09/04/25
С начала 2025 года специалисты компании F6 зафиксировали более чем двукратный рост количества веб-шеллов, выставленных на продажу после загрузки на сайты, зарегистрированные в доменной зоне .by. Тенденция была зафиксирована в первом квартале 2025 года.
Веб-шелл представляет собой вредоносный скрипт, обеспечивающий злоумышленнику удалённый доступ к серверу через веб-интерфейс, пишет Securitylab. Такие скрипты обычно внедряются через уязвимости в веб-приложениях, например, через форму загрузки файлов. Они могут быть написаны на языках PHP, ASP, Python или Perl и позволяют выполнять команды на сервере, управлять файлами, устанавливать дополнительное вредоносное ПО или использовать сервер для последующих атак.
По данным F6, активизация торговли веб-шеллами в зоне .by может свидетельствовать о возрастающем интересе к эксплуатации уязвимостей сайтов, зарегистрированных в национальном домене Беларуси. Слабая защита таких ресурсов делает их привлекательной мишенью для киберпреступников, стремящихся получить несанкционированный доступ и компрометировать данные.
В числе атакованных ресурсов — сайты компаний и организаций из сфер информационных технологий и интернет-услуг, медицины и ветеринарии, промышленности, строительства, сельского хозяйства, образования, СМИ, обслуживания и торговли. По сравнению с первым кварталом 2024 года значительно расширился перечень отраслей, подвергшихся атакам. В прошлом году наибольшее число взломов наблюдалось в сферах IT, строительства, торговли и промышленности.
Изменения затронули и структуру распределения атак. Если в первом квартале 2024 года на сайты организаций, работающих в IT и интернет-сфере, приходилось 37% от общего числа выставленных на продажу веб-шеллов, то в январе–марте 2025 года их доля снизилась до 24%. По мнению аналитиков F6, это может быть связано с улучшением защиты в этих секторах и переориентацией злоумышленников на менее защищённые отрасли.
Несмотря на снижение доли, IT-сфера остаётся лидером по числу скомпрометированных ресурсов. Это может объясняться тем, что её инфраструктура часто используется для атак на цепочку поставок.
В то же время одно из наиболее заметных изменений 2025 года — рост доли взломов в таких секторах, как медицина и ветеринария (18%), торговля и интернет-магазины (15%), строительство и ремонт (12%). Также отмечено увеличение атак на сайты, связанные с сельским хозяйством (9%), образованием (3%) и СМИ (3%). По данным F6, в этих отраслях традиционно уделяется меньше внимания вопросам кибербезопасности, что делает их лёгкой целью.
Стоимость веб-шеллов на даркнет-форумах и маркетплейсах варьируется от 5 до нескольких тысяч долларов. Цена зависит от уровня доступа, степени скрытности, функциональности и ценности информации на скомпрометированном сервере. Особенно высоко ценятся учётные записи с внутренними балансами, банковские реквизиты, персональные данные, корпоративная информация и доступ к административным панелям крупных онлайн-сервисов. Дополнительную стоимость может обеспечить возможность шифрования данных для последующего вымогательства.
