Поделиться
Bi.Zone: почти треть атак с шифрованием происходит из-за незащищенных подрядчиков
Специалисты команды реагирования на киберинциденты (Bi.Zone DFIR) регулярно проводят расследования инцидентов в компаниях, ИT-инфраструктура которых была зашифрована или полностью уничтожена злоумышленниками. На основании данных, собранных за первые три квартала 2025 г., был подготовлен «Ультимативный гайд по защите инфраструктуры от шифровальщиков и вайперов». В материале анализируются критические проблемы, наиболее часто встречающиеся в пострадавших организациях, а также методы самих киберпреступников на каждом этапе развития атаки. Об этом CNews сообщили представители Bi.Zone.
Незащищенные подрядчики — по-прежнему фактор риска
По данным Bi.Zone DFIR, в 2025 г. с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 г. этот показатель составлял 15%.
Согласно порталу киберразведки Bi.Zone Threat Intelligence, в настоящее время атаки через подрядчиков осуществляют 10 кибергруппировок, нацеленных на Россию.
Нарастание подобных инцидентов привело к тому, что контроль доступа подрядчиков стал одним из ключевых фокусов в управлении привилегированным доступом. По данным Bi.Zone PAM, в 32% случаев компании внедряют PAM-системы для оптимизации и усиления контроля работы с подрядчиками как отдельной категории привилегированных пользователей.
Каждая третья пострадавшая компания подозревает инсайдеров
Более трети компаний, пострадавших от атак с использованием шифровальщиков или вайперов, рассматривает саботаж или воздействие инсайдеров в качестве ключевой гипотезы. Однако, согласно данным Bi.Zone DFIR, связь таких кибератак с инсайдом прослеживается редко.
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, Bi.Zone:
Инсайдеры, помогающие злоумышленникам атаковать компании, — распространенный миф. На самом деле, киберпреступники в подавляющем большинстве случаев полагаются на методы социальной инженерии, такие как фишинг, а также на ошибки, которые допускают сами компании при построении инфраструктуры и системы ее защиты. Так, по нашим данным, только 25% компаний, пострадавших от атак с шифровальщиками или вайперами, вели мониторинг событий кибербезопасности, однако даже в этих случаях он был неполным и не покрывал все сегменты инфраструктуры.
Среди наиболее критических повторяющихся проблем также отсутствие фильтрации в почте для защиты от фишинга (обнаружена у 85% пострадавших компаний), плоская сеть и отсутствие выстроенного процесса реагирования на инциденты (по 80%), а также неконтролируемый внешний периметр (70%). Критическими эти проблемы считаются потому, что их наличие позволяет атакующему нанести ущерб, даже если в компании принимаются другие меры защиты.
Кроме того, в 60% пострадавших компаний сотрудники использовали одинаковые пароли для доступа к разным рабочим сервисам, включая почту, CRM, внутренние корпоративные порталы, системы документооборота и т. д. При этом, по данным Bi.Zone Digital Risk Protection, каждая 15-я корпоративная учетная запись хотя бы один раз подвергалась утечке.
Минимальное время развития атаки — 12,5 минут
Злоумышленники могут оставаться в сети месяцами или даже годами, распространяя ВПО и готовя финальный ущерб. Время пребывания атакующих в инфраструктуре зависит от многих факторов — от мотивации самих киберпреступников до особенностей инфраструктуры пострадавшей организации.
По данным Bi.Zone DFIR, в 2025 г. минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 минут, а максимальное — 181 день.
Ранее Bi.Zone и медиахолдинг Rambler&Co провели исследование осведомленности пользователей о кибератаках. Согласно полученным данным, каждый пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.
Короткая ссылка
