Паутина для хакера: российские компании увеличили инвестиции в «киберловушки»

Соблазнительные муляжи

В России рынок решений класса DDP (англ. «Distributed Deception Platform», дословно переводится, как «распределенная платформа для обмана» — ред.) начал развиваться, по словам опрошенных специалистов по кибербезопасности, около четырех лет назад – после начала СВО. До этого бизнес пользовался исключительно западными решениями – от компаний Illusive Networks, Guardicore, TrapX Security и других.

Однако затем на рынке появились аналогичные решения от российских компаний АВ Софт (AVSOFT LOKI), R-Vision (R-Vision TDP), Xello (Xello Deception) и Гарда (Гарда Deception). Также на рынке есть DDP от компаний «Код Безопасности», «Ростелеком-Солар» (Solar JSOC) и другие. По оценкам специалистов по кибербезопасности, таких решений в России сейчас около десяти.

Как рассказал SecPost Артем Бруданин, руководитель отдела кибербезопасности RTM Group, все эти платформы автоматизированно разбрасывают по всей сети тысячи ложных «хлебных крошек»: забытые пароли, RDP-ярлыки (значки, которые позволяют запускать сеанс подключения к удаленному рабочему столу – ред.), фейковые базы данных, имитируют бурную работу людей через подделку сетевого трафика. Он также добавил, что инвестиции российского бизнеса в «киберловушки» ежегодно увеличивается на 25-35%.

DDP-платформы объединяют разные типы ловушек – например, ловушки имитирующие реальные сервисы инфраструктуры: SSH HTTPS, SMB (протоколы для удаленного доступа к данным и их передачи – ред.). Такие ловушки воспроизводят поведение легитимных сервисов и позволяют выявлять попытки несанкционированного доступа, рассказывает руководителя группы поддержки продаж R-Vision Максим Мельшиян. Также там могут быть ловушки, имитирующие СУБД (система управления базами данных – ред.). Они используются для фиксации попыток подбора учетных данных или эксплуатации уязвимостей. Кроме того, в набор могут входить ловушки в виде файлов с ложной информацией, фейковыми учетными данными и т.д.

По словам архитектора департамента развития и архитектуры компании «Кросс технолоджис» Олега Игуменова, DDP-платформы, позволяют создать комплексную инфраструктуру, которая существует как бы дополнительным слоем для основной. Фейковая среда завлекает хакеров обилием уязвимостей и подставными привилегированными учетными записями. Но попадая в нее, преступники оставляют множество следов. Защищающимся становится известно, какое вредоносное ПО они используют и даже IP-адреса преступников.

По оценкам Артема Бруданина, DDP-решения с последующей поддержкой стоят от 2 до 4 млн рублей. Столько заплатить могут позволить не все компании. Поэтому ряд из них выбирают более дешевые, но уже устаревшие решения — так называемым honeypot (дословно, «горшочек с медом»  — ред.). Этот тип ловушек появился еще в 2000-е годы. Honeypot также имитируют инфраструктуру компаний – но, как правило, только один из каких-то ее элементов, например, электронную почту или какие-то базы данных. Несколько таких honeypot образуют уже honeynet, т.е. целую объединенную сеть таких решений.

Такую сетку можно вывести за периметр рабочей сети или изолировать, имитируя целую инфраструктуру — несколько серверов, сетевых сервисов. «Злоумышленник, проникший в такую сеть, гуляет между ловушками, а система регистрирует весь трафик. Это дает более полную картину атаки на уровне сети», — поясняет Владислав Шелепов, аналитик угроз GSOC компании «Газинформсервис».

Подобные ловушки значительно проще, чем DDP, но они также могут давать эффект.

Повелители симулякров

Российские компании в отличие от западных не любят афишировать использование киберловушек.

Чаще всего их внедряют в крупном бизнесе. Особенно часто в финансовых организациях, ИТ-компаниях и телекоме, а также в энергетике. Там обычно используются следующие решения — Xello Deception, R-Vision TDP, AVSoft LOKI, рассказывает Владислав Шелепов.

Обычно киберловушки внедряют там, где уже есть SOC (центр мониторинга инцидентов – ред.), нормальная телеметрия (технология удаленного сбора и анализа данных от разных устройств – ред.) и где атаки идут регулярно, а не раз в год, продолжает главный эксперт UserGate uFactor Ильдар Садыков. Часто ловушки покупают крупные e-com-компании и госсектор, где есть КИИ (критическая информационная инфраструктура – ред.). «Для большинства компаний это пока не «обязательный элемент», а скорее усилитель зрелой защиты. Когда базовая гигиена уже сделана, хочется раньше видеть злоумышленника и быстрее понимать его сценарий», — рассказывает Садыков.

Как правило, компании внедряют не одну и две «ханипот-ловушки», а целую их серию. Чаще всего ставят фейковый домен или AD (Active Directory — это служба каталогов от Microsoft для операционных систем Windows, по сути, центр управления всей сетью компании – ред.), а также сервер, который выглядит как важный. Также бывает, что компании создают подставные учетные записи администраторов, которые никто не использует. Если кто-то попытался в них войти, это сигнал атаки.

