Фишинг: как злоумышленники обходят современные средства защиты и какие риски это создаёт для бизнеса

PowerLoader — устройство и поведение

В одном из недавних публичных разборов описывалась ситуация, когда строительная организация столкнулась с финансовыми потерями после получения письма от лица контрагента с актом сверки. По данным анализа, используемое в этой атаке средство защиты не зафиксировало угрозу, а сотрудник самостоятельно загрузил архив из публичного репозитория, полагая, что ссылка была безопасной.

Повышение осведомлённости сотрудников остаётся важным, однако современные фишинговые схемы 2026 года значительно сложнее классических примеров. Злоумышленники проводят анализ контрагентов, подделывают реальные письма и используют легитимные облачные сервисы. На основе анализа публичных данных и практики расследования инцидентов можно сделать вывод, что даже компании, прошедшие сертификацию по 152-ФЗ и имеющие лицензии ФСТЭК, могут быть подвержены риску. Причина — не низкая квалификация сотрудников, а высокая степень адаптивности атакующих.

В этом материале — обзор публичных кейсов, описанных экспертами в области кибербезопасности применительно к российским компаниям из строительства, консалтинга, производства, ритейла и e‑commerce. Рассматривается типовая цепочка заражения — от фишингового письма до вымогательского ПО, а также приводятся рекомендации, основанные на реальной практике защиты.

Разбор типовой атаки (на примере группировки, активность которой зафиксирована в открытых источниках)

По данным открытых источников, одна из группировок (упоминаемая как Fluffy Wolf) специализируется на российских компаниях среднего и крупного бизнеса. В первом квартале 2026 года по сравнению с концом 2025 года отмечен значительный рост их активности.

Особенность — использование многоэтапных цепочек доставки с обфускацией и шифрованием на каждом этапе.

Ниже приведён обобщённый сценарий на основе публичных описаний (детали изменены для сохранения конфиденциальности):

• Жертва — компания из сферы консалтинга (200+ сотрудников), работающая с госзаказчиками, имеющая лицензию ФСТЭК.
• Атакующие собирают информацию из открытых источников, находят реального контрагента, регистрируют похожий домен (с незначительным отличием).
• Готовится письмо от имени руководителя контрагента с темой, связанной с проверкой контролирующего органа. Внутри — ссылка на GitHub-репозиторий с архивом. Репозиторий создаётся за несколько дней до рассылки.
• Сотрудник переходит по ссылке, скачивает архив. Внутри — скрипт PowerShell, зашифрованный с помощью Base64 и XOR-обфускации. По данным VirusTotal на момент анализа, большинство антивирусов его не детектировали.
• Скрипт скачивает криптор, тот распаковывает в память стилер и RAT. Атакующие получают доступ к почте, файлам, нажатиям клавиш.
• Через несколько часов злоумышленники находят в почте финансового директора письмо от банка с остатками. Попытка перевода блокируется трёхфакторной аутентификацией (аппаратный токен не подключён к компьютеру).
• После неудачной попытки вывода средств запускается вымогатель, шифруются серверы. Восстановление возможно только из бэкапов трёхнедельной давности, что приводит к простоям и убыткам.

В логах присутствовали признаки атаки (например, запуск PowerShell из архива RAR), однако настройки EDR были минимальными, чтобы не создавать помех пользователям. При этом сотрудники проходили обучение по фишингу, но тестовые сценарии отличались от реальных (письма от незнакомых отправителей с ошибками против почти идеальной копии реального контрагента).

По сведениям из открытых источников, инструментарий подобных группировок постоянно обновляется: используются загрузчики на Rust и Donut (фреймворк для выполнения shellcode из памяти), разные версии криптора с различными алгоритмами шифрования, а также легитимные драйверы для отключения EDR (техника BYOVD).

Многие компании по-прежнему полагаются на классические антивирусные решения, однако современные фишинговые атаки нацелены не на взлом защитных периметров, а на поиск слабых мест — человеческого фактора и недостаточно настроенных средств защиты.

10 рекомендаций по защите от фишинга (на основе анализа инцидентов)

Перечисленные ниже правила сформулированы по результатам рассмотрения десятков публичных и внутренних кейсов. Они нацелены на снижение рисков.

