С начала 2025 года специалисты департамента Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в первом квартале 2025 года, рассказал аналитик Threat Intelligence компании F6 Владислав Куган.
Веб-шелл — это вредоносный скрипт, который предоставляет злоумышленникам удаленный доступ к серверу через веб-интерфейс. Обычно веб-шелл загружается на сервер через уязвимости в веб-приложениях, например, через форму загрузки файлов.
Скрипт может быть написан на PHP, ASP, Python или Perl и позволяет выполнять произвольные команды на сервере, манипулировать файловой системой, устанавливать дополнительное ВПО или использовать сервер для проведения дальнейших атак.
Рост распространения веб-шеллов в доменной зоне .by, национальном домене верхнего уровня для Республики Беларусь, может свидетельствовать о возрастающем интересе к эксплуатации уязвимостей веб-приложений и недостатках в защите сайтов, зарегистрированных в этом регионе. Недостаточная защита ресурсов делает их особо привлекательной целью для киберпреступников, использующих такие инструменты для несанкционированного доступа и компрометации данных.
Сайты с загруженными веб-шеллами принадлежат компаниям и организациям, работающим в таких сферах, как IT и интернет-услуги, медицина и ветеринария, производство, строительство, сельское хозяйство, образование и СМИ, обслуживание и торговля.
Перечень веб-ресурсов показывает значительное расширение числа атакованных отраслей по сравнению с первым кварталом 2024 года, когда наибольшее количество атак было зафиксировано в IT, строительной, торговой и промышленной сферах.
При этом изменение ландшафта атак также привело к процентному смещению их направленности. Если в первом квартале 2024 года взломанные ресурсы организаций в сферах IT и интернет-услуг составляли 37% от общего числа выставленных на продажу, то в январе-марте 2025 года их доля снизилась до 24%. Это может свидетельствовать о том, что компании из этих отраслей стали лучше защищаться, в то время как злоумышленники начали фокусироваться на менее защищенных секторах.
Тем не менее IT-сектор по-прежнему остается на первом месте, что может быть связано с возможностью использования инфраструктуры организаций из этой сферы для дальнейших атак на цепочку поставок.
Одним из наиболее значимых изменений 2025 года стало увеличение доли взломанных ресурсов в таких отраслях, как медицина и ветеринария (18%), торговля и интернет-магазины (15%), а также строительство и ремонт (12%). Кроме того, зафиксирован рост атак в таких секторах, как сельское хозяйство (9%), образование (3%) и СМИ (3%). В этих сферах традиционно уделяют меньше внимания кибербезопасности, что в свою очередь делает их наиболее легкой добычей для злоумышленников.
Статистика веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по итогам первого квартала 2024 года, в процентном отношении
Статистика веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по итогам первого квартала 2025 года, в процентном отношении
На теневых форумах и маркетплейсах даркнета цены на веб-шеллы, загруженные на сайты, варьируются от 5 до нескольких тысяч долларов. Их стоимость определяется уровнем доступа, скрытностью, функциональными возможностями и ценностью информации, хранящейся на скомпрометированном сервере. Наибольший интерес для злоумышленников представляют учётные записи с внутренними балансами, реквизиты банковских карт, персональные данные клиентов, корпоративные сведения и доступ к административным панелям крупных онлайн-сервисов. Дополнительную стоимость может придавать возможность шифрования данных для последующего вымогательства.
Организации, добивающиеся успеха во внедрении искусственного интеллекта, инвестируют в фундаментальные направления, такие как качество данных, управление данными, подготовка персонала и управление изменениями — до четырех раз больше (в доле от выручки), чем компании с неудачными ИИ-инициативами.
Александр Михайлов, руководитель GSOC компании «Газинформсервис», констатирует появление новой глобальной угрозы: киберпреступники все чаще используют взлом ИТ-инфраструктуры транспортно-логистических компаний для организации физических краж грузов.
Компания «Инфосистемы Джет» представила результаты ежегодного исследования рынка информационной безопасности, в котором приняли участие руководители 255 крупных организаций.
Взаимная технологическая совместимость PT Data Security, единственной в России платформы безопасности данных и объектного S3 -хранилища Закрома подтверждена в ходе испытаний.
Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress.
Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки.
Microsoft с апреля 2026 года меняет поведение Remote Desktop Connection при открытии rdp-файлов.
Скорость цифровой эволюции постоянно растёт: то, что ещё вчера считалось технологической мечтой, сегодня превращается в рабочий инструмент.
В США к длительным срокам приговорили двух граждан страны, которые помогали северокорейским IT-специалистам устраиваться на удаленную работу под видом американских сотрудников.
В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 - старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках.
