Главное Авторские колонки Вакансии Вопросы
😼
Выбор
редакции
Редакция Spark.ru 657 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Киберугрозы-2025: сценарии взломов и чек-лист защиты бизнеса

За период с января по июнь 2025 года ведущие российские компании столкнулись с огромным числом кибератак, превышающим отметку в 63 тысячи инцидентов, что почти на 30% больше, чем в первом полугодии 2024 года.

Наибольшему риску подвергаются крупнейшие торговые площадки, представители нефтегазовой отрасли и машиностроения, авиационные перевозчики и транспортные компании. Подробности о современных угрозах и методах противодействия раскрывает Алексей Власов, партнер и коммерческий директор ИT-компании Notamedia.Integrator — одной из лидеров в области заказной разработки и интеграции.

С изменением внешнеполитической обстановки и повсеместным использованием цифровых технологий бизнес становится все более уязвим, а новые угрозы информационной безопасности появляются каждый месяц. Среди них наиболее распространены кражи персональных и коммерческих данных, целенаправленные атаки (APT), социальная инженерия, атаки на DNS-уровне (трехкратный рост до 198 млн за январь-апрель 2025 года) и на цепочки поставок (supply chain attack). Также злоумышленники активно применяют кражу данных из облачных- и SaaS-сервисов.

В статье мы рассмотрим подробнее наиболее актуальные кибератаки на российский бизнес в текущем году и способы защиты от них.

Целевые атаки (APT-атаки)

Это тщательно продуманная целевая атака, специально разработанная против конкретной компании или индустрии. Преступники получают нелегитимный доступ к корпоративной сети, успешно укореняются внутри инфраструктуры и длительное время остаются не обнаруженными.

Обычно они используются против стратегических секторов экономики: промышленность, финансы, энергетика и государственная инфраструктура. Цель — политическая или экономическая выгода, добыча данных, промышленный шпионаж, повреждение инфраструктуры. Для проникновения в корпоративный контур проводится манипуляция сотрудниками, использование неизвестных широкой публике уязвимостей в ПО и развертывание серии вредоносных программ.

Пример атаки:

Атака Awaken Likho/Core Werewolf, направленная на российские государственные учреждения, их подрядчиков и ряд промышленных предприятий. Злоумышленники стартовали в июне 2024-го и действовали минимум до конца лета. Хакеры значительно обновили используемый стек инструментов. Вместо прежнего UltraVNC теперь применялся агент легитимной платформы MeshCentral, позволяющий скрытно получать удаленный доступ к зараженным устройствам. С его помощью вредоносный код внедрялся на компьютеры пользователей посредством ссылки через фишинговые рассылки. Конкретные письма выявить не удалось, однако известно, что раньше подобные атаки сопровождались файлами типа self-extracting archive (SFX). Как и прежде, вредоносный файл был упакован в самораскрывающийся архив, созданный программой 7-Zip. Внутри архива находятся пять элементов: четыре из них имитируют стандартные служебные процессы Windows, пятый же представляет собой основной агент MeshAgent. Для запуска инфекции преступники используют планировщика заданий системы, активирующего специальный скрипт, который инициирует установку агента и соединение с удалённым сервером MeshCentral.

Шифровальщики (Ransomware)

Так называется вредоносное ПО, предназначенное для блокировки доступа к документам и компьютерным системам путем их шифрования. Применяется с целью получения выкупа за возврат доступа. Чаще всего случается вследствие несвоевременного обновления ПО и сервисов, заражения через фишинг и уязвимости публичных сетей.

Пример атаки:

В августе 2024 произошла ransomware-атака на компанию-производителя водки «Столичная» и «Московская». Инцидент имел серьезные последствия для ИТ-инфраструктуры компании и ее деятельности: из-за недоступности ERP-системы все внутренние процессы организации, включая бухгалтерию, пришлось перевести в ручной режим. В частности, инцидент помешал предоставить финансовые отчеты кредиторам, по утверждениям которых компании не смогли выплатить долг в размере более 6 млрд рублей. В итоге в декабре пришлось подать заявление о банкротстве.

Атаки на поставщиков (Supply Chain Attacks)

Это вид киберугрозы, при которой преступники осуществляют нападение не на организацию, а на её контрагентов. Основной целью является проникновение в защищенные данные, саботаж функционирования предприятия или шантаж с требованием выкупа.

