Хакеры отказались от разведки и перешли к целевым атакам
3 мин
32
Во второй половине 2025 года доля разведывательных запросов упала в 8,5 раза, причём показатель демонстрирует резкие колебания. О серьёзных изменениях в тактике атак сообщила компания BI.ZONE. В 2024 году доля запросов на этапе разведки выросла с 7% в первом полугодии до 22% во втором. В первой половине 2025 года автоматическое сканирование уязвимостей достигло 38%, а во второй половине года показатель рухнул до 4,5%.
Как отметили аналитики, атакующие стали действовать точечно — минимизируют этап разведки и сразу бьют по критичным данным. Это уже не просто поиск уязвимостей, а конкретные запросы, нацеленные на бизнес-активы компаний.
На снижение активности влияет развитие решений для защиты. Разработчики всё чаще используют статический и динамический анализ кода, а также инструменты на базе ИИ.
Доля атак на пользователей с целью кражи учётных записей выросла в 2,4 раза — с 6% в первом полугодии до 15% во втором. Злоумышленники пытаются получить прямой доступ к данным и служебной информации. На такие попытки пришлось 42% от всех заблокированных запросов.
Динамика связана с ростом качества разработки и технической защиты серверов. Сложные атаки на софт становятся менее эффективными за счёт регулярных обновлений и строгого контроля качества кода. Помогают инструменты на базе больших языковых моделей, позволяющие разработчикам избегать типовых ошибок и снижать риски. Поэтому атакующие смещают фокус с эксплуатации уязвимостей в коде на межсайтовый скриптинг и подбор учётных записей.
В первом полугодии 2025 года злоумышленники атаковали государственные информационные системы, чтобы получить доступ к служебной информации и документам. Во втором полугодии на первое место вышли атаки на базы данных — их доля составила 53%. Они представляют собой попытки массового извлечения данных.
В ретейле разведывательная активность заметно снизилась: с 90% в начале года до 35% в конце. В отраслях с физическими активами, например, строительстве и логистике, эксперты отметили изменение стратегии. В строительстве число атак на поиск конфигурационных файлов и чувствительных данных выросло с 50 до 87%. В логистике картина похожая: доля атак с использованием удалённого выполнения кода упала с 89 до 30%, а фокус сместился на кражу файлов и служебной информации — с 10 до 53%.
Во втором полугодии 2025 года большинство кибератак фиксируется с российских IP-адресов. Они составляют 95% случаев удалённого выполнения кода и 98% случаев кражи пользовательских данных. Для защиты компании используют геоблокировки трафика из-за границы и формируют белые списки российских IP-адресов, которым по умолчанию доверяют.
Эффективность геофильтров за последние годы снизилась. Атакующим достаточно использовать VPN, прокси или арендованные серверы в России, чтобы проводить атаки с IP-адресов российских провайдеров и обходить ограничения. Вредоносный трафик выглядит легитимным и не блокируется по географическому признаку, несмотря на сохранение остальных уровней защиты.
