Снижение разведывательных запросов: тренды атак на веб-ресурсы — 2025

Специалисты BI.Zone WAF зафиксировали, что во II половине 2025 г. доля разведывательных запросов сократилась в 8,5 раза....

Специалисты BI.Zone WAF зафиксировали, что во II половине 2025 г. доля разведывательных запросов сократилась в 8,5 раза. Атакующие пропускают этап сканирования и сразу пытаются получить доступ к критичным данным и учетным записям. Об этом CNews сообщили представители BI.Zone.

Снижение активности сканеров

В 2024 г. доля запросов на этапе разведки выросла с 7% в I полугодии до 22% во втором. В первой половине 2025 г. доля автоматического сканирования уязвимостей достигла 38%, однако во второй половине года резко снизилась до 4,5%. Спад может быть связан с тем, что WAF-сервисы блокируют IP-адреса с высокой активностью запросов, а это препятствует автоматическим сканированиям.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.Zone: «В 2025 г. мы зафиксировали значительный сдвиг в поведении злоумышленников. Статистика заблокированных запросов показывает, что атакующие стали действовать точечно. Они минимизируют этап разведки и сразу пытаются получить доступ к критичным данным. Мы видим не просто поиск уязвимостей, а конкретные запросы, нацеленные на бизнес-активы компаний».

Дополнительно на снижение активности влияет технологическое развитие защиты. Разработчики все чаще используют статический и динамический анализ кода, а также инструменты на базе ИИ. Это позволяет устранять уязвимости еще на этапе разработки.

В результате злоумышленники теряют «легкие» цели: сканеры сталкиваются с защищенным кодом или подозрительную активность предотвращает WAF.

Смена тактики кибератак в 2025 году

Количество атак на пользователей с целью кражи учетных данных выросло в 2,4 раза: с 6% в первом полугодии до 15% во втором. Также злоумышленники пытаются получить прямой доступ к данным и служебной информации. Доля таких попыток достигла 42% от всех заблокированных запросов.

Эта динамика связана с общим ростом качества разработки и технической защиты серверов. Сложные атаки на ПО становятся менее эффективными за счет регулярных обновлений и более строгого контроля качества кода. Также этому способствуют инструменты на базе LLM, которые помогают разработчикам избегать типовых ошибок, корректнее выстраивать логику и снижать риск небезопасных практик на этапе разработки.

В результате атакующие все чаще смещают фокус с эксплуатации уязвимостей в коде на методы межсайтового скриптинга (XSS) и подбор учетных данных, стремясь получить легитимный доступ администратора или сотрудника, чтобы продолжить атаку изнутри системы.

Адаптация тактик под конкретные отрасли

В I полугодии 2025 г. злоумышленники атаковали государственные информационные системы, чтобы получить доступ к служебной информации и документам. А во II полугодии на первое место вышли атаки, направленные на доступ к базам данных. Их доля составила 53%. Это указывает на попытки массового извлечения данных.

Изменения произошли и в ритейле. Разведывательная активность заметно снизилась: ее доля уменьшилась с 90% в начале года до 35% в конце.

В отраслях с физическими активами, таких как строительство и логистика, эксперты BI.Zone WAF отметили изменение стратегии атак. Вместо атак на сайты и захвата инфраструктуры злоумышленники сосредоточились на получении доступа к закрытым сегментам порталов и файловых хранилищ.

В сфере строительства число атак, направленных на поиск конфигурационных файлов и чувствительных данных, выросло с 50% до 87%. Попытки взлома серверов (RCE) сократились: их стало менее 5%.

Аналогичная тенденция наблюдается в логистической отрасли. Если в первом полугодии 89% атак были на RCE, то во втором их доля упала до 30%. Основное внимание злоумышленников теперь сосредоточено на краже файлов и служебной информации: доля этой тактики выросла с 10% до 53%.

Иллюзия геозащиты

Во II полугодии 2025 г. большинство кибератак фиксируется с российских IP-адресов. Они составляют 95% случаев удаленного выполнения кода (RCE) и в 98% случаев кражи пользовательских данных. Для защиты компании используют геоблокировки трафика из-за границы. Это сопровождается использованием геофильтрации как дополнительного уровня защиты и формированием «белых списков» российских IP-адресов, которым по умолчанию доверяют.

Однако эффективность геофильтров за последние годы снизилась. Атакующим достаточно использовать VPN, прокси или арендованные серверы на территории России, чтобы проводить атаки с IP-адресов российских провайдеров и обходить географические ограничения. В результате вредоносный трафик выглядит легитимным и не блокируется по географическому признаку, несмотря на сохранение остальных уровней защиты.

Тенденции 2025 г. показывают, что злоумышленники переходят от массовых атак к более прицельным. Бизнесу важно продолжить защищать веб-приложения и код, а также контролировать доступ к данным, включая системные файлы и каталоги, которые могут быть использованы для дальнейших атак.

Адрес новости:
https://safe.cnews.ru/news/line/2026-02-16_snizhenie_razvedyvatelnyh