Угрозы обычно распространяются на партнеров и внешние ИТ-решения. В 2024 году пострадали российские поставщики ИТ-продуктов и логистические платформы.

Пример атаки:

Positive Technologies совместно с TetraSoft успешно остановили таргетированную кибератаку, направленную на системы удаленного мониторинга добычи углеводородного сырья. По данным расследования, злоумышленники проникли в инфраструктуру TetraSoft в июле 2024 года, а активные действия начали проводить в конце сентября — начале октября.

Социальная инженерия

Вид кибератак, который подразумевает воздействие на человека (сотрудника) с целью вынудить его передать корпоративные данные или исполнить чужие требования. На сегодняшний день это один из самых распространенных методов проникновения в закрытые системы компании. С ростом применения deepface-технологий и голосовых имитаторов противостоять таким манипуляциям становится все сложнее.

Цель при этом — получить доступ к конфиденциальной информации, ресурсам или системам, минуя технические средства защиты. Для этого используется манипуляция, которая заставляет сотрудников компании-жертвы совершить нужное действие: сообщить пароль или код из SMS, установить вредоносное ПО, предоставить физический доступ к учетным записям или системам, не предназначенным для посторонних. Как правило, для этого используется рассылка писем с фиктивных адресов, выдача злоумышленника за руководителя или партнера, комбинирование с фишингом.

В первой половине 2024 года жертвой успешной фишинговой атаки стала российская компания SoftMall, в результате чего были раскрыты отчеты аудита информационной безопасности нескольких крупных контрагентов. Скорее всего, злоумышленники использовали фишинговые ссылки, а сотрудники не имели навыков их определить.

DDoS-атаки

Разновидность сетевых атак, при которых мошенники наводняют выбранный сервер, службу или сеть огромным количеством запросов, поступающих одновременно с множества различных точек. Задача такой атаки — остановить деятельность компании. Основные направления злоумышленников — розничная торговля, логистика, финансы.

Если в 2024 году средний ежеквартальный прирост DDoS-атак на региональные ресурсы составлял 70%, то в начале 2025 года этот показатель увеличился до 77,7%. Основной удар пришёлся на четыре ключевые отрасли: информационные технологии, телекоммуникации, промышленность и топливно-энергетический комплекс — на них пришлось 90% всех атак. А 26 марта 2025 года DDoS-атаки ударили по сервисам «Лукойла», телеком-операторов, СБП и госорганов.

Утечки данных из облаков и SaaS-сервисов

Это незаконное проникновение в закрытые данные, размещенные в облаке или системах программного обеспечения как услуги (SaaS). Могут пострадать важные сведения любого характера: персональная информация, платёжные реквизиты, медицинская документация, а также коммерческие секреты, такие как клиентские списки и авторские разработки.

Для атаки хакеры используют ошибки компаний в управлении API. Если в API не реализованы меры безопасности, необходимые для защиты данных и предотвращения несанкционированного доступа, то в сочетании с цифровой неграмотностью пользователей это чревато утечкой данных.

Пример — утечка данных DNS-хостинг-провайдера REG.RU (не напрямую из облака, но вовлечены облачные API) в апреле 2024 года. Свыше 750 тыс. записей клиентов (контактные данные, имена доменов, метки TTL-запросов и токены API) были получены злоумышленниками через компрометацию одного из API-интерфейсов, управляемого с помощью облачного микросервиса (OpenAPI-инфраструктура в публичной среде).

Внутренняя угроза (инсайды и саботаж)

Это противоправные действия, осуществляемые лицами, обладающими официальным правом доступа к внутренней информации и ИТ-инфраструктуре организации. Обычно это руководители отделов, специалисты по работе с базами данных или менеджеры по продажам, айтишники, админы сетей и прочие уполномоченные лица.

Именно такие сотрудники с привилегированным уровнем доступа могут представлять серьезную угрозу, особенно при увольнении или конфликте с работодателем. Здесь может идти речь о широком спектре угроз: от кражи информационных активов и прямого хищения средств корпорации до торговли данными с целью личной выгоды (инсайдеры). Также нередки случаи нанесения урона имиджу предприятия, его финансовому благополучию, вплоть до полного уничтожения. Основной целью саботажа является срыв работы на любом её этапе. Обычно он совершается с мотивами, основанными на негативных эмоциях и желании нанести вред компании.

С другой стороны, сюда же относятся и инсайдерские действия, направленные на различные цели, связанные с ущербом для организации. Например, хищение сотрудниками ценной информации в организации для последующей перепродажи ее конкурентам. Мотивация простая — это чаще всего деньги, полученные ими от злоумышленников.

