Привет, Хабр! Сегодня киберугрозы эволюционировали из кустарных атак в сложные, многоходовые сценарии, способные поставить на паузу работу организации любого масштаба. Но особенно больно они бьют по малому и среднему бизнесу.

Почему? У корпораций есть выделенные службы ИБ, SOC‑центры, и бюджеты на проактивную защиту. У малого и среднего бизнеса ресурсы ограничены. Для злоумышленников это сигнал о том, что сопротивление будет минимальным.

Знать, как именно атакуют, — значит понимать, как защищаться. В этом материале я расскажу о пяти наиболее распространённых киберугрозах.

Фишинговые атаки

10 февраля 2025 года компания F.A.C.C.T. сообщила о крупной фишинговой кампании, проведённой группировкой TA558. Атака состоялась 27 января и была нацелена на организации из сфер финансов, логистики, строительства, туризма и промышленности.

По данным аналитиков, всего за один день злоумышленники с помощью специализированного ПО разослали письма более чем 76 000 адресатам в 112 странах, в том числе в России и Белоруссии.

В письмах содержалось вложение, которое загружало и запускало RTF‑документ. Этот документ эксплуатировал уязвимость CVE‑2017‑11882 для загрузки и запуска HTA‑файла с обфусцированным VBS‑сценарием. При его выполнении на устройстве жертвы устанавливалась программа Remcos RAT, позволяющая атакующим получить полный контроль над системой.

Фишинг — это один из самых распространённых инструментов социальной инженерии. Киберпреступники маскируются под доверенные лица, чтобы выманить у жертвы конфиденциальные данные: пароли, банковские реквизиты или личную информацию. Наиболее часто атака происходит по электронной почте, но всё чаще злоумышленники используют и другие каналы — от смс (смишинг) до телефонных звонков (вишинг). Когда письмо или звонок адресовано конкретному человеку внутри компании — это уже целевой фишинг.

Механика атаки проста: письмо содержит ссылку или вложение, которое выглядит безобидно, но запускает цепочку компрометации. Переход по ссылке или загрузка файла может открыть злоумышленникам доступ к корпоративным данным или установить вредоносное ПО на устройство.

В первой половине 2025 года фишинг в России вышел на новый уровень. В Рунете было обнаружено 8350 фишинговых сайтов. Это почти втрое больше, чем за тот же период прошлого года (2867). И это не просто массовая рассылка «письма счастья»: 82% атакующих писем уже имели следы ИИ.

Распознать фишинг можно по нескольким признакам. Здесь главное— внимание к деталям. Ложный адрес отправителя часто выдает себя лишним символом или необычным доменом. В тексте может быть нагнетающее требование срочно что‑то сделать, иначе «аккаунт будет заблокирован». Должны насторожить и нежданные вложения или ссылки, назначение которых не очевидно.

Традиционные методы защиты — формальные курсы, блокировка по чёрным спискам, фильтры по сигнатурам — уже не справляются. Компании, которые хотят выстоять, переходят на регулярное обучение с симуляциями, отказываются от незащищённых каналов связи, внедряют поведенческий анализ и многофакторную аутентификацию. Параллельно развиваются технологии автоматического выявления аномалий, эмоциональной биометрии и контекстной аутентификации.Программы‑вымогатели

В 2023 году вирусы‑шифровальщики доминировали в структуре кибератак на российские организации, занимая 57% всех случаев. К середине этого года их доля снизилась до 44%. Преступники меняют подход. Всё чаще вместо блокировки данных они незаметно крадут их с помощью шпионского ПО и троянов.

С января 2024 по июнь 2025 года было зафиксировано 2848 успешных атак с вредоносным софтом. Только за первое полугодие 2025‑го — 888. Статистика Positive Technologies указывает на рост доли шпионских программ с 12% до 23% и популярность комбинированных схем, где вредонос сочетается с социальной инженерией и эксплуатацией уязвимостей.

Электронная почта остаётся главным каналом доставки, но её доля упала с 57% до 47%. Зато выросла компрометация инфраструктуры — с 31% до 38%.

