Исследование Jet CSIRT: в 76% случаев кибератаки приводят к разрушению корпоративной ИТ-среды

1 час назад

© Сгенерировано ИИ

В период с 2023 по 2025 год характер кибератак на российский бизнес принципиально изменился: вместо скрытого шпионажа или кражи данных злоумышленники нацелены на нанесение максимального ущерба. По данным Центра мониторинга и реагирования на инциденты Jet CSIRT (компания «Инфосистемы Джет»), более трех четвертей всех успешных атак сегодня заканчиваются блокировкой или полным уничтожением корпоративных ИТ-активов.

Основываясь на результатах расследования более 100 крупных инцидентов информационной безопасности, аналитики выделили ключевые тактики злоумышленников и наиболее уязвимые секторы экономики.

Отраслевой срез

Жертвой хакеров может стать любая организация, независимо от ее масштаба и уровня защиты. Однако статистика выявила явный приоритет атакующих: они целятся в промышленное производство и сектор массовых услуг. Распределение инцидентов выглядит следующим образом:

- Промышленность и производство — 20%

- Ритейл и электронная коммерция — 18%

- Государственный сектор — 13%

- Консалтинг и профессиональные услуги — 13%

- ИТ и телекоммуникации — 10%

- Финансовый сектор и страхование — 10%

Монетизация угроз

Более чем в 90% случаев хакерами движет финансовая выгода — получение выкупа. Сумма выкупа рассчитывается индивидуально: перед атакой злоумышленники проводят финансовую разведку, оценивая годовой оборот компании и потенциальные убытки от простоя ее систем. В результате запрашиваемые суммы варьируются от 500 тысяч до 500 миллионов рублей.

Для полной остановки бизнес-процессов компании атакующие используют три основных сценария:

1. Шифрование данных (44%). Использование программ-вымогателей (семейства LockBit, Babyk, Zeppelin и др.), которые блокируют доступ к сервисам и базам данных.
2. Уничтожение инфраструктуры (32%). Применение вайперов (wiper) — вредоносного ПО, целенаправленно и необратимо стирающего информацию на серверах.
3. Остальные векторы (по 8%). Оставшиеся доли поровну делят между собой DDoS-атаки, приводящие к простою сервисов, кража конфиденциальных данных и хактивизм (дефейс сайтов, теневой майнинг, продажа доступов).

Возможности для раннего обнаружения атаки

Эксперты отмечают важную деталь: шифрование или удаление данных — это всегда финальный этап атаки. До наступления катастрофы злоумышленники действуют по стандартному шаблону: проникают в сеть, закрепляются в ней, получают максимальные права администратора и распространяют вредоносный код, часто используя легитимные инструменты ИТ-отдела.

Именно в этот период скрытой активности внутри периметра у компании есть реальный шанс обнаружить угрозу и купировать инцидент до того, как бизнес-процессы остановятся.

«Кибератаки сегодня — это фактор операционного риска для бизнеса. Вопрос уже не в том, произойдет ли атака, а в том, насколько быстро компания сможет восстановить работу своих бизнес-процессов. На основе накопленного практического опыта реагирования на инциденты мы разобрали наиболее часто встречающиеся сценарии атак, которые приводят к остановке деятельности компаний, и предлагаем свои рекомендации, как к ним нужно подготовиться», — сказал Ринат Сагиров, директор центра мониторинга и реагирования «Инфосистемы Джет».

Читайте также: Игорь Бедеров: «Границ между безопасностью физической и информационной больше не существует»