Бывший сотрудник «Яндекса» (разработчик) вывел исходный код нескольких внутренних сервисов компании и выложил его в публичный доступ в виде торрента. Объём — более 40 ГБ, включая код Яндекс Почты, Браузера, Поиска, Рекламы и др. Это инсайдерские действия, предположительно, — месть уволенного сотрудника или его внутренний протест. Представители «Яндекса» подтвердили подлинность данных, при этом уточнив, что утечка не затронула пользовательские данные.

Базовый чек-лист кибербезопасности компании

Политика информационной безопасности и обучение сотрудников

  • Разработайте и внедрите четкие регламенты и инструкции по информационной безопасности (обработка данных, использование интернета, пароли и т.д.);
  • Проводите обязательное обучение и регулярное тестирование (например, фишинговые симуляции) для всех сотрудников для формирования культуры кибербезопасности. Это первая линия обороны против социальной инженерии;
  • Внедрите процедуры для безопасной обработки инцидентов и сообщения о подозрительных событиях (письма, звонки).

Управление доступом и аутентификация

  • Внедрите строгую политику паролей (сложные и уникальные) для всех учетных записей;
  • Используйте многофакторную аутентификацию (MFA) для доступа ко всем критическим системам;
  • Реализуйте принцип наименьших привилегий (PoLP): предоставляйте сотрудникам доступ только к тем данным и системам, которые необходимы для их работы;
  • Обязательно проводите регулярный аудит и своевременный отзыв прав доступа при увольнении или смене ролей сотрудников.

Защита периметра и сетевой безопасности

  • Установите и правильно сконфигурируйте межсетевые экраны для фильтрации входящего и исходящего трафика;
  • Используйте корпоративный VPN для организации безопасного удаленного доступа сотрудников к корпоративной сети;
  • Сегментируйте сеть: разделите сеть на изолированные зоны (например, бухгалтерия, R&D, гостевой Wi-Fi), чтобы ограничить перемещение злоумышленников по сети в случае взлома;
  • Регулярно меняйте пароли и настройки по умолчанию на всем сетевом оборудовании (маршрутизаторы, точки доступа).

Своевременное обновление и управление уязвимостями

  • Внедрите централизованную систему управления обновлениями для операционных систем и прикладного ПО;
  • Установите жесткий регламент и сроки установки критических обновлений безопасности (желательно в течение 72 часов после выпуска);
  • Проводите регулярное сканирование ИT-инфраструктуры на наличие известных уязвимостей с помощью специализированных сканеров.

Защита конечных точек (Endpoint Protection)

  • Установите современные антивирусные решения на все рабочие станции и серверы;
  • Обеспечьте шифрование дисков на всех ноутбуках и мобильных устройствах для защиты данных при их хищении или утере;
  • Ограничьте права пользователей на установку неподписанного и непроверенного программного обеспечения.

Резервное копирование и восстановление

  • Внедрите автоматизированную систему регулярного и отказоустойчивого резервного копирования всех критически важных данных;
  • Регулярно (не реже раза в квартал) проводите тестовые восстановления данных из резервных копий для проверки их целостности и работоспособности процедуры.

Заключение

Современный бизнес в РФ сталкивается не с одной, а с совокупностью киберугроз, которые ежедневно совершенствуются. Поэтому необходимо перейти от пассивной защиты к активной: от реагирования — к мониторингу, предвидению и минимизации рисков. Подход к кибербезопасности должен быть комплексным — стать частью стратегии развития компании, корпоративной культуры, должностных инструкций сотрудников.

Автор: Алексея Власова, партнер и коммерческий директор ИT-компании Notamedia.Integrator.
0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
О проекте Проекты Реклама Связаться с редакцией
16+
Редакция team@spark.ruТехническая поддержка help@spark.ruПродвижение adv@spark.ruТелефон +7 495 137-07-07
Учредитель сетевого издания Барабанова.Ю.Б., ИНН 500111143150
Редакционные материалы ООО Редакция Спарк Ру
Сообщения и материалы сетевого издания Spark (за исключением авторских колонок) (зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 января 2025 года за номером ЭЛ №ФС77-89031 сопровождаются пометкой Spark_news или Редакция Spark.ru, или Spark.
Правовая информация Правила пользования сайтом Политика обработки персональных данных Правила рекомендательных технологий