Почти треть атак с шифрованием происходит из-за незащищенных подрядчиков

По данным BI.ZONE DFIR, в 2025 году с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 году этот показатель составлял 15%.

Согласно порталу киберразведки BI.ZONE Threat Intelligence, в настоящее время атаки через подрядчиков осуществляют 10 кибергруппировок, нацеленных на Россию.

Нарастание подобных инцидентов привело к тому, что контроль доступа подрядчиков стал одним из ключевых фокусов в управлении привилегированным доступом. По данным BI.ZONE PAM, в 32% случаев компании внедряют PAM-системы для оптимизации и усиления контроля работы с подрядчиками как отдельной категории привилегированных пользователей.

Более трети компаний, пострадавших от атак с использованием шифровальщиков или вайперов, рассматривает саботаж или воздействие инсайдеров в качестве ключевой гипотезы. Однако, согласно данным BI.ZONE DFIR, связь таких кибератак с инсайдом прослеживается редко.

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: "Инсайдеры, помогающие злоумышленникам атаковать компании, — распространенный миф. На самом деле, киберпреступники в подавляющем большинстве случаев полагаются на методы социальной инженерии, такие как фишинг, а также на ошибки, которые допускают сами компании при построении инфраструктуры и системы ее защиты. Так, по нашим данным, только 25% компаний, пострадавших от атак с шифровальщиками или вайперами, вели мониторинг событий кибербезопасности, однако даже в этих случаях он был неполным и не покрывал все сегменты инфраструктуры".

Среди наиболее критических повторяющихся проблем также отсутствие фильтрации в почте для защиты от фишинга (обнаружена у 85% пострадавших компаний), плоская сеть и отсутствие выстроенного процесса реагирования на инциденты (по 80%), а также неконтролируемый внешний периметр (70%). Критическими эти проблемы считаются потому, что их наличие позволяет атакующему нанести ущерб, даже если в компании принимаются другие меры защиты.

Кроме того, в 60% пострадавших компаний сотрудники использовали одинаковые пароли для доступа к разным рабочим сервисам, включая почту, CRM, внутренние корпоративные порталы, системы документооборота и т. д. При этом, по данным BI.ZONE Digital Risk Protection, каждая 15-я корпоративная учетная запись хотя бы один раз подвергалась утечке.

Злоумышленники могут оставаться в сети месяцами или даже годами, распространяя ВПО и готовя финальный ущерб. Время пребывания атакующих в инфраструктуре зависит от многих факторов — от мотивации самих киберпреступников до особенностей инфраструктуры пострадавшей организации. По данным BI.ZONE DFIR, в 2025 году минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 минут, а максимальное — 181 день.

Ранее BI.ZONE и медиахолдинг Rambler&Co провели исследование осведомленности пользователей о кибератаках. Согласно полученным данным, каждый пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.