Более 70% вредоносных скриптов были выявлены на этапе внедрения средств мониторинга. Чаще всего веб-шеллы встречаются на ресурсах туристических и IT-компаний. Основная причина — низкая информбезопасность.
В первом полугодии 2025 года веб-шеллы (программа или скрипт для управления устройством с помощью команд) были обнаружены в системах 26% исследованных компаний, что на 3% больше чем в 2024. Такие данные приводит в рамках исследования компания по информбезопасности BI.ZONE, которая исследовала сайты, сервисы и приложения более 150 российских компаний. При этом значительно выросла доля веб-шеллов на сайтах и других внешних периметровых веб-ресурсах: с 12% в 2024 году до 53% в первом полугодии 2025-го.
Чаще всего веб-шеллы встречаются на ресурсах туристических и IT-компаний (38% и 35% соответственно). В 2024 году IT-отрасль была абсолютным лидером по числу обнаруженных веб-шеллов: тогда на ее долю пришлось 62% всех случаев.
«Почти 73% веб-шеллов мы выявили, когда внедряли свое решение по защите конечных точек. Это говорит о том, что подавляющее большинство таких скриптов злоумышленники устанавливают еще до запуска сервисов в работу», — рассказал руководитель BI.ZONE TDR Андрей Шаляпин.
Основная причина, по которой преступникам это удается, — нарушение правил безопасной разработки. Разработчики нередко выставляют в открытый доступ серверы веб-ресурсов, работа над которыми еще не завершена, отмечает эксперт. Это позволяет им подключаться к рабочей среде удаленно и облегчает многие процессы, например тестирование.
Чтобы минимизировать риски внедрения веб-шеллов, на всех публикуемых сервисах должен быть ограничено прямое взаимодействие с Сетью. Кроме того, на них следует установить современные средства мониторинга конечных точек класса endpoint detection and response. Например, для детектирования веб-шеллов на основе телеметрии BI.ZONE EDR используются поведенческие правила, а также сигнатурный анализ с помощью YARA-правил. Политика безопасности компании также должна распространяться на сегменты разработки и тестирования.
Разработчики и тестировщики — не единственные, кто может жертвовать безопасностью ради временного удобства. Исследование BI.ZONE показало, что до трети системных администраторов отключают защитные функции на устройствах, поскольку считают, что это способствует повышению производительности системы и упрощает их работу. В целом же неправильные и некорректные настройки делают уязвимыми для кибератак более 60% серверов и рабочих станций.
Выполнение компаниями необходимых правил кибербезопасности является одним из ключевых условий, при которых сервис-провайдеры могут эффективно обеспечивать мониторинг киберинцидентов и реагирование на них. Ранее компания BI.ZONE объявила, что вернет стоимость услуги по мониторингу и реагированию, если заказчик добросовестно выполняет технические обязательства в рамках условий сервиса BI.ZONE TDR, а киберинцидент не был обнаружен и привел к ущербу
Фото: Adobe Stock
