Цель — ваша компания: как защитить данные от кибератак

Только за первый квартал 2025 года крупные отечественные компании подверглись более чем 270 млн кибератакам. В зоне риска — маркетплейсы, базы авиакомпаний и транспортных организаций. В случае успешной атаки бизнесу грозят штрафы до 15 млн рублей. Злоумышленники используют сложные схемы: от вымогателей до APT-группировок и supply chain-атак. Алексей Власов, партнер и коммерческий директор ИТ-интегратора Notamedia, рассказывает подробнее об актуальных киберугрозах и как от них защититься.

Алексей Власов

Партнер и коммерческий директор ИТ-интегратора Notamedia

ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ (APT-ГРУППЫ)

APT-атака (Advanced Persistent Threat — продолжительная атака повышенной сложности) — это длительная, целенаправленная и скрытая кибератака, при которой злоумышленники получают доступ к информационным системам и остаются незамеченными, чтобы собрать конфиденциальные данные или нанести другой ущерб.

APT-атаки используются против ключевых секторов: промышленность, финансы, энергетика и госсектор. В 2024–2025 особенно активными стали китайские, северокорейские и неизвестные группировки. Целенаправленные атаки — особая категория угроз, исключительно против конкретной организации или государственного учреждения.

Цель злоумышленников — получить разные конфиденциальные сведения: коммерческую тайну, персональные данные пользователей, материалы под грифом «секретно», данные о стеке ИТ-решений или оборудовании, стратегические документы. Нередко объектом атаки становятся системы жизнеобеспечения компаний, веб-сайты организаций или отдельные элементы ИТ-инфраструктуры.

Как это работает

Проникнув внутрь защищенного периметра предприятия, преступники активно исследуют само устройство, через которое удалось организовать доступ, и определяют степень уязвимости используемых в компании технологий и сервисов. Важнейшую роль играет сбор внутренних данных, находящихся на компьютерах сотрудников: файлы конфигурации, личные профили, базы данных, хранящиеся локально. Подобная информация позволяет злоумышленникам глубже понимать структуру организации и планировать дальнейшие шаги атаки.

Как распознать и защититься

Фишинговые электронные письма

Чтобы получить несанкционированный доступ к корпоративным сетям, киберпреступники часто прибегают к использованию целевого фишинга. Они проводят небольшое «расследование» и получают все нужные данные, чтобы придумать привлекательные для сотрудников заголовки писем. В таких посланиях могут быть вредоносные вложения или ссылки с программами-шпионами, которые позволяют злоумышленникам контролировать систему. Лучшая защита от них — повысить осведомленность сотрудников и регулярно обучать их кибербезопасности, так как подходы атак постоянно меняются.

Скомпрометированные учетные записи

Постоянно контролируя статистику посещаемости внутренней сети, можно заметить отклонения от привычного подключения к ней сотрудников. Например, попытки входа вне рабочего графика или повышенная активность требуют особого внимания. Особенно критично отслеживать подобные действия, если они совершаются от имени представителей топ-менеджмента, у которых есть привилегированный уровень доступа к данным. Обращайте внимание на локацию, из которой совершается подключение, и время посещения ресурса. Особо уязвимые периоды для подобных проникновений — ночь, выходные или праздничные дни, когда офис пуст и вероятность обнаружить постороннее присутствие крайне мала.

Чтобы не допустить целенаправленные атаки, нужно сегментировать сеть (разделять инфраструктуру на изолированные зоны с различными уровнями доверия, доступ между которыми строго контролируется, чтобы ограничить движение трафика) и контролировать привилегии доступа, а также внедрять Zero Trust политику.

Перемещение данных

Цель злоумышленников — похитить критически важную для бизнеса или госсектора информацию. Поэтому любые массовые передачи значительных объемов данных, перемещение документов между серверами или изменение места хранения файла заслуживают пристального внимания. Необходимо следить за внутренними потоками данных, а также подключением внешних устройств и активностью отправки данных за пределы защищенного корпоративного периметра. Регулярно отслеживайте соединения с внешними ресурсами, обращайте особое внимание на нестандартные подключения.

