Почему июль становится лучшим месяцем для взлома российских и западных компаний хакерами

Почему июль становится лучшим месяцем для взлома российских и западных компаний хакерами

изображение: grok

Число кибератак в отпускной сезон вырастает примерно на 40%, поскольку службы защиты работают урезанным составом и реагируют медленнее обычного. Преступники подгадывают взломы под июль и август, когда самые опытные ИБ-специалисты недоступны, а согласования растягиваются на дни. Российских компаний и рядовых пользователей это касается напрямую, ведь поддельные письма от начальства, звонки от мнимых бухгалтеров и рассылки с вредоносными вложениями летом идут сплошным потоком.

Сокращение дежурной смены не отменяет поток уведомлений. Заявки, обращения, срабатывания систем мониторинга приходят с прежней частотой, а разбирать их некому. Отпуск чаще берут те, кто дольше всех работает в компании и лучше всех знает инфраструктуру, поэтому сложное расследование, которое штатный инженер закрыл бы за два часа, растягивается на сутки.

Потеря внутренней экспертизы обходится дороже, чем кажется на первый взгляд. Человек, помнящий, что вот этот сервер всегда шумит по ночам из-за резервного копирования, отличит норму от вторжения за минуту. Стажёр на подмене будет разбираться полдня либо закроет уведомление как ложное и пойдёт дальше по очереди. Установка обновлений съезжает вправо, известные бреши висят незакрытыми неделями, а разбор подозрительных событий стартует с опозданием на пару смен.

Летом у атакующих складывается сразу несколько преимуществ:

  • дежурные смены сокращены, а поток уведомлений остался прежним;
  • обновления откладываются, публично описанные бреши висят открытыми;
  • расследование подозрительных событий начинается с опозданием;
  • решения принимают сотрудники без права подписи и без опыта;
  • связь с руководством уходит в мессенджеры и проверяется хуже.

Интересно, что преступники редко работают вслепую. Они заранее выясняют, кто в компании ушёл отдыхать, читают автоответы почтовых ящиков, изучают корпоративные соцсети и бьют по тому направлению, где замена слабее всего.

Рост числа атак сам по себе не самый скверный. Хуже то, что урезанная команда позже замечает фишинговую рассылку и компрометацию корпоративной почты. В отчёте Kaseya Email Security Report за 2026 год отмечено, что нападающие поставили генеративные модели на поток и пишут письма без орфографических ляпов, без кривого перевода и с точным знанием внутренней терминологии жертвы. Привычные приметы обмана исчезли, а вероятность того, что сотрудник кликнет по ссылке, заметно выросла.

Разорванные цепочки согласования добавляют рисков. Директор в самолёте, финансовый контролёр на даче без связи, а платёжка на семь миллионов требует срочного подтверждения. Сотрудник, который в обычное время поднял бы трубку и переспросил, ставит подпись, потому что письмо выглядит убедительно и приходит с домена, отличающегося от настоящего одной буквой.

Когда атака удалась, короткая скамейка запасных превращает инцидент в катастрофу. Пока чужую активность никто не заметил, нападающие успевают:

  • перехватить учётные записи администраторов;
  • выгрузить базы клиентов и бухгалтерские отчёты;
  • пройти по внутренней сети до серверов резервного копирования;
  • закрепиться через легитимные утилиты удалённого доступа;
  • подготовить запуск шифровальщика на ближайшие выходные.

Тысячи уведомлений в сутки формируют современные системы мониторинга, и лишь считанные единицы связаны с реальным вторжением. Полный состав аналитиков просеивает этот поток и вылавливает опасное. Урезанный состав физически не успевает, поэтому настоящий инцидент тонет среди ложных срабатываний и всплывает уже в виде зашифрованных серверов.

Ручные операции добавляют тормозов. Проверка заявок, разбор событий, установка исправлений, изоляция заражённой машины требуют живого человека у клавиатуры. Когда людей меньше, каждое действие ждёт своей очереди, а нападающие получают часы форы. Сами преступники давно ушли от ручного труда. Автоматика рассылает тысячи персонализированных писем за минуты, сканеры подхватывают недавно опубликованные бреши в тот же день, когда о них написал производитель.

