Каждая пятая компания, проходящая проверку на компрометацию, сталкивается с проникновением злоумышленников в свою инфраструктуру. В отличие от реагирования на инциденты, такая проверка проводится с профилактической целью и не обнаруживает явных признаков нарушения внутренних процессов компании. Об этом рассказали IT Speaker в BI.ZONE Compromise Assessment.
«Большая часть случаев скрытого присутствия (60%) относится к кластерам, занимающимся кибершпионажем. Это не означает, что кибершпионы атакуют российские компании чаще остальных: просто специфика этих группировок требует длительного пребывания в инфраструктуре жертвы для незаметного сбора конфиденциальной информации. Они отличаются, например, от финансово ориентированных кластеров, использующих программное обеспечение для шифрования, которые, как правило, действуют быстро и могут находиться в инфраструктуре всего несколько дней», – прокомментировал Владимир Гришанов, руководитель BI.ZONE Compromise Assessment.
Также 20% выявленных случаев скрытого присутствия в инфраструктуре связаны с активностью хактивистских группировок.
На этапах атаки, касающихся получения доступа и первоначального закрепления, злоумышленники чаще всего остаются на том хосте, на который им удалось первоначально проникнуть. Это могут быть узлы на границе сети или в DMZ – сегменте сети с публичными IP-адресами, отделенным от интернета и внутренней сети организации при помощи межсетевого экрана. Это почтовые серверы, серверы веб-приложений, VPN-шлюзы или системы, обслуживаемые подрядчиками.
Если злоумышленники повышают свои привилегии и получают более глубокий контроль над инфраструктурой, они стремятся закрепиться в ключевых системах организации. Например, в доменных контроллерах, системах виртуализации и серверах резервного копирования. Контроль над этими узлами дает атакующим возможность управлять учетными записями и оказывать влияние на всю ИТ-инфраструктуру компании.
Внутри систем механизмы закрепления обычно реализуются через автозапуск-службы, задания планировщика, изменения в конфигурациях или легитимные механизмы инициализации приложений. Это делает возможным автоматический запуск вредоносного кода даже после перезагрузки, обеспечивая длительный доступ к системе.
Ранее российская компания F6 выявила уникальный подход финансово мотивированных хакеров к атакам на местные предприятия. С февраля по март 2026 года группа Hive0117 заражала компьютеры бухгалтеров через вредоносные электронные письма.
В России увеличилось число ВПО под видом VPN
