На шифрование и разрушение инфраструктуры бизнеса приходится 76% кибератак

«Инфосистемы Джет» представила популярные тактики и техники нарушения киберустойчивости российских компаний. Согласно исследованию команды Центра мониторинга и реагирования на инциденты Jet CSIRT, 76% кибератак сегодня — это шифрование и разрушение инфраструктуры. Наибольшее количество инцидентов направлено на промышленную отрасль и производство — 20%, на ритейл и e-commerce— 18%, на госсектор — 13%.

В период с 2023 по 2025 год команда Jet CSIRT принимала участие в расследовании, реагировании и ликвидации последствий более чем 100 крупных инцидентов информационной безопасности. Наибольшее количество расследованных инцидентов пришлось на следующие отрасли: промышленность и производство (20%), ритейл / E-commerce (18%), госсектор (13%), консалтинг и профессиональные услуги (13%), ИТ и телеком (10%), финансы и страхование (10%). При этом специалисты подчеркивают, что сегодня под ударом может оказаться практически любая компания, независимо от отрасли, масштаба бизнеса или уровня зрелости ИТ-инфраструктуры.

По данным экспертов Jet CSIRT, основная цель большинства атак — остановка бизнеса. На шифрование инфраструктуры (LockBit, Babyk, Zeppelin, Phobos, Enmity) приходится 44% атак, на разрушение инфраструктуры (wiper) —32%, хактивизм (продажа доступов, дефейс, нелегитимные финансовые операции, майнеры) — 8%, утечку конфиденциальных данных — 8%, DDoS-атаки (с остановкой бизнес-процессов) — 8%.

«Кибератаки сегодня — это фактор операционного риска для бизнеса. Вопрос уже не в том, произойдет ли атака, а в том, насколько быстро компания сможет восстановить работу своих бизнес-процессов. На основе накопленного практического опыта реагирования на инциденты мы разобрали наиболее часто встречающиеся сценарии атак, которые приводят к остановке деятельности компаний, и предлагаем свои рекомендации, как к ним нужно подготовиться», — говорит Ринат Сагиров, директор центра мониторинга и реагирования «Инфосистемы Джет».

В текущем ландшафте киберугроз существует несколько ключевых типов атак, которые представляют непосредственную угрозу для непрерывности бизнеса и способны привести к длительной недоступности ИТ-систем и бизнес-процессов. Это атаки с использованием программ-вымогателей (ransomware), блокирующие доступ к данным и ИТ-сервисам; атаки, направленные на уничтожение данных (wiper), ведущие к необратимому повреждению IT-активов; масштабные DDoS-атаки, нарушающие доступность ключевых ИТ-сервисов на продолжительное время. Именно эти три сценария создают прямую угрозу непрерывности бизнеса.

Результату кибератаки предшествует последовательность действий злоумышленников, направленных на получение первоначального доступа, закрепление в инфраструктуре, повышение привилегий и распространение вредоносного программного обеспечения по инфраструктуре. В этот период злоумышленники активно взаимодействуют с ИТ-инфраструктурой компании: используют легитимные административные инструменты, перемещаются между системами, собирают информацию о среде и получают доступ к критически важным ресурсам. Именно на этих этапах у компаний существует возможность обнаружить атаку и предотвратить её разрушительные последствия. Большинство атак развивается по схожим сценариям и использует набор хорошо известных техник.

Финансовая мотивация остается ключевым драйвером большинства кибератак: более чем в 90% расследованных инцидентов конечной целью злоумышленников являлось получение выкупа. При этом разброс запрашиваемых сумм крайне широк: от 500 тысяч до 500 миллионов рублей. Сумма выкупа, как правило, определяется результатами разведки о бизнес-деятельности компании.