По оценкам компании BI.ZONE, до 80% кибератак приходится на малый и средний бизнес. Часто целью становятся незащищенные подрядчики. Через такие компании злоумышленники стремятся добраться до их клиентов — более крупных организаций с выстроенной киберзащитой, которые сложно атаковать напрямую. По данным BI.ZONE DFIR, с начала 2025 г. доля высококритичных киберинцидентов, связанных с атаками через подрядчиков, выросла вдвое и составила 30%.
Вопреки распространенному стереотипу, небольшие компании подвержены атакам с шифровальщиками так же, как и крупные организации. Отчасти это связано с тем, что экосистема программ-вымогателей в Рунете и странах СНГ значительно отличается от западной. В международной практике применяются известные сервисы, такие как LockBit или RansomHub. Они обычно распространяются по модели RaaS (ransomware-as-a-service, программа-вымогатель как услуга). Стоимость вредоносного ПО определяется не только функциональностью, но также известностью «бренда» и условиями партнерской программы. Как правило, она предполагает процент с выкупа, полученного от жертвы (обычно 10–40%), а также единоразовый взнос за доступ к платформе ($1000–3000).
Однако в атаках на Россию и другие страны СНГ злоумышленники обычно используют либо программы-вымогатели собственной разработки, либо билдеры «официальных» версий все тех же LockBit и RansomHub, ранее утекшие в Сеть.
Специалисты BI.ZONE DFIR выделили основные факторы, повышающие риск шифрования для малой или средней компании. Среди наиболее существенных — отсутствие собственного IT-отдела и тем более выделенной службы кибербезопасности, бесконтрольное наделение сотрудников правами администратора, отсутствие регулярного резервного копирования, а также неправильно выстроенная практика BYOD (bring your own device), когда сотрудники используют для работы личные устройства, на которых не обеспечен даже базовый уровень киберзащиты.
Среди наиболее опасных ошибок, совершаемых пострадавшими компаниями, специалисты BI.ZONE DFIR назвали самостоятельные попытки найти дешифратор, а также выплату выкупа. В последнем случае компания не только нарушает закон, но и повышает для себя риск повторной кибератаки.
BI.ZONE также представила пошаговые инструкции для компаний, которые не имеют возможности обратиться к специалистам и вынуждены самостоятельно проводить реагирование на инцидент.
Ранее эксперты BI.ZONE DFIR подсчитали , что в 2025 г. минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 мин., а максимальное — 181 день. Согласно исследованию BI.ZONE и Rambler&Co, каждый
пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.
