Согласно аналитикам компании «Информзащита», организации строительной сферы всё чаще становятся жертвами программ-вымогателей среди промышленного сектора. В 2026 году частота подобных происшествий возросла до 23%, тогда как годом ранее этот показатель составлял 14%. В количественном выражении количество зафиксированных кибератак на строительные и инженерные фирмы увеличилось на 32%, а средний период восстановления после блокировки ключевых систем удлинился с 4,1 до 5,6 суток. Для данной отрасли это влечёт повышение операционных угроз: невозможность доступа к проектной документации, ERP-системам, файловым хранилищам и подрядным контурам напрямую сказывается на сроках выполнения задач, закупочных процессах, логистике и исполнении договорённостей с заказчиками.
Привлекательность строительного сектора для злоумышленников обусловлена прежде всего структурой самих проектов. Крупные проекты, как правило, опираются на распределённую инфраструктуру: центральный офис, временные строительные площадки, проектные команды, подрядчики, поставщики оборудования, эксплуатационные службы и внешние ИТ-специалисты взаимодействуют в едином цифровом пространстве. В этом пространстве одновременно задействованы ERP-системы, BIM-решения, файловые архивы, удалённые рабочие станции, сервисы согласования, инструменты управления закупками и площадочные системы контроля. Чем больше участников вовлечено в проект, тем сложнее внедрить единые стандарты для управления доступом, ведения журналов, сегментации сети и обновления уязвимых компонентов: в результате часть контура почти неизбежно оказывается менее защищённой по сравнению с остальной инфраструктурой.
Для вымогателей такая среда привлекательна тем, что проникновение в инфраструктуру редко требует сложных методов, нацеленных на промышленное оборудование. В большинстве случаев достаточно заполучить действующую учётную запись, использовать уязвимость на периметре сети или войти через системы удалённого администрирования. После этого злоумышленники перемещаются по сети, применяя легитимные инструменты, которыми пользуются администраторы и подрядчики: RDP, SMB, PsExec, WinRM, WMI, SSH, VPN-клиенты и панели управления виртуализацией. На этапе шифрования атаке подвергаются не только пользовательские файлы, но и серверы, виртуальные машины, резервные копии, файловые ресурсы с проектной документацией, базы данных ERP и сметные системы — то есть те компоненты, от которых напрямую зависит продолжение работ.
Согласно данным «Информзащиты», в 2026 году 36% атак на строительные компании начинались с кражи учетных данных — это пароли, извлеченные из логов инфостилеров, их повторное применение, а также доступы, предоставленные подрядчикам. На уязвимости VPN-решений, межсетевых экранов, шлюзов и прочих пограничных устройств пришлось 24% инцидентов. Еще 17% атак развивались за счет бокового перемещения внутри сети с использованием инструментов удаленного управления. Эксплуатация MFT-серверов, публичных FTP-ресурсов и файлообменников составила 11%, компрометация подрядчиков и поставщиков — 8%, а фишинг с вредоносными вложениями и ссылками — 4%. Такое распределение показывает, что главный риск формируется не из-за одного канала проникновения, а из-за сочетания слабого контроля доступа, незащищенного периметра и недостаточной видимости внутри инфраструктуры: вымогатели выбирают ту точку входа, где сопротивление в конкретной компании минимально.
Отдельной зоной риска для строительства выступает виртуализация. В строительных компаниях на виртуальных платформах нередко развернуты системы проектного документооборота, BIM-модели, ERP, складские сервисы, базы данных подрядчиков, видеонаблюдение, системы контроля доступа на объекты и инженерный мониторинг. Компрометация гипервизора или панели управления виртуализацией практически приводит к одновременному отказу нескольких ключевых бизнес-сервисов. В 2026 году в 29% ransomware-инцидентов в строительстве пострадали виртуальные серверы, в 21% — файловые хранилища с проектной, сметной и исполнительной документацией, в 16% — системы удаленного доступа, в 14% — ERP и закупочные платформы, в 9% — площадочные системы контроля и инженерного мониторинга. Остальные случаи касались почтовой инфраструктуры, рабочих станций сотрудников и сред подрядчиков.
Отраслевой срез показывает, что строительство находится в фокусе внимания вымогателей внутри производственного сектора. В структуре атак на производственный сектор на строительные и инжиниринговые организации приходится 23,3% инцидентов. Далее следуют производители оборудования и пищевая промышленность — по 13,6%, компании потребительского сектора — 7,8%, автомобильная отрасль — 7,3%, электроника — 6,2%, химическая промышленность — 4,8%, медицинское производство — 3,2%, металлургия — 3%, упаковка и текстильная промышленность — по 2,7%, фармацевтика — 2,3%, производство пластика — 2,1%, полупроводники — 2%, аэрокосмический сектор — 1,6%, стекольное производство — 1,1%, оборонная промышленность — 0,9%, бумажная промышленность и переработка отходов — по 0,8%.
Особым источником уязвимости для строительных фирм является их значительная зависимость от сторонних организаций. Инженерные компании, поставщики оборудования, системные интеграторы, проектные институты и сервисные подрядчики нередко располагают проектной документацией, конфигурациями, паролями, схемами подключений и доступом к разным объектам. Если такой партнер оказывается скомпрометирован, злоумышленники получают не только техническую лазейку, но и рычаги для шантажа: контракты, сметы, графики работ, проектные решения, переписку с клиентами и коммерческие условия. Таким образом, давление на пострадавшую компанию строится не только на самом факте шифрования данных, но и на угрозе их утечки, срыва сроков и претензий от участников проекта.
Строительным организациям следует провести полную инвентаризацию всех каналов удаленного доступа, включая VPN, RDP, подрядные туннели, MFT, FTP, облачные панели и административные интерфейсы. Доступ для подрядчиков нужно предоставлять на ограниченный период, с обязательным использованием MFA, записью всех действий и индивидуальными правами для каждого пользователя. Административные учетные записи должны быть отделены от повседневных задач, а повторное применение одних и тех же паролей в корпоративных, подрядных и облачных системах необходимо исключить с помощью технических средств.
Не менее важны сегментация сети, контроль за виртуальной инфраструктурой и регулярное тестирование процедур восстановления. Гипервизоры, vCenter, резервные копии, серверы с проектной документацией и ERP-системы должны рассматриваться как активы, от которых зависит непрерывность строительного процесса. Для них требуются отдельные политики доступа, мониторинг административных операций, изолированные резервные копии и регулярные проверки восстановления. Уязвимости на периметре следует оценивать не только по стандартному показателю CVSS, но и с учетом реальной доступности системы из интернета, наличия публичного эксплойта и роли данного сервиса в бизнес-процессах. Дополнительно компаниям рекомендуется проводить учения по сценарию атаки с использованием программ-вымогателей с участием ИТ, ИБ, юридического отдела, проектного офиса и руководителей стройплощадок, акцентируя внимание именно на «строительных» последствиях, а не только на технической стороне. Для строительной отрасли скорость реагирования напрямую влияет на операционные потери: чем быстрее изолирован доступ, восстановлены ключевые сервисы и подтверждена целостность документации, тем меньше атака сказывается на сроках, штрафах и финансовых показателях проекта.
