Веб‑шеллы обнаружены в веб‑ресурсах каждой четвертой компании

Более 70% вредоносных скриптов были выявлены на этапе внедрения средств мониторинга. Основная причина — нарушение правил безопасной разработки

18 июля 2025 г.

Наши специалисты исследовали сайты, сервисы и приложения более 150 российских компаний. В первом полугодии 2025 года веб‑шеллы были обнаружены в системах 26% исследованных компаний, а в 2024 году с проблемой столкнулись 23% организаций.

При этом значительно выросла доля веб‑шеллов на сайтах и других внешних периметровых веб‑ресурсах: с 12% в 2024 году до 53% в первом полугодии 2025‑го.

Чаще всего веб‑шеллы встречаются на ресурсах туристических и IT‑компаний (38% и 35% соответственно). В 2024 году IT‑отрасль была абсолютным лидером по числу обнаруженных веб‑шеллов: тогда на ее долю пришлось 62% всех случаев.

Почти 73% веб‑шеллов мы выявили, когда внедряли решение по защите конечных точек BI.ZONE EDR. Это говорит о том, что подавляющее большинство таких скриптов злоумышленники устанавливают еще до запуска сервисов в работу.

Основная причина, по которой преступникам это удается, — нарушение правил безопасной разработки. Разработчики нередко выставляют в открытый доступ серверы веб‑ресурсов, работа над которыми еще не завершена. Это позволяет им подключаться к рабочей среде удаленно и облегчает многие процессы, например тестирование.

Но такой подход фактически дает зеленый свет злоумышленникам, поскольку тестовые среды, выставляемые в открытый доступ, чаще всего не покрыты средствами защиты и на них не ведется мониторинг вредоносной активности.

Андрей Шаляпин

Руководитель BI.ZONE TDR

Чтобы минимизировать риски внедрения веб‑шеллов, убедитесь, что на всех публикуемых сервисах:

Ограничено прямое взаимодействие с интернетом.
Используются современные средства мониторинга конечных точек класса endpoint detection and response (BI.ZONE EDR).
Политика безопасности компании распространяется на сегменты разработки и тестирования.

Для детектирования веб‑шеллов на основе телеметрии BI.ZONE EDR используются поведенческие правила, например win_web_shell_specific_cmdline и win_possible_webshell_drop.

Также для обнаружения используется сигнатурный анализ с помощью YARA‑правил, который производит BI.ZONE EDR.

Разработчики и тестировщики — не единственные, кто может жертвовать безопасностью ради временного удобства. Согласно исследованию BI.ZONE, до трети системных администраторов отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу. В целом же неправильные и некорректные настройки делают уязвимыми для кибератак более 60% серверов и рабочих станций.

Выполнение компаниями необходимых правил кибербезопасности — одно из ключевых условий, при которых сервис-провайдеры могут эффективно обеспечивать мониторинг и реагирование на киберинциденты. Напоминаем, что мы вернем стоимость услуги по мониторингу и реагированию, если заказчик добросовестно выполняет технические обязательства в рамках условий сервиса BI.ZONE TDR, а киберинцидент не был обнаружен и привел к ущербу.