О присутствии злоумышленников в своей сети не знают 20% компаний
3 мин
24
Злоумышленники присутствуют в инфраструктуре каждой пятой компании, которая обращается в BI.ZONE для проверки на предмет компрометации. На момент обращения организация обычно даже не рассматривает такого варианта, так как речь идёт именно о профилактическом мероприятии, а не реагировании на инцидент.
В 60% выявленных случаев скрыто присутствующие в сети злоумышленники нацелены на кибершпионаж. Ещё 20% приходится на хактивистские кластеры. Специалисты уточнили, что приведённая статистика не означает максимальной частоты атак кибершпионами именно российских компаний. Специфика этих группировок такова, что нужно долго оставаться в инфраструктуре жертвы и незаметно собирать чувствительную информацию. Финансово мотивированные кластеры используют шифровальщики иначе. Эти злоумышленники действуют стремительно и находятся в инфраструктуре максимум несколько дней.
На ранних этапах атаки присутствие киберпреступников ограничивается тем хостом, на который им удалось проникнуть изначально. Чаще всего это узлы на периметре сети или в DMZ — части сети с публичной IP-адресацией, отделённой межсетевым экраном и от интернета, и от внутренней сети. Точками входа также могут стать серверы почты и веб-приложений, VPN-шлюзы или системы, которые обслуживают подрядчики. Такие хосты доступны извне и регулярно взаимодействуют с внешней средой, поэтому они удобны для атаки.
Если злоумышленникам удалось повысить привилегии и получить более глубокий контроль, они стремятся закрепиться в ключевых системах организации. В первую очередь к таковым относятся доменные контроллеры, системы виртуализации и серверы резервного копирования. Контроль над этими узлами позволяет управлять учётными записями и влиять на всю IT-инфраструктуру компании.
Внутри самих систем механизмы закрепления обычно реализуются через службы автозапуска, задания планировщика, изменения в конфигурации или легитимные механизмы инициализации приложений. Это позволяет вредоносному коду автоматически запускаться даже после перезагрузки и подолгу сохранять доступ к системе.
По данным исследования Threat Zone 2026, о результатах которого издание «Киберболоид» писало этом материале, в целях шпионажа совершается 37% всех атак на российские организации. Шпионские кластеры активно используют легитимные инструменты, а также вредоносное ПО собственной разработки. Это позволяет им эффективнее обходить средства защиты и дольше оставаться в инфраструктуре незамеченными.
