Российские компании отразили 600 млн веб-атак

Такую статистику привело ООО "Вебмониторэкс" по итогам аналитики атак, зафиксированных в первой половине 2025 г. Всего в отчетном периоде было выявлено и заблокировано более 600 млн веб-атак, что значительно превышает показатели 2024 г. Наиболее атакуемой отраслью в первом полугодии оказался финсектор, где в среднем на одну организацию пришлось 4,1 млн веб-атак. Для ИТ-компаний этот показатель составил 2,6 млн веб-атак. Далее следуют онлайн-торговля и медиа (включая развлекательные сервисы, онлайн-кинотеатры и т.д.) В этих сферах на одну компанию пришлось по 1,2 млн веб-атак.

Анализ проведен на основе большого массива агрегированных данных о разных типах атак на клиентов "Вебмониторэкс", безопасность которых обеспечивается одноименной платформой защиты веб-приложений, микросервисов и API. Для отчета анлитики проанализировали информацию о более чем 170 крупных организациях из различных отраслей, включая госсектор, ИТ, ритейл, финансы, здравоохранение, промышленность, телеком и другие.

Финансовый сектор в первом полугодии чаще всего страдал от попыток удаленного исполнения вредоносного кода в серверную часть приложения (RCE). С ними было связано 24% выявленных веб-атак. RCE-уязвимости дают возможность злоумышленникам через взлом веб-приложения получить доступ к серверам и ИТ-инфраструктуре компании.

"Реализовав RCE-атаку на онлайн-ресурсы банка, можно не только получить персональные данные клиентов и их счетов, но и совершать несанкционированные транзакции, внедрять вредоносное ПО, повышать привилегии, распространяя кибератаку далее по корпоративной сети или на другие веб-приложения компании. Такие атаки сложно реализовать, поэтому чаще всего за ними стоят хакеры с высокой квалификацией или даже APT-группировки, что значительно усугубляет ситуацию. В отличие от "любителей" такие киберпреступники всегда имеют четкие и масштабные цели и при успешной эксплуатации RCE-уязвимости могут нанести серьезный финансовый и репутационный ущерб жертве", – отметил руководитель продуктового развития "Вебмониторэкс" Динко Димитров.

Для ИТ-сферы наиболее актуальными веб-угрозами стали SQL-инъекции и сканирование ботами. На них пришлось по 20% зафиксированных на отрасль атак. Это может свидетельствовать о том, что злоумышленники сначала собирают информацию о компонентах веб-приложения (используемое ПО и его версии, структура API и т.п.) и проверяют его на наличие уязвимостей. А после реализуют атаку, используя полученную информацию.

Руководитель группы по анализу защищенности мобильных и веб-приложений ООО "Бастион" Максим Ромодин объяснил, чем опасны подобные атаки: "SQL-инъекции опасны тем, что позволяют злоумышленникам вмешиваться в запросы, которые веб-приложение отправляет к базе данных. Через такую уязвимость можно получить доступ к чувствительной информации - логинам, паролям, персональным данным пользователей. Более того, при определенных условиях можно влиять на бизнес-логику веб приложения, изменить или удалить данные, а иногда даже получить полный контроль над сервером. Опасность заключается еще и в том, что для проведения атаки не требуется глубоких технических знаний - в большинстве случаев достаточно запустить специальную программу, указав в ней уязвимый параметр, и она сама подберет нужные команды, чтобы получить доступ к данным или удаленный доступ к серверу".

"Для компаний, которые оказывают ИТ-услуги и работают с инфраструктурой клиентов, такие атаки критичны, так как они хранят конфиденциальные данные множества организаций. Взлом одной базы данных может привести к компрометации сразу нескольких компаний", - подтвердил технический директор ООО "АйТи Таск" (IT Task) Антон Антропов.

Межсайтовый скриптинг (XSS) составил половину (почти 50%) всех веб-угроз, с которыми столкнулись онлайн-магазины в отчетном периоде. Самый частый сценарий XSS-атаки предполагает, что злоумышленник старается перехватить данные пользователя. Для этого он внедряет вредоносный код в веб-страницу. Этот код срабатывает каждый раз, когда кто-то открывает сайт. В случае успешной атаки ничего не подозревающий пользователь вводит логины, пароли, данные банковской карты или выполняет другие действия - и все это попадает в руки атакующего.

"Уязвимости к XSS-атакам широко распространены, так как разработчики нередко неправильно обрабатывают пользовательский ввод. Актуальность XSS-атак для онлайн-магазинов связана с тем, что маркетплейсы и сайты ритейлеров, как правило, содержат большое количество динамического контента, что увеличивает вероятность наличия XSS-уязвимостей. Злоумышленники могут использовать XSS-атаки для кражи платежной информации пользователей, их учетных данных или манипуляции заказами", - рассказал руководитель отдела операционной поддержки Solar appScreener ГК "Солар" Антон Прокофьев.

"XSS остается головной болью не только для разработчиков, но и для владельцев ресурсов: по 152-ФЗ ответственность за утечку персональных данных лежит на операторе. ФСТЭК и Роскомнадзор при выявлении таких инцидентов могут инициировать проверки, особенно если пострадали граждане. Несмотря на существование огромного множества решений для предотвращения атаки, XSS-уязвимость есть практически у любого сайта. Полностью исключить ее возможно только при строгом соблюдении безопасных практик на всех этапах разработки и постоянном обновлении ПО", - отметил ведущий аналитик отдела мониторинга ИБ ООО "Спикател" Алексей Козлов.

"Использование указанных веб-угроз базируется на наиболее подходящих механиках атаки. Можно сделать вывод, что компании из одной отрасли (например, e-commerce), предоставляющие схожие сервисы, имеют и сходные принципы построения веб-ресурсов, а также похожие уязвимости, которые эксплуатируют злоумышленники. Такая ситуация может сложиться в том числе за счет переиспользования различных библиотек и компонентов без проверки их на уязвимости в коде. Для того, чтобы предотвращать подобные сценарии атак необходимо выстраивать процессы безопасной разработки и использовать Web Application Firewall (WAF)", - рассказал менеджер по развитию ООО "Юзергейт" (UserGate) Александр Луганский.

В целом для всех отраслей основной веб-угрозой остаются XSS-атаки - на них приходится четверть зафиксированных с января по июнь атак. За ними следуют попытки внедрения вредоносного кода (RCE), занимая долю в 14%, и атаки типа Path Traversal, которые составляют еще 11%.