Пн-Пт 9:00-18:00 · info@softdefence.ru · +7 (495) 278-02-72 Заказать звонок
Главная / База знаний / Новости партнёров / Как сегодня злоумышленники атакуют компании
29 | Июня | 2026

КАК СЕГОДНЯ ЗЛОУМЫШЛЕННИКИ АТАКУЮТ КОМПАНИИ

Новости партнёров
Три реальные истории о том, как сегодня злоумышленники атакуют бизнес, и рекомендации о том, как не стать героем следующего кейса.

Наша команда Kaspersky Global Emergency Response Team и сервис MDR за последний год расследовали множество инцидентов в компаниях самого разного профиля. Выявленные в ходе этой работы техники, тактики и инструменты атакующих легли в основу глобального отчета Анатомия ландшафта киберугроз 2026. Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.

Кейс № 1. Одна учетная запись — и все данные зашифрованы

Что произошло
В одной латиноамериканской компании атакующие получили доступ к SMTP-серверу через компрометацию учетной записи локального администратора. Ничего сложного — просто каким-то образом украли пароль, а дальше — классическая эскалация:

  1. Злоумышленники, используя утилиту Mimikatz, сделали дамп хешей паролей, а далее, применяя технику Pass-the-Hash, с помощью утилиты Invoke-TheHash получили привилегии пользователей.
  2. Затем они использовали еще один инструмент для повышения привилегий через уязвимый драйвер и распространили шифровальщик на конечные устройства корпоративной сети.

Почему это произошло
Большинство компаний до сих пор защищаются, пытаясь отслеживать явные вредоносные действия, а не легитимные действия, производящиеся под легитимными учетными записями. Схема действий злоумышленников хорошо прослеживается по статистике из вышеупомянутого отчета «Анатомия ландшафта киберугроз». Сначала злоумышленники компрометируют учетную запись. Вот статистика по конверсии техник злоумышленников в реальные атаки:

  • Password guessing — 34,8%.
  • Valid account abuse — 34,5%.

Захватив одну учетку, злоумышленник создает себе запасной аэродром внутри скомпрометированной инфраструктуры:

  • Local account creation — 34,7%.
  • Account manipulation — 32,0%.

Далее атакующие начинают сканировать сетевые сервисы.

  • Network service discovery — 31,2%.

Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.

Кейс № 2. Когда сервер мониторинга становится троянским конем

Что произошло
Произошла атака шифровальщика BlackNevas. Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись. Сканируя внутреннюю сеть, атакующие обнаружили сервер PRTG (Paessler Router Traffic Grapher) — решение для мониторинга инфраструктуры. Через него злоумышленники попали в общую сеть, нашли ESXi-серверы и зашифровали виртуальную среду целиком.

Почему это произошло
Были допущены две классические ошибки:

  1. Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным.
  2. Была скомпрометирована учетная запись.

Кейс № 3. Когда патч выпустили, а вы его не поставили

Что произошло
В этом кейсе атакующие применили не обычный шифровальщик, а вайпер, при атаке которого данные уже не восстановить. Злоумышленники использовали уязвимость в сервере SAP NetWeaver для первоначального доступа. Через нее установили веб-шелл на серверах периметра. Затем применили атаку password spraying для получения доступов более привилегированных пользователей.

Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функциональностью вайпера. Вредоносный объект подгрузили через уязвимости в Microsoft Defender и ПО для работы с электронными книгами. Используемый вайпер полностью зашифровал маленькие файлы с помощью криптостойкого RSA, в файлах среднего размера использовал RSA только для заголовков, для остального применил AES, большие файлы обрезал до 5 Мбайт, остальное занулил. С учетом приведенного алгоритма работы вайпера полное восстановление поврежденных файлов было невозможно.

