CICADA8: более трети инцидентов в уходящем году были связаны с атаками через подрядчиков

Ключевой угрозой российскому бизнесу в 2025 году были шифровальщики и вымогатели. Около 70% всех киберинцидентов в 2025 году были связаны с этим вредоносным ПО. Исследователи отмечают, что российские организации до сих пор уязвимы перед этими атаками, поскольку пренебрегают базовыми практиками информационной безопасности. Так, на ИТ-периметре большинства организаций присутствуют незакрытые уязвимости, VPN для удаленного доступа к корпоративным ресурсам часто не защищен двухфакторной аутентификацией, сеть не сегментирована, доступы к ИТ-системам не контролируются и т.д.

Одним из следствий роста числа атак с применением шифровальщиков стал рост спроса на технологии резервного копирования данных. Однако аналитики отмечают, что этот позитивный тренд нивелируется неграмотным подходом к его внедрению. ИТ-администраторы редко проводят проверки возможности корректного восстановления из бэкапов и недостаточно ограничивают доступ к ним со стороны пользователей. В результате примерно в четверти случаев наличие резервных копий не помогало бизнесу восстановиться после атаки шифровальщика.

«Хуже всего то, что компании практически не проводят учения, где ИБ- и ИТ-специалисты могли бы отработать меры реагирования в случае возникновения того или иного инцидента. И когда он происходит в реальности, они оказываются не готовы. При этом именно от скорости и правильности мер, которые принимаются в первые часы после инцидента, от слаженности работы различных команд на 80% зависит то, какой ущерб в итоге понесет бизнес», – подчеркнул Алексей Кузнецов, генеральный директор компании CICADA8.

Более трети инцидентов в уходящем году были связаны со взломом партнеров и подрядчиков, имеющих доступ в инфраструктуры заказчиков. У многих из них не были реализованы базовые меры для защиты от атак данного типа – двухфакторная аутентификация, отключение сервисных учетных записей, требования к сложности и регулярности обновления паролей на системах удаленного доступа. В большинстве пострадавших компаний отсутствовали дополнительные меры защиты, такие как усиленный мониторинг действий подрядчиков и доступ в инфраструктуру только через специальные прокси-шлюзы (jump station). В отсутствие этих мер технические средства защиты не давали эффекта против атак через подрядчиков. В итоге после компрометации контрагентов у хакеров уходило всего несколько часов на то, чтобы полностью захватить инфраструктуру целевой жертвы.

Также в СICADA8 отмечают, что из-за желания успеть за стремительным ростом рынка отечественного ПО вендоры в первую очередь думают о функциональности, и только во вторую – о безопасности своих продуктов. Хотя обычно проблемы связаны с некорректной конфигурацией и слабой документацией российского ПО, аналитики СICADA8 в 2025 году на практике сталкивались и со случаями, когда уязвимости российских решений стали причиной взлома их пользователей.

Еще одним трендом стало использование атакующими легитимного ПО и, в том числе, непосредственно решений для защиты от киберугроз. Даже при наличии доступа к инфраструктуре с правами администратора домена злоумышленники все равно выбирали СЗИ примерно в 70% крупных кибератак. 

Наконец, LLM-модели стали активно применяться для написания качественной «обвязки» эксплоитов – вредоносных скриптов, обфускации исходного кода и т.д. Возможность автоматизировать процессы с помощью ИИ увеличило продуктивность злоумышленников в несколько раз. и в следующем году Россию ждет всплеск атак, инструменты для которых созданы с помощью искусственного интеллекта, – предупреждают эксперты СICADA8.