Большинство случаев шифрования приходится на выходные дни

Злоумышленники стараются выбрать момент, когда специалистов по кибербезопасности не бывает на рабочих местах

4 мая 2026 г.

По данным BI.ZONE DFIR, 37% шифрований IT‑инфраструктуры происходит в воскресные дни. При этом проникнуть в инфраструктуру и затаиться в ней злоумышленники успевают гораздо раньше: продолжительность скрытого присутствия в инфраструктуре в среднем составляет около 40 дней, а в некоторых случаях доходит до полугода.

Помимо календарных выходных, атакующие также любят наносить ущерб в праздники. Так, в 2025 году было 15 нерабочих праздничных дней (кроме суббот и воскресений). На эти дни пришлось более 18% случаев шифрования инфраструктуры.

Киберпреступники неслучайно выбирают выходные и нерабочие дни для нанесения ущерба. Их расчет строится на том, что большинство сотрудников, в том числе IT‑специалисты и команда по кибербезопасности, отсутствуют в это время на рабочем месте, а значит, компания не сможет быстро отреагировать на происходящее. Таким образом злоумышленники стремятся нанести своим жертвам максимальный ущерб и затруднить восстановление. В дни государственных праздников атаки также часто совершают хактивисты, чтобы придать своим действиям максимальную огласку.

Фёдор Скворцов

Руководитель BI.ZONE DFIR

Провести оценку вашей инфраструктуры на компрометацию

Свести к минимуму риск таких кибератак помогает непрерывный мониторинг IT‑инфраструктуры с помощью внутреннего или внешнего SOC. Дежурная смена специалистов по кибербезопасности фиксирует подозрительную активность в любой день и время суток, что позволяет начать реагирование максимально быстро. Кроме того, рекомендуется регулярно оценивать IT‑инфраструктуру на предмет компрометации, чтобы выявить возможное скрытое присутствие злоумышленников: по данным BI.ZONE Compromise Assessment, киберпреступникам удается незаметно проникать и закрепляться в инфраструктуре каждой пятой российской компании.