Почему это произошло
Патч для SAP NetWeaver вышел за несколько лет до атаки. Просто никто в компании не озаботился его установкой. И это не единичный случай. Как отмечает Константин Сапронов, глава команды Global Emergency Response Team: «Наиболее атакованные через публичные приложения продукты за 2026 год — Microsoft Exchange, SharePoint, Active Directory. В российском сегменте — Битрикс24, TrueConf, 1C. Уязвимости в них были закрыты обновлениями, но компании не устанавливают их вовремя».

Что делать, чтобы следующий кейс не был о вас

Ни один из описанных выше инцидентов не требовал от хакеров гениальной изобретательности. Они использовали неновые техники и известные уязвимости. Защиту от кибератак, подобных описанным в этих кейсах, мы рекомендуем организовывать не только с помощью комплексного специализированного ПО, но и с помощью сервисов кибербезопасности.

  • Мониторинг 24/7. Если у вашей компании нет возможности держать круглосуточный SOC или вы хотите повысить экспертный уровень сотрудников своего текущего центра мониторинга киберугроз — подключайте сторонний сервис MDR. Kaspersky Managed Detection and Response (MDR) обеспечивает доступ к экспертным знаниям и глобальным данным об угрозах, круглосуточный мониторинг и обнаружение угроз на ранних этапах развития атаки.
  • Быстрое реагирование. Если инцидент уже произошел или вы хотите быть во всеоружии на случай, если он произойдет, обратитесь в сервис Kaspersky Incident Response (IR). Подключая MDR и IR вместе, вы получаете круглосуточный мониторинг и обнаружение угроз, круглосуточный прямой доступ к экспертам по реагированию, непрерывный Threat Hunting, предварительный анализ событий, быструю изоляцию угрозы, восстановление цепочки атаки целиком по всей инфраструктуре, Reverse Engineering и углубленный DFIR-анализ, координацию и рекомендации по восстановлению бизнес-операций, индивидуальный отчет по инциденту с рекомендациями.
  • Патчи не для галочки. Уязвимость в SAP NetWeaver закрыли за несколько лет до атаки. Если вы не знаете, какие CVE критичны именно для вашей инфраструктуры, внедрите регулярное сканирование и приоритизацию патчей, отслеживайте через MDR попытки эксплуатации известных CVE, проведите Compromise Assessment — чтобы проверить, не воспользовались ли хакеры старыми уязвимостями, которые вы могли пропустить.
  • Аудит и настройка безопасности. Cервер PRTG получил слишком много прав — это может быть следствием отсутствия процесса управления доступом и мониторинга. Именно с такими системными проблемами работает Kaspersky SOC Consulting. Опираясь на собственный практический опыт, проверенные решения и методики, эксперты помогают выстроить процесс: проектируют архитектуру SOC, разрабатывают сценарии обнаружения, которые зафиксировали бы аномалии, создают инструкции для команды, определяют KPI, чтобы оценивать эффективность SOC.

Кроме того, мы рекомендуем отслеживать активно применяемые злоумышленниками тактики, техники и инструменты. Мы стараемся рассказывать о них на понятном языке в публикациях в блогах, подкастах, интервью и выступлениях на отраслевых предприятиях. В частности, в полном тексте отчета Анатомия ландшафта киберугроз 2026 вы можете узнать, какие группировки атакуют, какие методы используются, как обнаружить угрозы до того, как они приведут к серьезному инциденту, и во что инвестировать для устойчивой защиты. Кроме того, в этом году мы впервые добавили в отчет данные от сервисов SOC Consulting и Compromise Assessment. Теперь в нем представлены не только тенденции киберугроз, структура инцидентов высокой критичности и особенности атак в различных отраслях и регионах, но и инсайты, показывающие, где у компаний слепые зоны и почему ошибки в настройках часто остаются незамеченными. Также мы рекомендуем ознакомиться с записью вебинара «Анатомия ландшафта киберугроз» — в нем наши эксперты рассказали, как меняются киберугрозы и почему человекоуправляемые атаки остаются одним из главных рисков для бизнеса.

Источник: kaspersky.ru — Блог Касперского

к статьям рубрики «Новости партнёров»