
Количество веб-атак на сайты российских компаний исчисляется сотнями миллионов, при этом в зависимости от отрасли злоумышленники преследуют разные цели и используют разные уязвимости, говорится в исследовании «Вебмониторэкс». Например, при атаках на финсектор хакеров интересует контроль над серверной частью инфраструктуры (RCE-атаки), а в IT-отрасли и онлайн-торговле они стремятся похитить данные клиентов. Корреляция способов атак и типов сайтов имеет место и продиктована бизнес-интересами, согласны эксперты
Типология атаки
Forbes ознакомился с аналитикой атак, зафиксированных в первой половине 2025 года, от компании «Вебмониторэкс». Компания выявила и заблокировала почти 600 млн веб-атак, что почти на 40% превышает показатели прошлого года. Наиболее атакуемой отраслью за отчетный период оказался финансовый сектор, где в среднем на одну организацию пришлось 4,1 млн веб-атак. Для IT-компаний этот показатель составил 2,6 млн. Далее следуют онлайн-торговля и медиа (включая развлекательные сервисы, онлайн-кинотеатры и т.п.) — в этих сферах на одну компанию пришлось по 1,2 млн веб-атак.Исследование проведено на основе массива агрегированных данных о разных типах атак на клиентов «Вебмониторэкс». Для отчета была проанализирована информация о более чем 170 крупных организациях из различных отраслей, включая госсектор, IT, ретейл, финансы, здравоохранение, промышленность, телеком и др.
Любопытно, что типы атак разнятся в зависимости от их отраслевой «принадлежности». Так, финансовый сектор чаще всего страдал от попыток удаленного исполнения вредоносного кода в серверную часть приложения (RCE), указывают авторы исследования. С ними было связано 24% выявленных веб-атак. RCE-уязвимости дают возможность злоумышленникам через взлом веб-приложения получить доступ к серверам и IT-инфраструктуре компании. «Реализовав RCE-атаку на онлайн-ресурсы банка, можно не только получить персональные данные клиентов и их счетов, но и совершать несанкционированные транзакции, внедрять вредоносное ПО, повышать привилегии, распространяя кибератаку далее по корпоративной сети или на другие веб-приложения компании, — рассказывает руководитель продуктового развития «Вебмониторэкс» Динко Димитров. — Такие атаки достаточно сложно реализовать, поэтому чаще всего за ними стоят хакеры с высокой квалификацией или даже APT-группировки (Advanced Persistent Threat, профессионалы, действующие обычно в интересах какого-либо государства), что значительно усугубляет ситуацию».
В то же время для IT-сферы наиболее актуальными веб-угрозами стали SQL-инъекции (это компрометация базы данных приложения, когда через уязвимость злоумышленник вмешивается в запросы, которые приложение делает к своей базе данных) и сканирование ботами. На них пришлось по 20% зафиксированных на отрасль атак. «Злоумышленники сначала собирают информацию о компонентах веб-приложения (используемое ПО и его версии, структура API и т.п.) и проверяют его на наличие уязвимостей. А после реализуют атаку, используя полученную информацию», — рассказывают в «Вебмониторэкс».
Атаки такого класса особенно критичны на фоне активного спроса на IT-аутсорсинг, подчеркивают аналитики. Компании, предоставляющие такие услуги, имеют множество клиентов и хранят информацию о них в своих базах данных: исходные коды, API-ключи, токены, данные о конфигурации инфраструктуры и т.п. Все это, по их словам, может упростить злоумышленникам атаку на целевую организацию через ее подрядчика.
Еще один тип веб-атаки — межсайтовый скриптинг (XSS), он составил почти 50% всех веб-угроз, с которыми столкнулись онлайн-магазины в первой половине года. В ходе XSS злоумышленник пытается внедрить вредоносный код в веб-страницу. Этот код срабатывает каждый раз, когда кто-то открывает сайт. В случае успешной атаки ничего не подозревающий пользователь вводит свои логины, пароли, данные банковской карты или выполняет другие действия — и все это попадает в руки атакующего.
