Промышленность и инженерия опередили финансовую сферу по доле кибератак

Отрасли стали самыми атакуемыми после госсектора

28 ноября 2025 г.

По данным BI.ZONE Threat Intelligence, с начала года на долю промышленности и инженерии в совокупности пришлось 12% кибератак. Таким образом, эти сферы заняли второе место среди наиболее атакуемых, уступая только государственным организациям (13% атак) и опередив финансовую отрасль и логистику. На долю последних с начала года пришлось по 11% кибератак.

В настоящее время на российские промышленные и инженерные предприятия нацелены 63 кибергруппировки. У 32 из этих кластеров основная мотивация — шпионаж. Такие злоумышленники, как правило, активно разрабатывают и развивают собственные вредоносные инструменты, выстраивают сложные цепочки атак, поскольку их цель — скрытно присутствовать в инфраструктуре как можно дольше, незаметно похищая конфиденциальные данные.

В октябре — ноябре этого года мы зафиксировали серию атак на российские промышленные и инженерные организации со стороны шпионского кластера Arcane Werewolf. Под видом деловой переписки злоумышленники отправляли жертвам ссылки с вредоносным ПО. Свою маскировку атакующие в этот раз продумали особенно тщательно: сетевой ресурс, откуда загружалась вредоносная программа, они замаскировали под сайт организации из той же группы компаний, на которую была нацелена атака.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Перейдя по ссылке из фишингового письма, жертва видела страницу, замаскированную под корпоративный файлообменник. Страница была выполнена в том же стиле и тех же цветах, что и настоящий сайт компании, за представителей которой выдавали себя злоумышленники. Для большей достоверности на странице «файлообменника» присутствовал также логотип предприятия, а адрес сайта по написанию был очень похож на официальные ресурсы организации. Из «файлообменника» на устройство жертвы скачивался ZIP‑архив. Внутри архива было несколько фотографий оборудования, а также вредоносный LNK‑файл, замаскированный под служебный документ в формате PDF.

Если пользователь открывал «документ», с сетевого ресурса злоумышленников загружался и затем запускался дроппер. Это вредоносная программа, которая несла в себе отвлекающий файл в виде официального документа (отчета о проведенной ревизии, уведомления о внутреннем расследовании и пр.), а также еще одну вредоносную программу — загрузчик Loki. Загрузчик собирал базовую информацию о скомпрометированном хосте (имя устройства и пользователя, версию ОС, внутренний IP‑адрес и т. д.) и отправлял ее злоумышленникам, а также загружал с сервера и запускал имплант Loki. Имплант, в свою очередь, выполнял функции трояна удаленного доступа, позволяя атакующим скрытно выполнять на устройстве жертвы различные команды.

Ранее в этом году специалисты BI.ZONE Threat Intelligence фиксировали атаки на российскую промышленность с использованием уязвимости в популярном архиваторе WinRAR. Предположительно, злоумышленники приобрели для нее эксплоит на теневом форуме, заплатив около 80 тысяч долларов.

Чтобы защититься от подобных атак, важно не только обнаружить попытку проникновения в сеть, но и вовремя нейтрализовать угрозу. Для этого используются решения класса endpoint detection and response, например BI.ZONE EDR. А получить данные об актуальных кибератаках, злоумышленниках, их тактиках, техниках, используемых инструментах и эксплуатируемых уязвимостях помогут порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят проактивно защититься и быстро реагировать на возникающие инциденты кибербезопасности.