Эксперты подразделения по расследованию киберинцидентов (Bi.Zone DFIR) постоянно занимаются анализом происшествий в организациях, чья информационная инфраструктура подверглась блокировке или полному уничтожению со стороны злоумышленников. На основе информации, накопленной за начальные девять месяцев 2025 года, был создан «Исчерпывающий справочник по обеспечению безопасности от программ-шифровальщиков и деструктивных атак». В публикации рассматриваются системные уязвимости, наиболее характерные для подвергшихся атакам предприятий, а также тактики киберпреступников на разных стадиях реализации угрозы. Об этом изданию CNews рассказали эксперты Bi.Zone.
Уязвимости контрагентов остаются значительным источником опасности
Согласно статистике Bi.Zone DFIR, в 2025 году свыше 30% случаев блокировки или разрушения инфраструктуры были связаны с компрометацией организаций через их поставщиков. В предыдущем году этот показатель не превышал 15%.
Согласно данным платформы киберразведки Bi.Zone Threat Intelligence, в настоящий момент атаки через контрагентов осуществляют десять хакерских объединений, ориентированных на российский сегмент.
Рост числа подобных атак привел к тому, что управление доступом сторонних исполнителей стало одним из приоритетных направлений в администрировании привилегированных учетных записей. Согласно аналитике Bi.Zone PAM, в 32% случаев внедрение систем управления привилегированным доступом направлено на совершенствование контроля над работой подрядчиков как особой категории пользователей с расширенными правами.
Каждая третья затронутая атакой организация допускает участие внутренних нарушителей
Около 35% компаний, столкнувшихся с ransomware или wiper-атаками, рассматривают версию о целенаправленном саботаже или участии инсайдеров в качестве основной. Однако, как показывают данные Bi.Zone DFIR, подтвержденная связь таких кибератак с действиями внутренних сотрудников встречается крайне редко.
Михаил Прохоренко, директор управления по противодействию киберугрозам, Bi.Zone:
Представление о внутренних нарушителях, помогающих злоумышленникам атаковать компании, является распространенным заблуждением. В действительности, в подавляющем большинстве эпизодов киберпреступники используют методы социальной инженерии, включая фишинг, а также ошибки конфигурации, допущенные самими организациями при построении защитной инфраструктуры. Например, согласно нашим исследованиям, лишь четверть компаний, пострадавших от шифровальщиков или деструктивных атак, осуществляли мониторинг событий безопасности, причем даже в этих случаях наблюдение не было всеобъемлющим и не охватывало все компоненты инфраструктуры.
Среди наиболее распространенных критических уязвимостей отмечается отсутствие фильтрации фишинговых писем (выявлено у 85% пострадавших), отсутствие сегментации сети и регламента реагирования на инциденты (по 80%), а также недостаточный контроль внешнего периметра (70%). Эти проблемы считаются критическими, поскольку их наличие позволяет злоумышленникам нанести ущерб даже при наличии других защитных механизмов.
Помимо этого, в 60% затронутых организаций работники применяли одни и те же пароли для входа в различные рабочие приложения, такие как электронная почта, CRM-системы, внутренние корпоративные сайты, платформы для обмена документами и другие. Согласно информации от Bi.Zone Digital Risk Protection, каждая пятнадцатая корпоративная учетная запись минимум единожды становилась жертвой утечки данных.
Наименьший срок развития атаки — 12,5 минут
Злоумышленники способны скрытно действовать в сети на протяжении месяцев или даже лет, распространяя вредоносные программы и подготавливая масштабный ущерб. Продолжительность нахождения атакующих в инфраструктуре определяется множеством обстоятельств — от целей киберпреступников до специфики IT-систем пострадавшей компании.
Согласно отчету Bi.Zone DFIR, в 2025 году минимальный промежуток между проникновением в инфраструктуру и запуском процесса шифрования данных занял 12,5 минут, тогда как максимальный достиг 181 дня.
Ранее Bi.Zone совместно с медиахолдингом Rambler&Co организовали исследование информированности пользователей о кибератаках. Полученные результаты показали, что каждый пятый житель России сталкивался с последствиями кибератак на учреждение, где работает или учится. Дополнительные 16% респондентов испытывали на себе последствия кибератак на компании, чьими услугами они пользуются.