Специфика «работы»
Атаки действительно отличаются в зависимости от специфики бизнеса, подтверждают специалисты в области кибербеза. Разные веб-приложения выполняют разные бизнес-функции, соответственно, и бизнес-смысл атаки разный, рассуждает заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов. «Там, где хранятся разные высоколиквидные ценности (деньги, акции, мили, бонусные баллы), которые можно быстро вывести и обналичить, злоумышленникам прежде всего хочется получить доступ к личному кабинету, потому и атаки направлены на это, — продолжает он. — В тех приложениях, где быстро разбогатеть не удастся, злоумышленники идут более долгим путем: сначала кража данных, потом шантаж или перепродажа данных мошенникам. Там, где нет ни денег или их суррогатов, ни данных, как, например, в недавней атаке на «Винлаб», злоумышленники блокируют инфраструктуру и занимаются вымогательством».Руководитель управления облачных решений кибербезопасности BI.Zone Дмитрий Царев говорит, что его компания видит схожую картину в рамках собственной аналитики. Он также подтверждает, что IT-аутсорсинг выступает одной из наиболее интересных целей для атакующих. Компании из этой сферы могут иметь более низкий уровень защищенности, но при этом обладают доступом к критичным данным и инфраструктуре клиентов, что делает их удобной точкой входа для злоумышленников, отмечает Царев.
В финсекторе, по его словам, действительно зафиксирован повышенный интерес злоумышленников к получению контроля над сервером приложения. «Параллельно с этим на аналогичном уровне фиксируются попытки получения несанкционированного доступа к файлам, — добавляет Царев. — В ретейле наблюдается рост интереса к краже пользовательских данных, при этом используются не только межсайтовые скриптовые атаки (XSS, cross-site scripting), но и другие векторы, включая подделку межсайтовых запросов (CSRF, cross-site request forgery), доступ к служебным разделам с данными пользователей, а также подбор паролей (brute force) и массовые атаки на учетные записи (password spraying)». В IT-сфере приоритетом для злоумышленников остается разведка инфраструктуры перед проведением более сложных атак, целью которых является RCE (удаленное исполнение кода), получение доступа к файлам и служебной информации, заключает эксперт.
По словам руководителя исследовательской группы Positive Technologies Федора Чунижекова, в топ-5 секторов, чьи организации хакеры успешно атаковали в первой половине 2025 года, попали госучреждения, торговля, наука и образование, СМИ, промышленность. «Ни намека на телеком и организации финансового сектора. Впрочем, это неудивительно — в этих отраслях достаточно внимательно относятся к безопасности своих веб-приложений и инфраструктуры, выделяются большие бюджеты на обеспечение безопасности (особенно в финсекторе), также сказывается квалификация кадров», — размышляет он.
Особняком стоят атаки на программные интерфейсы, говорит Хайретдинов. В целях экономии многие разработчики цифровых систем (в том числе и онлайн-магазины, но не только) не реализуют все бизнес-функции у себя на сайте, а перенаправляют запросы пользователей на сервисные сайты, поясняет он. «Например, на платежный шлюз для приема оплаты, на сайт с расписанием транспорта, с онлайн-картами, на «Госуслуги» для авторизации и т.п., — перечисляет эксперт. — Запросы к таким сайтам выполняются как доверенные, то есть без дополнительной авторизации, и, перехватив такой вызов, злоумышленник может выполнить свой код на атакуемом сайте».
Эксплуатация таких уязвимостей, по словам Хайретдинова, растет, так как для быстрого вывода онлайн-услуги на рынок компании стремятся большинство бизнес-функций отдать на сторонние сайты. «Есть даже термин «API-экономика», означающий все большую связность онлайн-сервисов между собой и взаимодействие в рамках цифровых систем без участия человека, через программные интерфейсы (API — application programming interface). Поэтому такие атаки имеют тенденцию к росту», — резюмирует он.
Для просмотра ссылки необходимо нажать
Вход или Регистрация