Чаще всего под удар попадали промышленные предприятия (165 атак за полгода), госструктуры (137),  ИТ‑компании (52). Смена тактики очевидна: громкие атаки уступают место тихим, но более опасным операциям, которые сложнее обнаружить и остановить.

Ransomware — это вредоносное ПО, которое блокирует или шифрует данные жертвы и делает их недоступными, пока не будет выплачен выкуп. Чаще всего злоумышленники требуют оплату в криптовалюте, чтобы усложнить отслеживание транзакций, и задают жёсткий дедлайн.

Для малого и среднего бизнеса такие атаки могут быть разрушительными. Помимо самого выкупа, организация сталкивается с простоями, потерей конфиденциальных данных и репутационным ущербом. При этом нет никакой гарантии, что, заплатив, компания действительно получит обратно доступ к своим файлам.

В последние годы киберпреступники массово используют схему двойного вымогательства: они не только шифруют информацию, но и угрожают опубликовать её в своих ресурсах, подчеркивая слабость жертвы. Всё чаще встречаются и атаки без шифрования — с упором исключительно на угрозу публикации данных.

Один из самых известных инцидентов — глобальная эпидемия WannaCry в 2017‑м. Вирус поразил более 200 000 компьютеров в 150 странах, выведя из строя критические системы. WannaCry использовал уязвимость в устаревших версиях Windows, и, несмотря на готовое обновление, многие организации так и не успели его установить. Итогом стали многомиллиардные убытки, вызванные простоями и затратами на восстановление работы.

Распознать атаку можно по внезапно заблокированным или зашифрованным файлам, появлению уведомления с требованием выкупа и нетипичной сетевой активности, когда вирус активно распространяется по инфраструктуре.

Минимизировать ущерб помогают регулярные резервные копии, хранимые офлайн или в защищённом облаке, своевременная установка обновлений, закрывающих известные уязвимости, и современное ПО для защиты конечных точек, способное остановить вредонос до того, как он зашифрует данные.

Вредоносное ПО

Во многих компаниях по‑прежнему уверены в том, что целевая кибератака им не грозит. Нет секретных данных, нет миллионов на счетах, нет участия в госпроектах, а значит, что и интереса для злоумышленников тоже нет. История Platformix показывает, насколько опасна такая логика.

На момент атаки компания считала свою защиту зрелой и надёжной. Все процессы были сертифицированы по требованиям регулятора, бэкапы были в порядке, даже DDoS, казалось, не мог серьёзно повлиять на работу. Уверенность в собственной неуязвимости стала главным уязвимым местом.

Атака пришлась в ночь на субботу. Все её стадии прошли незамеченными. Первым тревожным сигналом стала потеря доступа к управлению доменом. Сисадмины заметили, что антивирус перестал отвечать и попытались подключиться к серверу, но их учётные записи уже были скомпрометированы. Логи Active Directory показали подозрительную активность.

Дальше последовало восстановление данных из резервных копий, ограничение удалённого доступа, подключение SIEM-, EDR- и XDR‑агентов для мониторинга в режиме реального времени. Проверка инфраструктуры выявила компрометацию учётных данных пяти администраторов и двух пользователей, заражение восьми серверов (включая антивирусный сервер) и семи рабочих станций, присутствие драйвера, ранее встречавшегося в атаках ransomware, и подозрительный сайт внутри сети.

Атаку остановили за 97 минут. Подписанный китайским производителем драйвер породил гипотезу о зарубежном происхождении атаки, но расследование на этом этапе свернули. В компании признали, что для полноценного анализа следов и исключения риска повторного вторжения внутренних компетенций недостаточно. К расследованию подключили специалистов Kaspersky.

Malware — это собирательное понятие для любого кода, созданного с целью нарушить работу системы, повредить её или получить несанкционированный доступ. К нему относятся вирусы, черви, трояны, шпионские и рекламные программы.

Попав внутрь инфраструктуры, вредонос способен красть данные, отслеживать действия пользователей, устанавливать дополнительное ПО или полностью вывести системы из строя. Для малого и среднего бизнеса подобная атака часто оборачивается утечкой клиентских данных и репутационным ударом, последствия которого могут тянуться годами.

