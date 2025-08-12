Bi.Zone WAF: в первом полугодии 2025 г. 39% всех вредоносных действий были связаны с киберразведкой

В первой половине 2025 г. доля разведывательной активности (сбор данных об уязвимости веб-приложений) выросла более чем в пять раз — с 6,8% до 38,65% всех вредоносных запросов, зафиксированных системой защиты Bi.Zone WAF. Об этом CNews сообщили представители Bi.Zone.

Основная задача разведки — сбор данных. Киберразведка — самостоятельный этап цифрового криминального аутсорсинга. Одни злоумышленники собирают информацию об уязвимых системах, а затем продают ее или используют для развития кибератак. Другие приобретают эти сведения, чтобы нанести репутационный и материальный ущерб. Такой подход позволяет злоумышленникам разделять усилия, снижать затраты и быстрее достигать результата.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone: «Разведка — это еще не атака, а исследование и выбор целей. Но часто с нее все и начинается: злоумышленники ищут информацию и планируют дальнейшие действия.

Сегодня именно доступ к сведениям определяет тактику киберпреступников: чем больше они выяснят заранее, тем выше их шансы на успех. Скомпрометированные данные могут использоваться в мошенничестве или для кражи чувствительной информации, что может нарушить бизнес-процессы. Одна из задач Bi.Zone WAF — пресекать активность злоумышленников еще на этапе разведки. Ведь в этот момент владелец ресурса может даже не догадываться, что его инфраструктуру уже проверяют на прочность».

Наибольшее количество случаев разведывательной активности специалисты Bi.Zone WAF фиксируют в трех отраслях: ИТ и телекоммуникации (52,66% от всех зафиксированных в отрасли атак) — множество веб-интерфейсов и открытых API делает отрасль удобной целью для автоматизированного сбора данных; медиа (80,25%) — высокая публичность и постоянная доступность ресурсов привлекают внимание атакующих; ритейл (90%) — большое количество e-commerce-площадок стимулирует злоумышленников искать уязвимости для кражи данных пользователей и получения доступа к платежным системам.

В то же время аналитики Bi.Zone WAF отмечают, что классические атаки на учетные записи пользователей и попытки удаленного взлома серверов становятся менее массовыми. В первом полугодии 2025 г. доля попыток кражи авторизационных данных (в том числе через XSS и перебор паролей) снизилась почти в 2,5 раза — с 14,8% до 6,3%. А доля атак с удаленным выполнением кода (RCE) снизилась с 42,4% до 29,7%. Это может быть связано с активным применением фильтров и патчей в популярных системах, особенно в CMS.

Большинство атак на российские ресурсы происходит с российских IP-адресов. Это связано с применением гео-фильтров, отсекающих нежелательный зарубежный трафик, а также использованием прокси и VPN для обхода фильтрации. Также стоит отметить, что купить VDS-/VPS-хостинг со статическим российским IP-адресом не составляет проблем для атакующего из любой страны.

Для Bi.Zone WAF настройка гео-фильтров — один из этапов защиты, позволяющий блокировать разведывательную активность еще до того, как злоумышленник проникнет в инфраструктуру.

Команда Bi.Zone WAF отмечает, что вектор киберугроз для веб-приложений смещается в сторону быстрых, автоматизированных и массовых кибератак. Они направлены преимущественно на компрометацию пользователей и кражу чувствительной служебной информации, а не на многомесячный скрытый захват инфраструктуры. Злоумышленники все чаще используют комбинированные сценарии: автоматизированное сканирование и перебор (фаззинг) сочетаются с обходом средств защиты и эксплуатацией уязвимостей. При этом акцент смещается с труднодоступных целей на менее защищенные веб-приложения, уязвимости которых обнаруживаются с помощью классических DAST-инструментов.

На этом фоне эксперты Bi.Zone WAF прогнозируют усиление целевых атак, направленных на компрометацию конфигурационных файлов, взлом механизмов аутентификации и эксплуатацию уязвимых компонентов системы. Нередко такие атаки сопровождаются попытками обхода стандартных защитных механизмов. В этих условиях защита веб-приложений требует не только регулярного обновления средств безопасности, но и пересмотра подходов к безопасности веб-решений.