ШИФРОВАЛЬЩИКИ / ВЫМОГАТЕЛИ (RANSOMWARE)

Подобные программы продолжают вызывать сбои работы предприятий, особенно в секторах ритейла и промышленности. В прошлом году число атак с помощью шифровальщиков увеличилось на 44%.

Примечательно, что в каждом десятом таком инциденте злоумышленников интересовала не кража данных с целью получения выкупа, а намеренное нанесение максимального вреда выбранному для атаки объекту.

Цели — шантаж и нарушение работы сервисов. С помощью вирусов-вымогателей киберпреступники ежегодно зарабатывают порядка 2 миллиардов долларов. В большинстве случаев злоумышленники, используя вирусы-шифровальщики, блокируют доступ к важным данным на устройстве, вынуждая платить за восстановление. Обычно такие программы запрещают владельцам пользоваться собственными файлами и информацией до момента уплаты требуемого выкупа. Однако обещанный возврат доступа не гарантируется — зачастую злоумышленники нарушают данное слово.

Наряду с прямыми денежными убытками, жертвы сталкиваются с серьезными последствиями в виде сбоев в работе ИТ-инфраструктуры, падения продуктивности и сильного психологического напряжения. Дополнительно киберпреступники нередко шантажируют потерпевших раскрытием приватных данных или продажей ценной информации третьим лицам.

Как это работает

Излюбленный метод злоумышленников — социальная инженерия: один из работников компании, не распознав угрозу, переходит по специально подготовленной фальшивой ссылке и автоматически устанавливает вредоносное ПО, обеспечивая нелегальный доступ к чувствительным данным компании.

Как распознать и защититься:

• Один из первых признаков заражения вирусом-вымогателем — потеря доступа к файлам, базам и документам. Пользователь замечает, что некоторые из них неожиданно перестали открываться или требуют ввода пароля несмотря на отсутствие настроек парольной защиты.
• Другой яркий признак — появление незнакомых расширений у инфицированных файлов, например, “.locked” или “.encrypted”. При этом обычные программы перестают распознавать и открывать такие объекты.
• Кроме того, в затронутых папках начинают появляться специальные инструкции, подробно объясняющие процедуру восстановления данных и требования к выплате компенсации за разблокировку.
• Рабочий стол компьютера также может подвергнуться изменениям: стандартная картинка заменяется сообщением с предупреждением о шифровании данных и требованиями о предоставлении выкупа.
• Наконец, антивирусные решения и прочие инструменты информационной безопасности могут подавать тревожные сигналы о наличии подозрительных процессов и действий в операционной системе.

Во всех перечисленных случаях не рекомендую идти на поводу у злоумышленников и спешить уплачивать требуемую сумму. Сначала проверьте в открытом доступе, нет ли декриптора, который помог бы вам расшифровать файлы. Есть как платные, так и бесплатные программы, однако не все они могут расшифровать изощренные пароли вредителей. Лучше вложить средства в превентивные меры защиты от действий RANSOMWARE. Например:

• Регулярно создавать архивные копии критически важных файлов. Наличие дубликатов ваших данных на дополнительном жестком диске или в облаке позволит восстановить информацию после устранения угрозы шифровальщика.
• С осторожностью открывать вложения в письмах от неизвестных отправителей, избегать переходов на ненадежные сайты и загрузок программного обеспечения с посторонних источников. Нужно доверять только официальным магазинам приложений и страницам производителей.
• Использовать качественное антивирусное ПО для дополнительной защиты устройства или EDR-системы.
• Обновлять ПО и операционные системы на постоянной основе.
• Обучать персонал основам информационной безопасности.

АТАКИ НА ЦЕПОЧКУ ПОСТАВОК (SUPPLY CHAIN ATTACKS)

Прогнозируется, что к 2031 году убытки компаний от атак на цепочки поставок программного обеспечения увеличатся до колоссальных 138 миллиардов долларов ежегодно, превысив показатели предыдущих лет: 60 миллиардов долларов в 2025-м и 46 миллиардов долларов в 2023 году, учитывая постоянный годовой прирост на 15%.

