Специалисты BI.ZONE Compromise Assessment установили, что злоумышленники присутствуют в инфраструктуре каждой пятой компании, которая обращается для проверки на предмет компрометации. В отличие от реагирования на киберинцидент профилактические проверки проводятся без признаков внешнего воздействия на бизнес-процессы компании. По оценкам экспертов BI.ZONE, большинство выявленных случаев скрытого присутствия (60%) приходится на кластеры, нацеленные на кибершпионаж. Это не означает, что кибершпионы атакуют российские компании чаще всего: специфика этих группировок такова, что для достижения своих целей им необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию. Этим они отличаются от финансово мотивированных кластеров, использующих шифровальщики, — те проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней.
20% случаев выявленного скрытого присутствия в инфраструктуре компаний приходится на долю хактивистских кластеров.
На ранних этапах атаки, связанных с получением доступа и первоначальным закреплением, злоумышленники скрываются на том хосте, на который им изначально удалось проникнуть. Чаще всего это узлы на периметре сети или в DMZ — части сети с публичной IP-адресацией, отделенной и от интернета, и от внутренней сети организации межсетевым экраном. Это почтовые серверы, серверы веб-приложений, VPN-шлюзы или системы, обслуживаемые подрядчиками. Такие хосты доступны извне, регулярно взаимодействуют с внешней средой и потому представляют собой удобную точку входа для атакующих.
Если злоумышленникам удалось повысить привилегии и получить более глубокий контроль над инфраструктурой, они стремятся закрепиться в ключевых системах организации. В первую очередь, это доменные контроллеры, системы виртуализации и серверы резервного копирования. Контроль над этими узлами позволяет атакующим управлять учетными записями и влиять на всю IT-инфраструктуру компании.
Внутри самих систем механизмы закрепления чаще всего реализуются через автозапуск-службы, задания планировщика, изменения в конфигурации или легитимные механизмы инициализации приложений. Это позволяет вредоносному коду автоматически запускаться даже после перезагрузки и подолгу сохранять доступ к системе.
По данным исследования Threat Zone 2026, с целью шпионажа совершается 37% атак, нацеленных на российские организации. Шпионские кластеры активно используют легитимные инструменты, а также ВПО собственной разработки, что позволяет обходить средства защиты и дольше оставаться в инфраструктуре незамеченными.
