Цели мошенников
Главный тренд 2025 года, который перейдет и в 2026-й, — это удар не по банку, а по его соседям. Злоумышленники сменили тактику. Вместо того чтобы штурмовать хорошо укрепленные периметры крупных финансовых организаций, они атакуют малый и средний бизнес, который оказывает этим организациям услуги.
Поставщики ИТ-решений, провайдеры связи, сервисные компании с удаленным доступом стали главным «входным билетом» для хакеров. Скомпрометировав небольшую ИТ-фирму, злоумышленники получают легитимный доступ к инфраструктуре крупного банка. Из более чем 20 тыс. разработчиков и интеграторов, работающих на рынке, в финансовом секторе работают 105, следует из данных ФинЦЕРТ.
ФинЦЕРТ
Это структурное подразделение Банка России — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Его специалисты собирают данные об атаках, координируют борьбу с ними и предупреждает банки о новых угрозах. Именно на данные ФинЦЕРТа опирается представленный анализ.
Финансовым организациям придется тщательнее регламентировать отношения с подрядчиками, а самим подрядчикам — приводить кибергигиену в порядок, если они хотят сохранить контракты.
В 2025 году, по данным ФинЦЕРТ, количество крупных утечек конфиденциальной информации в компаниях кредитно-финансовой отрасли снизилось. Из возникших: в 77% случаев произошла утечка данных работников, в 23% — данных о финансовых операциях.
Виды компьютерных атак
Согласно статистике регулятора, наиболее популярным в 2025 году типом компьютерных атак (54%) стали «иные» методы, среди которых выделяется компрометация учетных данных и эксплуатация уязвимостей. Проще говоря, хакеры продолжают массово угадывать пароли или использовать давно известные бреши в программах.
По данным, имеющимся в распоряжении ФинЦЕРТ, в большинстве инцидентов точкой входа служили уязвимости в Bitrix, обнаруженные еще в 2023 году. ЦБ активно информирует рынок о проблеме, и это помогло снизить количество инцидентов. Однако случаи в 2025 году все еще были.
Всего за 2025 год ФинЦЕРТ зафиксировал 296 DDoS-атак на финсектор, что на 21% меньше, чем годом ранее. Однако каждая девятая такая атака приводила к сбоям в работе. В одном из случаев доступ к сервисам финансовой организации был заблокирован на четыре дня.
DDoS-атака
(от англ. Distributed Denial of Service — распределенный отказ в обслуживании). Это атака, цель которой — сделать сайт, приложение или онлайн-сервис недоступным для пользователей. Злоумышленники создают мощный поток бесполезных запросов из множества зараженных компьютеров (ботнета), и сервер просто «захлебывается» трафиком, переставая обрабатывать запросы реальных клиентов.
Вирусы-шифровальщики
Тревожный тренд, отмеченный в отчете, касается программ-вымогателей (Ransomware). В 2025 году на их долю пришлось 43% инцидентов, а оставшиеся 57% разделили остальные типы. Количество атак с их использованием растет, но изменилась их философия. Если раньше такие атаки осуществлялись, чтобы получить выкуп, то ближе к концу 2025 года их целью стало нанесение урона инфраструктуре организации, констатируют в ЦБ.
Вирус-шифровальщик (Ransomware)
Самый опасный на сегодняшний день тип вредоносного ПО. Попадая в систему, такая программа зашифровывает все файлы пользователя или организации — документы, базы данных, резервные копии. Владелец теряет доступ к своей информации. Первоначально целью шифровальщиков был выкуп за расшифровку, но, как отмечает ЦБ, в 2025 году они все чаще используются просто для уничтожения данных и паралича работы компании.
Вредоносное ПО
Любое программное обеспечение, созданное с целью нанести вред компьютеру, серверу или сети, либо похитить данные. Это общая категория, в которую входят и вирусы, и трояны, и шпионские программы.
Хакеры перестали делать выкуп самоцелью. Теперь они просто уничтожают данные. В 10 финансовых организациях в 2025 году произошли инциденты, связанные с вирусом-шифровальщиком. Этому способствовала популярность модели RaaS (Ransomware as a Service, шифровальщик как услуга), когда арендовать вредоносное ПО может любой желающий, а также утечки исходных кодов популярных шифровальщиков (Babuk, LockBit), что позволило преступникам создавать под них новые, еще более опасные модификации.
Типовая схема такой атаки — это уже не просто взлом: от проникновения через подрядчика, горизонтального перемещения по сети и кражи данных до финального шифрования инфраструктуры жертвы.
Прогноз по киберпреступлениям на 2026
В новом году регулятор ожидает усиления уже наметившихся тенденций и появления новых факторов.
-
Деструктивные шифровальщики. Тренд на уничтожение данных продолжится. Цель атакующих — не обогащение, а остановка бизнес-процессов и репутационный ущерб.
-
Атаки на средний и малый бизнес. Давление на малые и средние компании, особенно те, что интегрированы в цепочки поставок крупного бизнеса, будет только расти.
-
Искусственный интеллект. ИИ, создающий высокий уровень автоматизации, снижает порог входа в киберпреступность. Ожидается рост фишинговых рассылок и разведки. Это позволит злоумышленникам персонализировать атаки под каждую конкретную компанию, экономя ресурсы.
-
Охота за данными. Кража информации становится не самоцелью, а инструментом для следующего этапа атаки. Корпоративные данные теперь используют также для более глубокого проникновения в сеть.
-
Мобильные трояны. Усложняется вредоносное ПО для смартфонов. Хакеры осваивают перехват SMS и push-уведомлений, чтобы обходить системы ДБО (дистанционного банковского обслуживания). Безопасность мобильных устройств клиентов становится критически важной.
Региональный угол
Для региональных компаний, которые часто выступают в роли тех самых подрядчиков для столичных банков или крупных федеральных структур, выводы ЦБ — это сигнал к действию. Требования к киберзащите со стороны заказчиков в 2026 году станут жестче. Банк России рекомендует кредитным организациям включать в договоры с подрядчиками пункты о реальной ответственности за утечки и настаивать на подключении к инфраструктуре ФинЦЕРТ.
