Анализ угроз для MSP в 2025 году на основе отчёта ConnectWise

В 2024 году угрозы для поставщиков управляемых услуг (MSP) значительно эволюционировали. Кибератаки становятся всё более сложными и сфокусированными, а малый и средний бизнес (SMB) остаётся наиболее уязвимой целью. Согласно отчёту ConnectWise 2025 MSP Threat Report, злоумышленники активно атакуют MSP, чтобы затем использовать их как “плацдарм” для компрометации клиентских сетей.

В отчёте выделяются три ключевые проблемы для MSP:

1. Рост киберугроз — преступники адаптируются быстрее, чем MSP успевают обновлять защитные меры.
2. Целенаправленные атаки — MSP стали ключевой мишенью, так как обеспечивают IT-обслуживание множества клиентов.
3. Необходимость проактивной защиты — реактивные меры уже недостаточны, требуются новые стратегии защиты и мониторинга.

Основные угрозы и тренды кибератак в 2024 году

Эволюция программ-вымогателей

Что происходит?

• Группировки, занимающиеся программами-вымогателями, поменяли стратегию. Вместо атак на крупные корпорации, они ориентируются на малый и средний бизнес.
• После ликвидации Lockbit в 2024 году появились новые группы, использующие стратегии вымогательства данных.

Почему это важно?

• MSP стали приоритетными целями: атакующие используют их для компрометации множества клиентов.
• Рост атак на системы резервного копирования: злоумышленники не только шифруют данные, но и уничтожают резервные копии.

Цифры:

• ФБР ликвидировало Lockbit и опубликовало 7000 ключей расшифровки, но активность программ-вымогателей не снизилась.
• RansomHub и BianLian активно используют вымогательство данных, не прибегая к шифрованию.

Советы по защите:

• Обязательное использование MFA
• Автоматизация установки обновлений
• Ограничение теневых IT (запрет на установку ПО пользователями)
• Отключение RDP, если он не нужен
• Гео-блокировка (ограничение доступа по регионам)

---

MSP как основная цель киберпреступников

Что происходит?

• MSP управляют IT-инфраструктурой множества клиентов, что делает их высокоприоритетной целью.
• 83% MSP увеличили бюджеты на кибербезопасность в 2024 году.

Почему это важно?

• Компрометация MSP = атака на сотни компаний одновременно.
• Вредоносные группы используют MSP как канал для атак на клиентов.

Цифры:

• 78% MSP обеспокоены, что одна серьёзная атака может привести их к банкротству.
• 60% эксплуатируемых уязвимостей в 2024 году были новыми (CVE 2024).

Советы по защите:

• Жёсткие политики доступа и мониторинг активности
• Регулярные проверки безопасности клиентов
• Аудит всех используемых инструментов удалённого доступа
• Использование SIEM для анализа событий безопасности

Хакеры обходят защитные системы (EDR-эвэйжн

Что происходит?

• Злоумышленники используют EDRKillShifter, Terminator, AuKill, чтобы отключить антивирусы и системы защиты.
• Увеличилось количество атак BYOVD (Bring Your Own Vulnerable Driver).

Почему это важно?

• Только EDR уже недостаточно — атакующие находят способы его отключать перед атакой.
• “EDR-киллеры” доступны в даркнете, что снижает порог вхождения для хакеров.

Цифры:

• В 2024 году зафиксированы тысячи атак с использованием AuKill.
• RansomHub и FIN7 активно удаляют EDR перед атакой.

Советы по защите:

• Принципы нулевого доверия (Zero Trust)
• Контроль обновлений и отказ от уязвимых драйверов
• Многоуровневая защита (SIEM + EDR + мониторинг аномалий)
• Жёсткие политики доступа и раздельные сети

---

“Drive-by” атаки через веб-сайты

Что происходит?

• Киберпреступники заражают веб-сайты, рекламу и CAPTCHA, внедряя вредоносное ПО.
• Пользователи автоматически загружают вирусы, заходя на скомпрометированные сайты.

Почему это важно?

• Не требуется открывать вложение или загружать файл — достаточно просто зайти на страницу.
• Вредоносные CAPTCHA используют ClickFix — жертву просят вставить код в PowerShell.

Цифры:

• 22% всех атак начинались с “drive-by” компрометации.
• В 2024 году ClickFix активно использовали LummaC2, HijackLoader, CryptBot.

Советы по защите:

• Обучение сотрудников (не вводить команды в PowerShell по запросу сайтов!)
• Использование блокировщиков рекламы и DNS-фильтрации
• Мониторинг веб-трафика и детекция аномалий

---

Атаки на брандмауэры и VPN

Что происходит?

• Уязвимости в VPN и брандмауэрах Cisco, Palo Alto, Citrix, Ivanti активно эксплуатируются хакерами.
• Хакеры атакуют устройства в течение 24 часов после публикации уязвимости.

Почему это важно?

• Устаревшие VPN и брандмауэры позволяют злоумышленникам захватывать сети MSP и клиентов.
• В 2024 году задокументировано 84 000 атак на периферийные устройства.

Цифры:

• 40% атак были связаны с эксплуатацией известных CVE.
• Более 60% атак затронули уязвимые устройства без своевременного обновления.

Советы по защите:

• Автоматическое обновление прошивок и патчей
• Отключение ненужных RDP и VPN-портов
• Внедрение MFA для администраторов

---

Выводы и рекомендации

Как MSP защитить себя и клиентов в 2025 году?

• Многоуровневая защита: EDR, SIEM, MFA, мониторинг логов.
• Аудит клиентов и сегментирование сетей (Zero Trust).
• Защита облачных сервисов и удалённого доступа.
• Программы обучения сотрудников.
• Регулярные обновления и устранение уязвимостей.

Заключение

MSP оказались на передовой линии кибервойны. Без комплексной защиты риск компрометации и потерь данных возрастает. В 2025 году кибербезопасность не просто тренд, а необходимость для выживания бизнеса.