Специалисты BI.ZONE Compromise Assessment установили, что злоумышленники присутствуют в инфраструктуре каждой пятой компании, которая обращается для профилактической проверки на предмет компрометации (без признаков нарушения процессов со стороны атакующих). Об этом сообщил руководитель BI.ZONE Compromise Assessment Владимир Гришанов.

По его словам, большинство выявленных случаев скрытого присутствия (60%) приходится на кластеры, нацеленные на кибершпионаж. «Это не означает, что именно кибершпионы атакуют российские компании чаще всего: просто специфика этих группировок такова, что им для достижения своих целей необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию», — пояснил Гришанов. Этим они отличаются от финансово мотивированных кластеров, использующих шифровальщики, которые проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней.

Ещё 20% случаев выявленного скрытого присутствия приходится на долю хактивистских кластеров активности.

На ранних этапах атаки злоумышленники скрываются на том хосте, на который им изначально удалось проникнуть. Чаще всего это узлы на периметре сети или в DMZ (часть сети с публичной IP-адресацией, отделенная межсетевым экраном) — почтовые серверы, серверы веб-приложений, VPN-шлюзы или системы, обслуживаемые подрядчиками. Эти хосты доступны извне и представляют собой удобную точку входа.

Если злоумышленникам удалось повысить привилегии и получить более глубокий контроль, они стремятся закрепиться в ключевых системах: доменных контроллерах, системах виртуализации и серверах резервного копирования. Внутри систем закрепление чаще всего реализуется через автозапуск-службы, задания планировщика, изменения в конфигурации или легитимные механизмы инициализации приложений, что позволяет вредоносному коду автоматически запускаться даже после перезагрузки.

По данным исследования Threat Zone 2026, в целях шпионажа совершается 37% всех атак, нацеленных на российские организации. Шпионские кластеры активно используют легитимные инструменты, а также вредоносное ПО собственной разработки, что позволяет им эффективнее обходить средства защиты и дольше оставаться в инфраструктуре незамеченными. BI.ZONE также отмечает рост числа «спящих закладок» — зловредов, которые выжидают и активируются при определённых условиях. Примерно 30% таких угроз могут оставаться неактивными в системе до года. Особенно часто трояны-майнеры и бэкдоры используют возможность отложенного запуска.