Специалисты команды реагирования на киберинциденты BI.ZONE DFIR регулярно проводят расследования инцидентов в компаниях, IT-инфраструктура которых была зашифрована или полностью уничтожена злоумышленниками. На основании данных, собранных за первые три квартала 2025 года, был подготовлен «Ультимативный гайд по защите инфраструктуры от шифровальщиков и вайперов». В материале анализируются критические проблемы, наиболее часто встречающиеся в пострадавших организациях, а также методы самих киберпреступников на каждом этапе развития атаки.
По данным BI.ZONE DFIR, в 2025 году с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 году этот показатель составлял 15%.
Согласно порталу киберразведки BI.ZONE Threat Intelligence, в настоящее время атаки через подрядчиков осуществляют 10 кибергруппировок, нацеленных на Россию.
Нарастание подобных инцидентов привело к тому, что контроль доступа подрядчиков стал одним из ключевых фокусов в управлении привилегированным доступом. По данным BI.ZONE PAM, в 32% случаев компании внедряют PAM-системы для оптимизации и усиления контроля работы с подрядчиками как отдельной категории привилегированных пользователей.
Более трети компаний, пострадавших от атак с использованием шифровальщиков или вайперов, рассматривает саботаж или воздействие инсайдеров в качестве ключевой гипотезы. Однако, согласно данным BI.ZONE DFIR, связь таких кибератак с инсайдом прослеживается редко.
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами BI.ZONE, отметил: «Инсайдеры, помогающие злоумышленникам атаковать компании, — распространенный миф. На самом деле, киберпреступники в подавляющем большинстве случаев полагаются на методы социальной инженерии, такие как фишинг, а также на ошибки, которые допускают сами компании при построении инфраструктуры и системы ее защиты. Так, по нашим данным, только 25% компаний, пострадавших от атак с шифровальщиками или вайперами, вели мониторинг событий кибербезопасности, однако даже в этих случаях он был неполным и не покрывал все сегменты инфраструктуры».
Среди наиболее критических повторяющихся проблем также отсутствие фильтрации в почте для защиты от фишинга (обнаружена у 85% пострадавших компаний), плоская сеть и отсутствие выстроенного процесса реагирования на инциденты (по 80%), а также неконтролируемый внешний периметр (70%). Критическими эти проблемы считаются потому, что их наличие позволяет атакующему нанести ущерб, даже если в компании принимаются другие меры защиты.
Кроме того, в 60% пострадавших компаний сотрудники использовали одинаковые пароли для доступа к разным рабочим сервисам, включая почту, CRM, внутренние корпоративные порталы, системы документооборота и т. д. При этом, по данным BI.ZONE Digital Risk Protection, каждая
Злоумышленники могут оставаться в сети месяцами или даже годами, распространяя ВПО и готовя финальный ущерб. Время пребывания атакующих в инфраструктуре зависит от многих факторов — от мотивации самих киберпреступников до особенностей инфраструктуры пострадавшей организации.
По данным BI.ZONE DFIR, в 2025 году минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 минут, а максимальное — 181 день.
Ранее BI.ZONE и медиахолдинг Rambler&Co провели исследование осведомленности пользователей о кибератаках. Согласно полученным данным, каждый пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.
Если компания подверглась кибератаке, нейтрализовать последствия и провести расследование помогут специалисты по реагированию на инциденты, например специалисты BI.ZONE DFIR. С их помощью организация может свести к минимуму финансовые и репутационные потери, связанные с киберинцидентом. А своевременное и регулярное выявление компрометации, например с помощью BI.ZONE Compromise Assessment, поможет определить присутствие или следы злоумышленников в IT-инфраструктуре до того, как они успеют нанести ущерб. Это особенно актуально при подготовке к слиянию, поглощению или аудиту, а также при выходе на работу нового директора по информационной безопасности.