Сигналами заражения могут быть падение производительности, внезапный поток всплывающей рекламы и системные сбои вплоть до «синего экрана». Снизить вероятность атаки помогают своевременно обновляемое антивирусное ПО с регулярным сканированием, строгий контроль установки новых программ и мониторинг сетевого трафика на предмет аномалий.

Инсайдерские угрозы

Это риск, который исходит от людей с легитимным доступом к корпоративным системам. Например, сотрудники, подрядчики или партнёры, имеющие право работать с ресурсами компании. Опасность заключается в том, что доверенный доступ позволяет им обходить многие традиционные средства защиты. Действия инсайдеров бывают намеренными (кража данных или саботаж) и непреднамеренными (ошибки или нарушение процедур).

В 2018 году Tesla столкнулась с наглядным примером подобной атаки. Недовольный сотрудник внёс изменения в производственную операционную систему, передал конфиденциальные данные третьим лицам и тем самым нарушил работу критически важных процессов. Инцидент был публично подтверждён руководством и затронул как операционную деятельность, так и интеллектуальную собственность компании.

Распознать внутреннюю угрозу сложно, поскольку она маскируется под обычную рабочую активность. Однако её могут выдать необычные действия с доступом к данным, внезапный рост объёмов передаваемой информации или явные признаки демотивации. Для снижения риска критично внедрять ролевое управление доступом, регулярно проверять логи активности и формировать внутри компании культуру, в которой можно безопасно сообщать о подозрительном поведении. Для малого и среднего бизнеса подобные меры становятся не просто рекомендацией, а необходимым условием сохранения доверия клиентов и партнёров.

Атаки типа «распределённый отказ в обслуживании»

DDoS‑атака возникает, когда множество скомпрометированных систем направляют огромный поток трафика на целевой ресурс — веб‑сайт, онлайн‑сервис или приложение. Перегрузка приводит к замедлению отклика или полному отказу в обслуживании. Несмотря на то что такие атаки редко связаны с кражей данных, они способны парализовать бизнес‑операции. Для компаний, зависящих от онлайн‑инфраструктуры, даже кратковременный простой означает потерю дохода, снижение удовлетворённости клиентов и долгосрочные репутационные издержки.

В 2016 году масштабная атака на DNS‑провайдера Dyn наглядно показала уязвимость критически важной инфраструктуры. Ботнет из IoT-устройств обрушил на сервера компании трафик такой мощности, что на несколько часов оказалась нарушена работа сервисов Twitter, Spotify, Netflix и других крупных платформ. Инцидент стал напоминанием о том, что DDoS — это не локальная проблема, а угроза, способная ударить по целым секторам.

Признаками атаки могут быть замедление работы сайта, затруднённый доступ пользователей или резкий всплеск трафика из нетипичных источников. Снизить риск помогают CDN‑сети, распределяющие нагрузку, специализированные службы фильтрации вредоносных запросов и комбинация веб‑фильтров с балансировщиками нагрузки. Для малого и среднего бизнеса эти меры не просто повышают устойчивость, а зачастую становятся ключом к сохранению непрерывности обслуживания и доверия аудитории.

Создание устойчивой стратегии кибербезопасности

Кибератаки практически для всех стали сегодня вполне осязаемой угрозой. И для малого и среднего бизнеса их последствия могут быть критичными. Осознание ключевых рисков даёт владельцам компаний возможность действовать на опережение и выстраивать защиту ещё до того, как случится инцидент.

Технические меры, регулярное обучение сотрудников и культура настороженности в цифровой среде формируют базу, которая способна значительно снизить вероятность атаки и её масштаб.

Вопрос лишь во времени: столкнётся ли компания с атакой завтра или через год. Чем раньше оценены уязвимости и усилены протоколы безопасности, тем выше шансы сохранить деньги, репутацию и доверие клиентов. Лучший момент для укрепления обороны — тот, когда вы ещё не стали целью. То есть прямо сейчас.