BI.ZONE WAF: в первом полугодии 2025‑го 39% всех вредоносных действий были связаны с киберразведкой

В первой половине 2025 года доля разведывательной активности (сбор данных об уязвимости веб‑приложений) выросла более чем в 5 раз — с 6,8 до 38,65% всех вредоносных запросов, зафиксированных системой защиты BI.ZONE WAF

12 августа 2025 г.

Основная задача разведки — сбор данных. Киберразведка — самостоятельный этап цифрового криминального аутсорсинга. Одни злоумышленники собирают информацию об уязвимых системах, а затем продают ее или используют для развития кибератак. Другие приобретают эти сведения, чтобы нанести репутационный и материальный ущерб. Такой подход позволяет злоумышленникам разделять усилия, снижать затраты и быстрее достигать результата.

Разведка — это еще не атака, а исследование и выбор целей. Но часто с нее все и начинается: злоумышленники ищут информацию и планируют дальнейшие действия.

Сегодня именно доступ к сведениям определяет тактику киберпреступников: чем больше они выяснят заранее, тем выше их шансы на успех. Скомпрометированные данные могут использоваться в мошенничестве или для кражи чувствительной информации, что может нарушить бизнес‑процессы.

Одна из задач BI.ZONE WAF — пресекать активность злоумышленников еще на этапе разведки. Ведь в этот момент владелец ресурса может даже не догадываться, что его инфраструктуру уже проверяют на прочность.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Наибольшее количество случаев разведывательной активности специалисты BI.ZONE WAF фиксируют в трех отраслях:

IT и телекоммуникации (52,66% от всех зафиксированных в отрасли атак) — множество веб‑интерфейсов и открытых API делает отрасль удобной целью для автоматизированного сбора данных.
Медиа (80,25%) — высокий уровень публичности и постоянная доступность ресурсов привлекают внимание атакующих.
Ритейл (90%) — большое количество e‑commerce‑площадок стимулирует злоумышленников искать уязвимости для кражи данных пользователей и получения доступа к платежным системам.

В то же время аналитики BI.ZONE WAF отмечают, что классические атаки на учетные записи пользователей и попытки удаленного взлома серверов становятся менее массовыми. В первом полугодии 2025‑го доля попыток кражи авторизационных данных (в том числе через XSS и перебор паролей) снизилась почти в 2,5 раза — с 14,8 до 6,3%. А доля атак с удаленным выполнением кода (RCE) снизилась с 42,4 до 29,7%. Это может быть связано с активным применением фильтров и патчей в популярных системах, особенно в CMS.

Большинство атак на российские ресурсы происходит с российских IP‑адресов. Это связано с применением геофильтров, отсекающих нежелательный зарубежный трафик, а также использованием прокси и VPN для обхода фильтрации. Также стоит отметить, что купить VDS‑/VPS‑хостинг со статическим российским IP‑адресом не составляет проблем для атакующего из любой страны.

Для BI.ZONE WAF настройка геофильтров — один из этапов защиты, позволяющий блокировать разведывательную активность еще до того, как злоумышленник проникнет в инфраструктуру.

Команда BI.ZONE WAF отмечает, что вектор киберугроз для веб‑приложений смещается в сторону быстрых, автоматизированных и массовых кибератак. Они направлены преимущественно на компрометацию пользователей и кражу чувствительной служебной информации, а не на многомесячный скрытый захват инфраструктуры. Злоумышленники все чаще используют комбинированные сценарии: автоматизированное сканирование и перебор (фаззинг) сочетаются с обходом средств защиты и эксплуатацией уязвимостей. При этом акцент смещается с труднодоступных целей на менее защищенные веб‑приложения, уязвимости которых обнаруживаются с помощью классических DAST‑инструментов.

На этом фоне эксперты BI.ZONE WAF прогнозируют усиление целевых атак, направленных на компрометацию конфигурационных файлов, взлом механизмов аутентификации и эксплуатацию уязвимых компонентов системы. Нередко такие атаки сопровождаются попытками обхода стандартных защитных механизмов. В этих условиях защита веб‑приложений требует не только регулярного обновления средств безопасности, но и пересмотра подходов к безопасности веб‑решений.