Россия лидирует по атакам на ПО: 46% мировых угроз и окно защиты в часы
Россия поглотила почти треть всех мировых кибератак на бизнес, став главной мишенью для эксплуатации уязвимостей ПО. Искусственный интеллект сократил время от публикации дыры до реальной атаки до нескольких часов, что делает традиционные методы защиты неэффективными.
Согласно данным «Лаборатории Касперского», в первой половине 2026 года на долю России пришлось 28% всех зафиксированных в мире сетевых кибератак на организации. Страна остается одной из наиболее привлекательных целей для злоумышленников, при этом на российском рынке наблюдается доминирование атак через эксплуатацию уязвимостей программного обеспечения. 46% всех глобальных детектов по этому типу угроз зафиксированы именно в РФ. Ситуация требует от бизнеса перехода от реактивной защиты к проактивному мониторингу глобальных угроз, так как время от публикации уязвимости до первой попытки её использования сократилось с дней до часов.
Структура угроз и тактика атакующих
Анализ векторов атак показывает, что злоумышленники используют широкий спектр методов, адаптируясь под конкретные цели. Помимо массовой эксплуатации уязвимостей, фиксируется активность, связанная с управлением вредоносными программами и обходом средств защиты.
Основные типы зафиксированной активности в России:
- Эксплуатация уязвимостей (CVE): Занимает 46% от всех детектов в мире. Атакующие используют известные дыры в ПО для получения доступа к системам.
- Взаимодействие с командными серверами (C2): Составляет около 39% активности. Это канал связи между зараженным устройством и оператором атаки.
- Туннелирование трафика: Доля РФ составляет примерно 15%. Хактивисты и другие группы используют этот метод для обхода традиционных средств сетевой безопасности, маскируя вредоносный трафик под легитимный.
Важно отметить, что многие группировки, такие как Cloud Atlas, BO Team, 4BID, Toy Ghouls, Head Mare и Geo Likho, активно применяют тактику Pivoting. Этот набор техник позволяет злоумышленникам, получив доступ к одному узлу сети, перемещаться внутри инфраструктуры и получать доступ к внутренним ресурсам, минуя периметральную защиту.
Важный нюанс: Атакующие не действуют изолированно. Группировки, работающие против России, часто активны и в других регионах, перенимая методы друг у друга, что делает локальные базы угроз недостаточными для полной защиты.
Влияние искусственного интеллекта на скорость атак
Технологический прогресс в сфере ИИ кардинально меняет экономику киберпреступности. Автоматизация процессов позволяет злоумышленникам ускорить цикл атаки.
- Анализ уязвимостей: ИИ-инструменты помогают быстрее анализировать новые CVE.
- Создание эксплойтов: Генерация PoC-эксплойтов (прототипов уязвимости) происходит сразу после публикации информации об уязвимости.
- Сокращение окна защиты: Время от появления данных об уязвимости до первых попыток её эксплуатации сократилось с нескольких дней до нескольких часов.
Это сужает временное окно для принятия защитных мер. Эксперты отмечают рост количества и сложности атак год от года. Для противодействия требуется оперативное получение информации об актуальных техниках, тактиках и процедурах злоумышленников.
Стоит учесть: Традиционные методы защиты, основанные на регулярном обновлении антивирусных баз, могут не успевать за скоростью генерации новых эксплойтов с помощью ИИ. Ключевым фактором становится скорость реакции системы на новые угрозы.
Операционные последствия и скрытые риски
На основе представленных данных можно выделить ключевые вызовы для бизнеса, связанные с изменением ландшафта угроз.
- Риск устаревания защитных мер: Сокращение времени реакции злоумышленников до часов означает, что стратегии, рассчитанные на дни для патчинга (установки обновлений), становятся неэффективными. Бизнесу требуется внедрение систем, способных блокировать атаки в реальном времени на основе поведенческого анализа, а не только сигнатур.
- Зависимость от глобальных данных: Поскольку атакующие используют тактики из разных регионов, локальные средства защиты без доступа к глобальной базе угроз (Threat Intelligence) могут не распознать новые методы атаки, пришедшие из других стран.
- Угроза внутренней сети: Активное использование тактики Pivoting группировками типа Cloud Atlas и Geo Likho указывает на высокий риск компрометации внутренних ресурсов даже при наличии защиты периметра. Защита должна быть сегментирована внутри сети.
- Регуляторное соответствие: Для средних и крупных компаний (от 500 устройств) критически важно использование сертифицированных решений. Продукты, включенные в реестр российского ПО и прошедшие сертификацию ФСТЭК (например, Kaspersky NGFW), позволяют соответствовать требованиям регуляторов, однако их эффективность зависит от актуальности обновлений и интеграции с глобальными данными об угрозах.
На фоне этого: Планируемое обновление продуктов безопасности (версия 1.2) в июле 2026 года направлено на усиление детектирования сложных атак, что может стать критическим фактором для компаний, откладывающих модернизацию инфраструктуры до конца года.
Источник: kaspersky.ru