Атака через подрядчиков. Угроза удвоилась
По данным специалистов команды реагирования на киберинциденты Bi.Zone Digital Forensics and Incident Response (ООО "Бизон"), в 2025 г. с атаками через подрядчиков пострадавших компаний были связаны более 30% инцидентов с шифрованием или уничтожением инфраструктуры. В 2024 г. этот показатель составлял 15%.
Нарастание подобных инцидентов привело к тому, что контроль доступа подрядчиков стал одним из ключевых фокусов в управлении привилегированным доступом. По данным Bi.Zone PAM, в 32% случаев компании внедряют PAM-системы для оптимизации и усиления контроля работы с подрядчиками как отдельной категории привилегированных пользователей.
Руководитель направления информационной безопасности ГК "Корус Консалтинг" Олег Андреев подтвердил, что атаки типа "человек посередине" стали намного более успешными для хакерских группировок, чем прямые атаки на крупный бизнес: "Большая часть крупных компаний в РФ заботится о защите инфраструктуры и строит безопасный периметр, попасть в который бывает сложно и это занимает много времени. По этой причине более простой и эффективной атакой является атака через слабое звено, которым выступают небольшие подрядные организации, так как они не имеют возможности вкладывать большие средства в свою защиту. Поскольку подрядчики часто имеют прямой доступ к инфраструктуре крупных компаний, время на успешную атаку значительно уменьшается. Рост показателя с 15% до 30% за год - это тревожный сигнал для всего рынка, который может свидетельствовать, что подобные атаки становятся массовым системным бизнесом. При этом классические хакеры, для которых цель атаки - получение денежных средств от жертвы, стали встречаться намного реже".
По данным основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, проникновения в сеть заказчика случаются значительно реже, чем банальные утечки его данных, допускаемые подрядчиком: "В сегменте утечек лидерами среди подрядчиков, допускающих утечки, являются колл-центры и маркетинговые агентства, занимающиеся лидогенерацией, а лидерами среди клиентов – крупные банки и финансовые организации. Другая важная угроза, связанная с ransomware – повторное использование паролей (password reuse), за счет которого происходит значительная часть проникновений в корпоративную инфраструктуру. Слабые парольные политики и лень сотрудников, использующих один и тот же пароль везде, приводят к тому, что получив (или собрав) несколько утечек данных, хакеры могут подбирать пароли сотрудников по персональным словарям. Для борьбы с этой угрозой необходимо использовать сервисы контроля утечек, позволяющие автоматически сбросить скомпрометированный пароль".
Директор направления по информационной безопасности ИТ-экосистемы "Лукоморье" (ООО "РТК ИТ плюс") Станислав Воскресенский согласился с результатами исследования "Бизона", так как количество атак в 2025 г. по сравнению с 2024 г. действительно увеличилось, пропорционально увеличению количества кибератак увеличилось и количество атак шифровальщиков через подрядчиков и/или цепочки поставок.
Станислав Воскресенский отметил, что в открытых источниках можно найти информацию по атакам на торговые сети и крупнейшие вузы России: "Также хочется отметить ставшие популярными в последнее время кибератаки, связанные с шифрованием: тайный майнинг и набирающие популярность - хотя еще в 2010-х годах казавшиеся фантастическими, - угрозы пост-квантовой криптографии".
Проджект-менеджер ООО "МД Аудит" (MD Audit - ГК Softline) Кирилл Левкин поведал, что помимо атак через подрядчиков, значительную долю инцидентов с шифрованием по-прежнему составляют классические схемы: "Фишинг с вредоносными вложениями, эксплуатация уязвимостей в публичных сервисах и использование похищенных учетных данных. Отдельно стоит отметить рост атак с применением вайперов - программ, полностью уничтожающих данные и резервные копии, что делает восстановление системы крайне затруднительным".
Директор департамента расследований ООО "Ти Хантер" (T.Hunter) Игорь Бедеров рассказал, что его компания регулярно выявляет ИБ-риски и уязвимости у подрядчиков тех клиентов, которые находятся под защитой ThreatHunter DRP: "Чаще всего это касается уязвимой инфраструктуры, рисков тайпсквоттинга (вид кибермошенничества, при котором злоумышленники регистрируют доменные имена, похожие на популярные сайты, но с небольшими ошибками в написании), утечек данных или нарушений парольной политики. Кроме этого, мы фиксируем признаки подготовки или начала хакерских атак".
Игорь Бедеров отметил, что ландшафт кибербезопасности в 2025 г. характеризуется резким ростом сложных и дорогостоящих атак, которые часто связаны с шифрованием данных: "Угрозы выходят за рамки компрометации сторонних подрядчиков, хотя их увеличение также бросается в глаза. Мы отмечает угрозы, связанные с шифрованием, государственными и APT-атаками (Advanced Persistent Threat — это сложные, долгосрочные и целевые кибератаки, проводимые высококвалифицированной группой злоумышленников), внутренними угрозами, а также усилением использования искусственного интеллекта (ИИ) в кибератаках".
По мнению Олега Андреева, есть прямая закономерность между экспортными странами для компаний из России и киберугрозами, которые идут на отечественные компании из-за рубежа: "В связи с геополитической обстановкой в мире, на мой взгляд, можно говорить о прямой закономерности. Российские компании, особенно из экспортно-ориентированных секторов, становятся основными целями для хакерских группировок. Нередко такие атаки носят не только коммерческий, но и ярко-выраженный политический и экономический характер. Основной целью таких атак становится не просто получение выкупа, а уничтожение инфраструктуры субъектов критической информационной инфраструктуры (КИИ), что приводит к нарушению цепочки поставок, дестабилизации ключевых отраслей экономики и потере доступа к стратегически важной информации".
Директор по технологическом консалтингу АО "Аксиом" (Axiom JDK) Алексей Захаров отметил, что если страна враждебна или находится в санкционном конфликте, то именно оттуда часто фиксируется больше попыток атак: "Компании, торгующие с зарубежными контрагентами, открывают инфраструктуру для обмена: электронный документооборот, API-интеграции, логистика, CRM, платежные шлюзы. Это может расширить поверхность атаки. Аналитика от некоторых российских SOC центров, включая Bi.Zone, показывает, что волны атак (фишинг, DDoS, вредоносы) часто совпадают с международным политическими и экономическими событиями".