Специалисты BI.ZONE исследовали сайты, сервисы и приложения более 150 российских компаний. В первом полугодии 2025 года веб-шеллы были обнаружены в системах 26% исследованных компаний, а в 2024 году с проблемой столкнулись 23% организаций.

При этом значительно выросла доля веб-шеллов на сайтах и других внешних периметровых веб-ресурсах: с 12% в 2024 году до 53% в первом полугодии 2025-го.

Чаще всего веб-шеллы встречаются на ресурсах туристических и IT-компаний (38% и 35% соответственно). В 2024 году IT-отрасль была абсолютным лидером по числу обнаруженных веб-шеллов: тогда на ее долю пришлось 62% всех случаев.

Андрей Шаляпин, руководитель BI.ZONE TDR, отметил: «Почти 73% веб-шеллов мы выявили, когда внедряли решение по защите конечных точек BI.ZONE EDR. Это говорит о том, что подавляющее большинство таких скриптов злоумышленники устанавливают еще до запуска сервисов в работу. Основная причина, по которой преступникам это удается, — нарушение правил безопасной разработки. Разработчики нередко выставляют в открытый доступ серверы веб-ресурсов, работа над которыми еще не завершена. Это позволяет им подключаться к рабочей среде удаленно и облегчает многие процессы, например тестирование. Но такой подход фактически дает зеленый свет злоумышленникам, поскольку тестовые среды, выставляемые в открытый доступ, чаще всего не покрыты средствами защиты и на них не ведется мониторинг вредоносной активности».

Чтобы минимизировать риски внедрения веб-шеллов, на всех публикуемых сервисах должен быть ограничено прямое взаимодействие с сетью Интернет. Кроме того, на них следует установить современные средства мониторинга конечных точек класса endpoint detection and response (например, BI.ZONE EDR). Для детектирования веб-шеллов на основе телеметрии BI.ZONE EDR используются поведенческие правила, а также сигнатурный анализ с помощью YARA-правил. Политика безопасности компании также должна распространяться на сегменты разработки и тестирования.

Разработчики и тестировщики — не единственные, кто может жертвовать безопасностью ради временного удобства. Согласно исследованию BI.ZONE, до трети системных администраторов отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу. В целом же неправильные и некорректные настройки делают уязвимыми для кибератак более 60% серверов и рабочих станций.

Выполнение компаниями необходимых правил кибербезопасности — одно из ключевых условий, при которых сервис-провайдеры могут эффективно обеспечивать мониторинг киберинцидентов и реагирование на них. Ранее компания BI.ZONE заявила, что вернет стоимость услуги по мониторингу и реагированию, если заказчик добросовестно выполняет технические обязательства в рамках условий сервиса BI.ZONE TDR, а киберинцидент не был обнаружен и привел к ущербу.