Supply chain attack — относительно новый тип угроз, который нацелен на разработчиков ПО и поставщиков услуг или технологий. Они вошли в перечень наиболее распространенных угроз только в прошлом году из-за увеличившегося в три раза числа инцидентов по сравнению с 2023 годом.

Злоумышленники используют эти атаки, чтобы получить доступ к исходному коду, процессам разработки или механизмам обновления и распространить вредоносное ПО, заразив установленные программы.

Цели:

• Дестабилизация деятельности компании — утечка конфиденциальных данных способна нанести удар по репутации и финансам, создать юридические риски.
• Общественная реакция — распространение фейков или компромата через соцсети формирует негативный фон вокруг компании и подрывает доверие клиентов.
• Информационное давление на сотрудников — персонал компании подвергается угрозам раскрытия личной информации или шантажу, вынуждая руководство идти на уступки ради сохранения репутации.
• Шифрование данных и вымогательство — установка вредоносных программ-шифровальщиков приводит к блокировке критичных информационных активов, лишая предприятие возможности полноценно функционировать вплоть до выплаты крупного выкупа.

Как это работает

При осуществлении атаки на поставщиков ПО злоумышленники выбирают путь наименьшего сопротивления, проникая в защищенную сеть через слабое звено — небольшую фирму-подрядчика или разработчика программного обеспечения. Подобные нападения осуществляются двумя основными способами:

1. Компрометация службы или продукта: нападение на мелких поставщиков или партнеров, обладающих низким уровнем киберзащиты, позволяющим злоумышленнику незаметно внедряться в инфраструктуру основной фирмы. Типичный пример — компрометация ПО компании на аутсорсе, работающей с более крупным бизнесом (который и становится конечной целью атаки).
2. Внедрение вредоносного кода непосредственно в само ПО, распространяемое среди множества конечных потребителей. Пользователи, устанавливающие обновление, сами открывают дверь в свою ИТ-инфраструктуру для дальнейших проблем.

Как распознать и защититься

Опознать supply chain-атаку можно, если внимательно следить за сетевой активностью — она может показать необычные подключения или передачу больших объёмов данных. Также важно постоянно мониторить действия пользователей и систем — подозрительное поведение, редкие попытки доступа или запуск необычных процессов могут быть сигналом. Ещё один способ — отслеживать изменения в файлах, чтобы заметить несанкционированные вмешательства.

Вот несколько превентивных мер, чтобы защититься от supply chain attack:

• Регулярно проверяйте и контролируйте контрагентов, проводите обязательную верификацию.
• Используйте SBOM (Software Bill of Materials — перечень всех модулей и библиотек, необходимых для сборки программного продукта, а также указания их связи друг с другом). Он помогает команде видеть, где могут скрываться уязвимости — и заранее обновлять или заменять слабые места до того, как они станут проблемой.
• Реализовывайте политику обновлений с инспекцией. Например, отключите автоматическое обновление системы и программного обеспечения, с осторожностью устанавливайте апдейты вручную и тщательно тестируйте их работу перед использованием.
• Сегментируйте бизнес-процессы: так вы минимизируете возможные последствия кибератак: если одна зона подвергнется воздействию, остальные останутся надежно изолированными и сохранят свою безопасность. Сегментация помогает навести порядок в доступах: каждый видит только то, что нужно для работы — это снижает риск утечек и ошибок.

Сегодня компании и организации в РФ сталкиваются не с одной, а со множеством киберугроз, которые становятся только изощреннее. Но просто реагировать на инциденты недостаточно: нужно мониторить, работать на опережение и минимизировать риски. Поэтому подход к кибербезопасности должен быть стратегическим, техническим и операционным одновременно. Кольцевая защита, Zero Trust, повышение осведомленности персонала и контроль подрядчиков — то, без чего не обойтись.