1. Настройте политики выполнения скриптов через AppLocker или WDAC
   По умолчанию в Windows пользователь может запускать PowerShell и JS-скрипты. Рекомендуется запретить выполнение скриптов из временных папок (AppData, Temp) и из архивов. В одном из проектов после внедрения AppLocker количество фишинговых инцидентов снизилось на 87% за полгода.
2. Используйте многофакторную аутентификацию везде, где возможно
   Не только для почты и банк-клиента, но и для RDP, VPN, корпоративных порталов, входа в ноутбук. Стилеры крадут пароли, но аппаратные токены или биометрия делают их бесполезными. Зафиксирован случай, когда атакующие получили пароль администратора, но не смогли войти в облачную админку из-за требования подтверждения через приложение с геолокацией.
3. Запретите использование личных почтовых ящиков и мессенджеров для рабочих вопросов
   Многие атаки начинаются с пересылки документов через личные каналы. Использование только корпоративной почты с антиспамом, DKIM и DMARC позволяет эффективнее отсекать подделки.
4. Включите аудит PowerShell и блокируйте его в constrained language mode
   Режим ConstrainedLanguage не позволяет скриптам вызывать опасные API. В ряде случаев попытки загрузчика скачать полезную нагрузку прерывались с ошибкой, что фиксировалось в логах (EventID 4104).
5. Настройте фильтрацию вложений на почтовом шлюзе
   Блокируйте архивы .rar, .7z, .iso, .img от внешних отправителей. Для легитимной передачи документов используйте корпоративные файлообменники или цифровую подпись архивов.
6. Используйте анализ ссылок на основе репутации с проверкой на нулевой день
   Стандартные антивирусы не помогут, если ссылка ведёт на легитимный GitHub. Необходимы решения класса Secure Web Gateway с функцией изоляции (Remote Browser Isolation) или хотя бы расширения браузера, проверяющие ссылки через sandbox.
7. Регулярно тестируйте сотрудников на реалистичных сценариях
   Тесты должны имитировать реальных контрагентов с поддельными доменами, правильной вёрсткой и вложениями. В компании с 500 сотрудниками после такой симуляции кликнули 120 человек, а 30 ввели учётные данные на фейковой странице — это показывает ценность реалистичных тренировок.
8. Внедрите EDR/XDR с поведенческим анализом и активной охотой
   Классические сигнатурные антивирусы недостаточны. Нужны решения, отслеживающие цепочки действий (например, powershell.exe → повторный запуск powershell.exe → обращение к IP с плохой репутацией → создание задачи в планировщике). Даже Microsoft Defender for Endpoint (входит в M365 E5) при правильной настройке может автоматически изолировать хост.
9. Ограничьте использование RDP и удалённого доступа
   RDP, открытый в интернет (даже на нестандартном порту), увеличивает риск. Получив доступ к одному компьютеру через фишинг, атакующий может использовать RDP для перемещения по сети. Рекомендуется VPN с MFA или Zero Trust Network Access (ZTNA), а RDP разрешать только администраторам через jump-серверы.
10. Создайте и тестируйте план реагирования на инциденты (IRP) под фишинг
    Документ должен быть подкреплён реальными учениями: изоляция компьютера, сбор логов, уведомление регуляторов (ФСТЭК, РКН). Практика показывает, что без регулярных тренировок в момент атаки сотрудники не знают, какие действия предпринимать.

Что делать, если вы или ваш сотрудник уже открыли подозрительное письмо

Ниже приведён алгоритм, основанный на практических рекомендациях для реагирования на инциденты.

Шаг 1. Отключите компьютер от сети (выдернуть кабель, отключить Wi-Fi). Это прервёт связь с C2-сервером и может предотвратить дальнейшее развитие атаки.

Шаг 2. Не выключайте и не перезагружайте компьютер. Многие вредоносные программы живут только в оперативной памяти, и перезагрузка уничтожит следы, необходимые для расследования.

Шаг 3. Сообщите ответственному за информационную безопасность. Даже если кажется, что ничего не произошло. В большинстве случаев инцидента нет, но лучше перестраховаться.

Шаг 4. Сделайте копию логов и памяти (если есть доступ). Скопируйте папку C:\Windows\System32\winevt\Logs, а также по возможности создайте дамп оперативной памяти (некоторые EDR умеют это делать).

Шаг 5. Запустите полное сканирование с актуальными сигнатурами. Обновите антивирус (например, с другого компьютера через USB), но помните, что современные загрузчики могут быть не видны после активации.

Шаг 6. Проверьте планировщики задач, автозагрузку, службы (команды: schtasks.exe, msconfig, services.msc). Вредоносное ПО может закрепляться в системе.

Шаг 7. Смените пароли на критичных системах (почта, банк-клиент, CRM, VPN), к которым был доступ с этого компьютера за последние сутки.

Шаг 8. Обратитесь к внешним экспертам по кибербезопасности для углублённого анализа (YARA-правила, песочницы).

