Самый страшный враг — тот, о существовании которого вы не догадываетесь. Новый отчет Threat Zone 2026 (вышел 1 апреля, но это не шутка) рисует пугающую картину: 20% российских компаний из выборки (от 500 до 50 000 сотрудников) имеют на своей инфраструктуре нелегальное присутствие злоумышленников. И они там не для того, чтобы быстро украсть деньги или зашифровать диски.
Портрет «невидимого» хакера:
-
Цель — шпионаж. Доля атак с целью кражи интеллектуальной собственности, коммерческой тайны и данных переговоров выросла до 37% (год назад было 24%).
-
Инструменты — легитимные. Хакеры используют LOLBins (Living off the Land Binaries) — обычные системные утилиты Windows (PowerShell, WMIC, schtasks). Антивирус не блокирует, потому что это «родные» процессы.
-
Тактика — закрепиться и ждать. Злоумышленники в первую очередь компрометируют доменные контроллеры, системы виртуализации (VMware, Hyper-V) и серверы резервного копирования. Получив контроль над бэкапами, они гарантируют себе возможность вернуться даже после «чистки».
Как долго они сидят? Медианное время обнаружения скрытого присутствия по данным исследования — 147 дней (почти 5 месяцев). За это время хакеры успевают прочитать всю переписку, скачать базы данных и заложить закладки для будущих атак.
Признаки, что вы могли быть взломаны:
-
Необъяснимое увеличение трафика в ночное время.
-
Появление новых учетных записей в группе «Администраторы домена».
-
Странные задачи в планировщике с именами вроде «MicrosoftUpdateCheck» (фейк).
-
Ваш EDR не показывает аномалий — потому что его научились обходить.
Что делать? Стандартного антивируса и аудита раз в год недостаточно. Требуется Compromise Assessment — глубокая «чистка» инфраструктуры с помощью опытных охотников за угрозами (Threat Hunters). Компания ООО «ИЦРС» предоставляет услугу по выявлению скрытого присутствия с использованием собственных сенсоров и анализа артефактов.