Отчёт Annual Cyber Threat Intelligence Report 2025 от NCC Group и Fox-IT показывает, что в 2025 году киберпреступники реже использовали сложные «экзотические» техники и чаще добивались успеха за счёт компрометации учётных данных, социальной инженерии и слабой защиты цифровых идентичностей. По словам вице-президента по киберразведке Matt Hull, многие атаки начинались с украденных инфостилерами паролей, повторного использования учётных данных и отсутствия многофакторной аутентификации.
Получив доступ, злоумышленники часто действовали медленно, изучая внутренние процессы компаний, чтобы ударить по наиболее уязвимым точкам. При этом генеративный ИИ значительно повысил качество фишинга: правдоподобные письма, поддельные голоса и масштабируемые сценарии сделали проверки личности сложнее.
Отдельно отмечен рост активности программ-вымогателей. В 2025 году зафиксировано 7 874 атаки — на 50% больше, чем годом ранее, причём наиболее пострадавшим сектором стала промышленность. Крупнейшим оператором вымогателей назван Qilin, а пики атак пришлись на периоды отпусков — февраль и декабрь. При этом доля компаний, согласившихся платить выкуп, снизилась до 23%.
В отчёте приводятся примеры крупных инцидентов: атака на Marks & Spencer, остановившая онлайн-продажи и приведшая к потерям около 300 млн фунтов, и инцидент у Jaguar Land Rover, где сбои производства и ритейла продолжались более месяца, а ущерб оценивался свыше 890 млн долларов.
Также усилились риски цепочек поставок и облачных сервисов. В одном из случаев украденные ключи Amazon Web Services использовались для шифрования данных в S3, что фактически блокировало их восстановление. В другом инциденте через сервисы Salesloft и приложение Drift были похищены OAuth-токены, открывшие доступ к данным клиентов Salesforce.
Среди крупных эпизодов также упомянута кража криптоактивов на 1,5 млрд долларов у биржи Bybit, где атакующие взломали инфраструктуру стороннего участника мультиподписи.
При этом правоохранительные органы усилили давление на киберпреступную инфраструктуру. В отчёте отмечена операция Operation Endgame, в рамках которой были отключены сотни серверов и доменов, а также совместные действия Microsoft и Europol против инфраструктуры Lumma Stealer.
Авторы отчёта также фиксируют рост атак на телеком-сети, усиление угроз в цепочках поставок и распространение инструментов deepfake, которые, по оценке World Economic Forum, становятся одним из ключевых глобальных рисков ближайших лет.