Ответы на частые вопросы (FAQ)

1. Какие методы доставки вредоносного ПО наиболее распространены в 2026 году?
   По данным открытых источников — письма с RAR-архивами, ссылки на легитимные репозитории (GitHub, GitLab, Notion, Dropbox), QR-коды в письмах для обхода сканеров ссылок, а также макровирусы с обфускацией через JavaScript.
2. Какие инструменты используются в атаках, подобных описанной?
   Типовой набор включает: загрузчик (PowerLoader), криптор (PureCrypter), стилер (PureLogs), RAT с плагином удалённого рабочего стола (PureRAT), вымогатель (Pay2Key), а также легитимные драйверы для отключения EDR (BYOVD).
3. Как защитить сотрудников, если они всё равно открывают подозрительные письма?
   Упор на технические средства: AppLocker, ограничение выполнения скриптов, изоляция процессов (песочница, Windows Sandbox), менеджеры паролей (не подставляют пароль на фишинговой странице из-за несовпадения домена).
4. Что такое PureCrypter и почему он опасен?
   Криптор, шифрующий и распаковывающий вредоносные модули в оперативной памяти без записи на диск. Обходит файловый мониторинг. Обнаруживается поведенческим анализом (выделение памяти с правами RWX и запуск shell-кода).
5. Как выявить атаку на ранней стадии?
   Признаки: необычные исходящие соединения на неизвестные IP, запуск powershell.exe из папки Temp, создание планировщика задач с крипто-именами, попытки доступа к lsass.exe. Регулярный анализ логов EDR (даже автоматизированные системы могут ошибаться).
6. Каковы типовые последствия успешной атаки?
   Утечка персональных данных (штрафы по 152-ФЗ до 500 тыс. рублей за эпизод, до 3 млн — для спецсубъектов), потеря коммерческой тайны, остановка производства (для КИИ — уведомление ФСТЭК), выкуп за расшифровку (средние суммы по данным из публичных отчётов — от 10 до 50 млн рублей), репутационные потери.
7. Какие специалисты нужны для защиты от фишинга?
   Внутренний или внешний SOC, аналитик по вредоносному ПО (reverse engineering), специалист по настройке EDR/XDR, тренер по повышению осведомлённости, криминалисты. Возможен аутсорсинг (SOC как услуга).
8. Что такое Pay2Key и как защититься?
   Вымогатель, использующий гибридное шифрование (AES+RSA). Защита: регулярные бэкапы по схеме 3-2-1 (три копии, два носителя, одна офлайн), отключение сетевых дисков, запрет запуска неизвестных исполняемых файлов. Pay2Key удаляет теневые копии, поэтому стандартное восстановление через них невозможно.
9. Как безопасно проверять ссылки на GitHub и облачные сервисы?
   Используйте изолированную среду (песочницу — Cuckoo, ANY.RUN) или удалённый браузер с визуализацией на сервере. Не скачивайте файлы с незнакомых ссылок на рабочий компьютер — даже легитимные аккаунты могут быть скомпрометированы.
10. Нужно ли уведомлять ФСТЭК или РКН о фишинговой атаке?
    При утечке персональных данных — РКН в течение 24 часов (152-ФЗ). При нарушении целостности КИИ — ФСТЭК и НКЦКИ. При попытке взлома без утечки рекомендуется уведомить для профилактики. Штрафы за несообщение — до 500 тыс. рублей. Рекомендуется консультация с юристом по ИБ.

Вместо заключения

Защита от фишинга в современных условиях — это не только технологии (EDR, AppLocker, MFA, песочницы), но и организационная культура, дисциплина. Если руководители пересылают пароли по электронной почте, никакие технические средства не гарантируют безопасность.

Пример из практики: после внедрения правила, согласно которому любое письмо с вложением от внешнего отправителя перед открытием направляется в ServiceDesk, в компании в течение трёх месяцев не было зафиксировано ни одного инцидента. Небольшое замедление процессов окупается предотвращением длительного простоя.

Активность злоумышленников продолжает расти. Регулярно появляются новые волны писем с поддельными реестрами ФНС, «повестками из военкомата» или «новыми правилами маркировки». Настройка средств защиты, тестирование сотрудников и наличие плана реагирования — ключевые меры. Своевременная профилактика позволяет избежать серьёзных последствий.

Если вам важно понять уровень защищённости вашей компании от фишинговых атак, можно провести аудит или консультацию с экспертами. Специалисты помогут оценить текущие риски, настроить политики безопасности и разработать программу реагирования.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]