Стоит обратить внимание, что разрыв в скорости растёт. Атакующей стороне хватает нескольких минут от публикации уязвимости до первой попытки эксплуатации, а компания с ручным согласованием патчей закрывает ту же брешь неделями.

Автоматическое управление обновлениями снимает зависимость от конкретного администратора. Система сама находит критичные исправления, ставит их по заданным правилам, откатывает при сбое и отчитывается о результате. Цикл обновлений держится ровным круглый год, вне зависимости от того, кто где отдыхает.

Инструменты с машинным обучением разбирают поток событий и поднимают наверх то, что похоже на вторжение. Маленькая смена перестаёт тонуть в шуме. Платформы автоматического реагирования идут дальше и сами изолируют подозрительное устройство, блокируют учётную запись, запускают процедуры восстановления и уведомляют ответственных. Круглосуточный мониторинг закрывает ночи, выходные и весь отпускной сезон разом.

Набор мер, который выручает урезанную команду:

  • автоматическая установка критичных исправлений по расписанию;
  • приоритизация уведомлений алгоритмами вместо ручного разбора;
  • готовые плейбуки реагирования с изоляцией устройств;
  • подтверждение платежей вторым каналом связи;
  • внешний мониторинг силами подрядчика на период отпусков.

Российский сегмент попадает под тот же удар, местами сильнее. Летом растёт число звонков от мнимых сотрудников банков и операторов связи, поддельные страницы Госуслуг и налоговой расходятся по мессенджерам, а под видом писем от бухгалтерии сотрудникам приходят архивы с шифровальщиком внутри. Частные пользователи подключаются к рабочей почте с телефона через открытые сети в аэропортах, кафе и отелях, отдавая мошенникам логины и одноразовые коды почти без сопротивления.

Схемы против российских компаний и граждан выглядят так:

  • письма от имени руководителя с просьбой срочно оплатить счёт;
  • поддельные уведомления о штрафах и налоговой задолженности;
  • звонки от лица банка с требованием перевести деньги на «защищённый счёт»;
  • фальшивые бронирования отелей и билетов со ссылкой на оплату;
  • перехват почты через подключение к открытому Wi-Fi в поездке.

Исследования KPMG показали, что отпускные и праздничные периоды год за годом становятся удобным временем для нападений. Пока сотрудники отдыхают, атакующие ищут открытые порты, запускают рассылки и замеряют скорость реакции дежурной смены. Устойчивее оказываются организации, где защита построена вокруг автоматических механизмов обнаружения и реагирования, а не вокруг присутствия конкретного человека за столом.

Ранее сообщалось, что специалисты Тель-Авивского университета, Техниона и компании Intuit описали новую технику атак HalluSquatting, основанную на ошибках генеративных ИИ-помощников для программирования. Исследователи установили, что злоумышленники могут заранее регистрировать несуществующие репозитории, которые языковые модели чаще всего выдумывают при генерации кода, а затем размещать в них вредоносное содержимое. Если ИИ-помощник предлагает такой адрес, он способен автоматически скачать и запустить код через терминал с правами пользователя. По оценке авторов исследования, один подобный репозиторий может привести к массовому заражению устройств с последующим развёртыванием ботнетов, DDoS-инструментов, программ-вымогателей или скрытых майнеров.

Редакция CISOCLUB считает, что отпускной сезон лишь проявляет проблемы, которые копились весь год. Компания, где патчи ставит один инженер по памяти, а платежи подтверждаются устным словом в коридоре, уязвима в июле ровно настолько же, насколько была уязвима в феврале.

Эксперты CISOCLUB уже обращали внимание на то, что российский бизнес нередко откладывает автоматизацию рутины до первого крупного инцидента, а после инцидента внедряет её в спешке и без проектирования. Разумнее заранее описать порядок действий дежурной смены, вывести установку исправлений в автоматический режим и договориться о втором канале подтверждения финансовых операций. Отдельного внимания заслуживает обучение сотрудников, поскольку письмо, написанное языковой моделью, почти невозможно отличить от настоящего по стилю и тону. Летом отдыхают люди, а инфраструктура работает без перерыва, и защищать её должны механизмы, которым отпуск не положен.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: