Специалисты BI.ZONE Compromise Assessment выяснили, что злоумышленники присутствуют в инфраструктуре каждой пятой компании, обратившейся за профилактической проверкой на компрометацию. Из всех случаев скрытого присутствия 20% приходятся на хактивистские кластеры, 60% — на кибершпионаж.
Владимир Гришанов, руководитель BI.ZONE Compromise Assessment: «Это не означает, что именно кибершпионы атакуют российские компании чаще всего: просто специфика этих группировок такова, что им для достижения своих целей необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию. Этим они отличаются, к примеру, от финансово мотивированных кластеров, использующих шифровальщики, — те, как правило, проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней».
На ранних этапах атаки злоумышленники чаще всего закрепляются на хостах периметра сети или в DMZ — почтовых серверах, веб-серверах, VPN-шлюзах и системах, обслуживаемых подрядчиками. При повышении привилегий они стремятся закрепиться в ключевых системах: доменных контроллерах, системах виртуализации и серверах резервного копирования. Для закрепления внутри систем наиболее часто используются автозапуск-службы, задания планировщика, изменения конфигурации и легитимные механизмы инициализации приложений.
Согласно исследованию Threat Zone 2026, 37% всех атак на российские организации совершаются в целях шпионажа. Шпионские кластеры активно применяют легитимные инструменты и вредоносное ПО собственной разработки.
