Каждая пятая успешная кибератака на организацию в РФ бывает массовой
Фото: Артур Новосильцев / Агентство «Москва»
В России организации становились жертвами массовых кибератак в 20% случаев, наиболее атакуемыми оказались госсектор и промышленные предприятия. Более чем в половине массовых атак злоумышленники использовали вредоносное программное обеспечение (ВПО).
Таковы результаты исследования, которое провела компания Positive Technologies, проанализировавшая развитие массовых атак за первые три квартала 2025 года.
Выяснилось, что стараясь охватить как можно больше компаний, в 47% атак киберпреступники выбирали цели без привязки к конкретной отрасли. Чаще других в рассматриваемый период с массовыми атаками сталкивались госучреждения (12%) и промышленность (9%). Эти же отрасли являются самыми атакуемыми и в целевых атаках, что связано с их стратегической значимостью, высокой ценностью хранимых данных, масштабной цифровизацией, а также относительно низким уровнем зрелости кибербезопасности.
Более чем в половине (56%) всех массовых атак злоумышленники использовали вредоносы, в каждой третьей успешной атаке (34%) — ВПО для удаленного доступа. Такой инструмент обеспечивает полный контроль над зараженными устройствами, автоматизированный сбор данных, перемещение по сети и установку дополнительного ПО, а также применяется для создания ботнетов. Скрытно собирать конфиденциальные данные для последующей монетизации или использования в цепочках атак злоумышленникам позволяет шпионское ПО (оно использовалось в 22% атак). Характерными для массовых кампаний также остаются майнеры (задействованы в 19% атак).
Все чаще в попытках обойти традиционные средства защиты хакеры используют искусственный интеллект, в том числе для динамической генерации вредоносов. При этом каждая массовая атака может иметь от десятков до нескольких тысяч жертв. Такой масштаб и автоматизация позволяют наносить ущерб, сопоставимый с целевыми кампаниями даже при отсутствии глубокой персонализации. Наиболее частое последствие массовых атак — утечка конфиденциальных данных (40% атак приводили именно к ней). Более четверти атак (26%) закончились использованием ресурсов жертв для проведения дальнейших атак, а к нарушению основной деятельности организаций привела практически каждая четвертая атака (24%).
При этом массовые атаки порождают и ряд системных проблем. В некоторых случаях организации используют для защиты от массовых атак решения класса EDR (endpoint detection and response), хотя основное их предназначение — выявление и реагирование на сложные и целевые угрозы. Одновременное появление множества событий в системе EDR может приводить к ее перегрузке, что снижает общую готовность к реагированию и повышает риск пропуска критического инцидента.
Как отметила руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина, массовые атаки эволюционируют от простых сценариев к более сложным и адаптивным схемам.
«Такие техники, как, например, обфускация кода и автоматизированное создание вредоносных файлов, позволяют маскировать хакерскую активность, обходить сигнатурное детектирование и быстро масштабировать атаки. Это размывает границу между массовыми и целевыми кампаниями, в связи с чем эффективная защита требует перехода к решениям на основе поведенческого анализа, машинного обучения и комбинации платформ EPP и EDR», — сказала Зиновкина.
Тем не менее стабильно высоким остается и количество высококвалифицированных целевых атак (80%). При таком ландшафте киберугроз эффективная защита невозможна без комплексного подхода к безопасности. Компания Positive Technologies показывала рынку свою концепцию защиты конечных устройств — MaxPatrol Endpoint Security. Вендор также анонсировал альфа-версию нового средства защиты от массовых атак MaxPatrol EPP, в основе которого лежит антивирусная технология.
Расширив свой продуктовый портфель, Positive Technologies готова обеспечивать всестороннюю защиту российского и международного бизнеса как от массовых, так и от целевых атак — с помощью антивируса и EDR-системы соответственно.
Антивирусное ядро автоматически блокирует вирусы, шифровальщики, программы-шпионы и другое ВПО сразу после обнаружения. Это возможно благодаря комбинации статических и поведенческих детектов, а также технологиям эмуляции для выявления замаскированных вредоносных файлов. Такая превентивная защита снижает нагрузку на специалистов по ИБ и высвобождает их ресурсы для поиска и устранения сложных многовекторных атак.
