и критической инфраструктуры, при этом группы хактивистов использовали протестную деятельность в цифровой сфере в качестве оружия для продвижения своих пропагандистских целей», — пояснили исследователи.
Усам Оздемиров
