В первом полугодии 2025 г. 39% всех вредоносных действий были связаны с киберразведкой

В первой половине 2025 г. доля разведывательной активности (сбор данных об уязвимости веб-приложений) выросла более чем в пять раз - с 6,8% до 38,65% всех вредоносных запросов, зафиксированных системой защиты BI.ZONE WAF.

Основная задача разведки — сбор данных. Киберразведка — самостоятельный этап цифрового криминального аутсорсинга. Одни злоумышленники собирают информацию об уязвимых системах, а затем продают ее или используют для развития кибератак. Другие приобретают эти сведения, чтобы нанести репутационный и материальный ущерб. Такой подход позволяет злоумышленникам разделять усилия, снижать затраты и быстрее достигать результата.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE: "Разведка — это еще не атака, а исследование и выбор целей. Но часто с нее все и начинается: злоумышленники ищут информацию и планируют дальнейшие действия. Сегодня именно доступ к сведениям определяет тактику киберпреступников: чем больше они выяснят заранее, тем выше их шансы на успех. Скомпрометированные данные могут использоваться в мошенничестве или для кражи чувствительной информации, что может нарушить бизнес-процессы. Одна из задач BI.ZONE WAF — пресекать активность злоумышленников еще на этапе разведки. Ведь в этот момент владелец ресурса может даже не догадываться, что его инфраструктуру уже проверяют на прочность".

Наибольшее количество случаев разведывательной активности специалисты BI.ZONE WAF фиксируют в трех отраслях:

• ИТ и телекоммуникации (52,66% от всех зафиксированных в отрасли атак) — множество веб-интерфейсов и открытых API делает отрасль удобной целью для автоматизированного сбора данных.
• Медиа (80,25%) — высокая публичность и постоянная доступность ресурсов привлекают внимание атакующих.
• Ритейл (90%) — большое количество e-commerce-площадок стимулирует злоумышленников искать уязвимости для кражи данных пользователей и получения доступа к платежным системам.

В то же время аналитики BI.ZONE WAF отмечают, что классические атаки на учетные записи пользователей и попытки удаленного взлома серверов становятся менее массовыми. В первом полугодии 2025-го доля попыток кражи авторизационных данных (в том числе через XSS и перебор паролей) снизилась почти в 2,5 раза — с 14,8% до 6,3%. А доля атак с удаленным выполнением кода (RCE) снизилась с 42,4% до 29,7%. Это может быть связано с активным применением фильтров и патчей в популярных системах, особенно в CMS.

Большинство атак на российские ресурсы происходит с российских IP-адресов. Это связано с применением гео-фильтров, отсекающих нежелательный зарубежный трафик, а также использованием прокси и VPN для обхода фильтрации. Также стоит отметить, что купить VDS-/VPS-хостинг со статическим российским IP-адресом не составляет проблем для атакующего из любой страны.

Для BI.ZONE WAF настройка гео-фильтров — один из этапов защиты, позволяющий блокировать разведывательную активность еще до того, как злоумышленник проникнет в инфраструктуру.

Команда BI.ZONE WAF отмечает, что вектор киберугроз для веб-приложений смещается в сторону быстрых, автоматизированных и массовых кибератак. Они направлены преимущественно на компрометацию пользователей и кражу чувствительной служебной информации, а не на многомесячный скрытый захват инфраструктуры. Злоумышленники все чаще используют комбинированные сценарии: автоматизированное сканирование и перебор (фаззинг) сочетаются с обходом средств защиты и эксплуатацией уязвимостей. При этом акцент смещается с труднодоступных целей на менее защищенные веб-приложения, уязвимости которых обнаруживаются с помощью классических DAST-инструментов.

На этом фоне эксперты BI.ZONE WAF прогнозируют усиление целевых атак, направленных на компрометацию конфигурационных файлов, взлом механизмов аутентификации и эксплуатацию уязвимых компонентов системы. Нередко такие атаки сопровождаются попытками обхода стандартных защитных механизмов. В этих условиях защита веб-приложений требует не только регулярного обновления средств безопасности, но и пересмотра подходов к безопасности веб-решений.