Атаки через подрядчиков

Компания CICADA8 проанализировала механики кибератак, наиболее часто встречавшиеся в 2025 году в рамках проектов по расследованию инцидентов и аудиту защищенности российского бизнеса. Исследование выявило наиболее критичные киберугрозы и ключевые ошибки компаний, которые делают их легкой добычей для хакеров.

Ключевой угрозой российскому бизнесу в 2025 году были шифровальщики и вымогатели. Около 70 процентов всех киберинцидентов в 2025 году связаны с этим вредоносным ПО. Исследователи отмечают, что российские организации до сих пор уязвимы перед этими атаками, поскольку пренебрегают базовыми практиками информационной безопасности. Так, на ИТ-периметре большинства организаций присутствуют незакрытые уязвимости, VPN для удаленного доступа к корпоративным ресурсам часто не защищен двухфакторной аутентификацией, сеть не сегментирована, доступы к ИТ-системам не контролируются и другие.

Одним из следствий роста числа атак с применением шифровальщиков стал рост спроса на технологии резервного копирования данных. Однако аналитики отмечают, что этот позитивный тренд нивелируется неграмотным подходом к его внедрению. ИТ-администраторы редко проводят проверки возможности корректного восстановления из бэкапов и недостаточно ограничивают доступ к ним со стороны пользователей. В результате примерно в четверти случаев наличие резервных копий не помогало бизнесу восстановиться после атаки шифровальщика.

Как подчеркнул генеральный директор компании CICADA8Алексей Кузнецов, хуже всего, что компании практически не проводят учения, где ИБ- и ИТ-специалисты могли бы отработать меры реагирования в случае возникновения того или иного инцидента. И когда он происходит в реальности, они оказываются не готовы. При этом именно от скорости и правильности мер, которые принимаются в первые часы после инцидента, от слаженности работы различных команд на 80 процентов зависит ущерб бизнеса.

Более трети инцидентов в уходящем году были связаны со взломом партнеров и подрядчиков, имеющих доступ в инфраструктуры заказчиков. У многих из них не были реализованы базовые меры для защиты от атак данного типа: двухфакторная аутентификация, отключение сервисных учетных записей, требования к сложности и регулярности обновления паролей на системах удаленного доступа. В большинстве пострадавших компаний отсутствовали дополнительные меры защиты, такие как усиленный мониторинг действий подрядчиков и доступ в инфраструктуру только через специальные прокси-шлюзы (Jump Station). При отсутствии этих мер технические средства не производили надлежащую защиту от атак через подрядчиков. В итоге после компрометации контрагентов у хакеров уходило всего несколько часов на полный захват инфраструктуры целевой жертвы.

Из-за желания успеть за стремительным ростом рынка отечественного ПО вендоры в первую очередь думают о функциональности, и только во вторую о безопасности своих продуктов. Хотя обычно проблемы связаны с некорректной конфигурацией и слабой документацией российского ПО, аналитики СICADA8 в 2025 году на практике сталкивались и со случаями, когда уязвимости российских решений стали причиной взлома их пользователей.

Еще одним трендом стало использование атакующими легитимного ПО, в том числе непосредственно решений для защиты от киберугроз. Даже при наличии доступа к инфраструктуре с правами администратора домена злоумышленники все равно выбирали СЗИ примерно в 70 процентах крупных кибератак.

Наконец, LLM-модели стали активно применяться для написания качественной «обвязки» эксплоитов – вредоносных скриптов, обфускации исходного кода и т. д. Возможность автоматизировать процессы с помощью ИИ увеличила продуктивность злоумышленников в несколько раз, и в следующем году Россию ждет всплеск атак, инструменты для которых созданы с помощью искусственного интеллекта, предупреждают эксперты СICADA8.