Почти треть атак с шифрованием происходит из‑за незащищенных подрядчиков

Это в два раза больше, чем было в 2024 году

10 ноября 2025 г.

Специалисты команды реагирования на киберинциденты (BI.ZONE DFIR) регулярно проводят расследования инцидентов в компаниях, IT-инфраструктура которых была зашифрована или полностью уничтожена злоумышленниками. На основании данных, собранных за первые три квартала 2025 года, был подготовлен «Ультимативный гайд по защите инфраструктуры от шифровальщиков и вайперов». В материале анализируются критические проблемы, наиболее часто встречающиеся в пострадавших организациях, а также методы самих киберпреступников на каждом этапе развития атаки.

1. Незащищенные подрядчики — по-прежнему фактор риска.

По данным BI.ZONE DFIR, в 2025 году с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 году этот показатель составлял 15%.

Согласно порталу киберразведки BI.ZONE Threat Intelligence, в настоящее время атаки через подрядчиков осуществляют 10 кибергруппировок, нацеленных на Россию.

Нарастание подобных инцидентов привело к тому, что контроль доступа подрядчиков стал одним из ключевых фокусов в управлении привилегированным доступом. По данным BI.ZONE PAM, в 32% случаев компании внедряют PAM-системы для оптимизации и усиления контроля работы с подрядчиками как отдельной категорией привилегированных пользователей.

Организация может минимизировать риск атаки через подрядчиков, внедрив подход нулевого доверия — zero trust. Одним из инструментов для реализации этого подхода на сетевом уровне является BI.ZONE ZTNA. Решение позволяет провести тщательную проверку пользователя и устройства и на основании ее результатов предоставить гранулированный доступ к тем сегментам корпоративной сети, которые необходимы для работы именно этому представителю подрядчика или сотруднику самой организации.

2. Каждая третья пострадавшая компания подозревает инсайдеров.

Более трети компаний, пострадавших от атак с использованием шифровальщиков или вайперов, рассматривают саботаж или воздействие инсайдеров в качестве ключевой гипотезы. Однако, согласно данным BI.ZONE DFIR, связь таких кибератак с инсайдом прослеживается редко.

Инсайдеры, помогающие злоумышленникам атаковать компании, — распространенный миф. На самом деле киберпреступники в подавляющем большинстве случаев полагаются на методы социальной инженерии, такие как фишинг, а также на ошибки, которые допускают сами компании при построении инфраструктуры и системы ее защиты. Так, по нашим данным, только 25% компаний, пострадавших от атак с шифровальщиками или вайперами, вели мониторинг событий кибербезопасности, однако даже в этих случаях он был неполным и не покрывал все сегменты инфраструктуры.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами

Среди наиболее критических повторяющихся проблем также отсутствие фильтрации в почте для защиты от фишинга (обнаружена у 85% пострадавших компаний), плоская сеть и отсутствие выстроенного процесса реагирования на инциденты (по 80%), а также неконтролируемый внешний периметр (70%). Критическими эти проблемы считаются потому, что их наличие позволяет атакующему нанести ущерб, даже если в компании принимаются другие меры защиты.

Кроме того, в 60% пострадавших компаний сотрудники использовали одинаковые пароли для доступа к разным рабочим сервисам, включая почту, CRM, внутренние корпоративные порталы, системы документооборота и т. д. При этом, по данным BI.ZONE Digital Risk Protection, каждая 15-я корпоративная учетная запись хотя бы один раз подвергалась утечке.

3. Минимальное время развития атаки — 12,5 минуты.

Злоумышленники могут оставаться в сети месяцами или даже годами, распространяя ВПО и готовя финальный ущерб. Время пребывания атакующих в инфраструктуре зависит от многих факторов — от мотивации самих киберпреступников до особенностей инфраструктуры пострадавшей организации.

Провести детальную проверку IT-инфраструктуры и выявить присутствие или следы злоумышленников поможет BI.ZONE Compromise Assessment. Своевременное и регулярное выявление компрометации поможет пресечь действия атакующих до того, как они успеют нанести ущерб, а также свести к минимуму финансовые и репутационные потери компании. Это особенно актуально при подготовке к слиянию, поглощению или аудиту, а также при выходе на работу нового директора по кибербезопасности.

По данным BI.ZONE DFIR, в 2025 году минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 минуты, а максимальное — 181 день.

Ранее BI.ZONE и медиахолдинг Rambler&Co провели исследование осведомленности пользователей о кибератаках. Согласно полученным данным, каждый пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.