Часто также в компаниях есть ловушки в виде репозитория или папки с «секретами»-маячками, которые при использовании сразу дают сигнал в SOC. «Раньше бизнес тратил деньги на то, чтобы защититься извне, внедрял IPS (системы предотвращения вторжений – ред.), NGFW (межсетевые экраны нового поколения, т.е. ПО, которое умеет анализировать трафик организации – ред.), антивирусы. Сейчас бюджеты смещаются на то, чтобы быстро найти тех, кто «уже внутри» — речь не только про DDP, но и про ретроспективный анализ (это метод изучения уже накопленных данных или событий с целью выявления ранее неочевидных закономерностей или угроз – ред.), поиск индикаторов компрометации (это процесс выявления признаков, указывающих на возможную вредоносную активность в ИТ-инфраструктуре  — ред.)», — говорит Артем Бруданин.

Сегодня, по оценкам Олега Игуменова, уже 15-25% крупных российских компаний внедрили DDP-решения.

Клетка для хакеров

Все киберловушки работают примерно по одному принципу. Атакующий начинает их «щупать», и специалисты по кибербезопасности получают время, чтобы связать все эпизоды, изучить инструменты и выходные узлы преступников, говорит Садыков. Это позволяет быстрее среагировать на атаку, а также собрать материалы для передачи силовикам.

Преимуществом ловушек является то, что они почти никогда не срабатывают ложно. Если кто-то начинает с ними взаимодействовать, сразу становится понятно, что это преступник. Таким образом, специалистам по кибербезопасности проще проанализировать данные об атаках.

Нападающий, попав в ловушку, что-то запускает, что-то скачивает, куда-то подключается — и каждый его шаг фиксируется. Специалисты по кибербезопасности видят, какие команды он вводил, какие файлы и инструменты загрузил, что именно искал, куда направлялся дальше, в какое время и с каких адресов, рассказывает Ильдар Садыков.

Потом эти данные сшиваются с данными из сетевых журналов, SOC, EDR (технология для мониторинга, обнаружения и реагирования на угрозы на конечных устройствах – ред.). И специалисты выясняют, что за этими действиями стоял тот или иной хакер. Дальше можно изучать его движения в сети, привычки и любимые инструменты. Идентификация преступника происходит, если он совершает ошибку. Например, у него может не сработать VPN или прокси и всплыть реальный IP. Также хакер может повторно использовать одни и те же аккаунты, ключи, утилиты, параметры, имена файлов, поясняет Ильдар Садыков.

Помимо этого специалисты по кибербезопасности получают от попавших в ловушку хакеров эксплойты и данные о том, на какие уязвимости они нацелены, экземпляры вредоносного ПО и поведенческие паттерны, продолжает Владислав Шелепов. «Таким образом, из ловушки поступают IoC (индикаторы компрометации), которые в дальнейшем можно использовать для расследований или, например, для обогащения черных списков на средствах защиты информации (в эти списки вносятся данные о IP-адресах преступникам и закрывают им доступ – ред.)», — резюмирует эксперт.

В публичном поле данных об успешном использовании ловушек немного, специалисты по кибербезопасности признались SecPost, что стараются их не афишировать, чтобы не давать преступникам лишних данных об их работе.

Один из громких кейсов произошел в январе 2026 года, когда хакеры из группировки ShinyHunters, заявили, что взломали компанию, занимающуюся кибербезопасностью, Resecurity. Однако в компании сказали, что хакеры получили доступ лишь к специальной киберловушке и засветили в ней IP-адреса, связанные с Египтом.

Среди других подобных кейсов можно выделить нападение известного хакера IntelBroker на другую компанию по кибербезопасности Zscaler. Хакер также похвастался, что якобы взломал инфраструктуру компании и начал продавать учетные данные ее клиентов. В Zscaler провели расследование и сообщили, что преступник просто побывал в их изолированной ловушке.

Правда, чаще с помощью подобных ловушек фиксируют лишь массовую и автоматизированную активность, признают специалисты по кибербезопасности. «Это боты-сканеры, перебор паролей, попытки эксплуатации известных уязвимостей, автоматические загрузчики вредоносного ПО», — говорит Владислав Шелепов.

А вот APT-группировки (совершающие целенаправленные атаки – ред.) с помощью таких ловушек очень редко удается поймать, т.к. они работают иначе. Они выбирают конкретную цель, заранее изучают инфраструктуру и стараются не привлекать внимание. «Такие атакующие редко сканируют интернет вслепую и почти не взаимодействуют с приманками, которые не относятся к их задаче. Поэтому обычные ловушки с высокой вероятностью поймают ботнеты, но маловероятно, что с их помощью удастся напрямую идентифицировать продвинутую APT-группу», — заключает Шелепов.

Фейковые форумы и мессенджеры

Однако все же поймать APT-группировки возможно, но для этого создаются уникальные и сложные ловушки, заказчиками которых, как правило, являются уже силовики.

Самый яркий пример – «безопасный мессенджер» ANOM, который с 2018 года активно продвигался, как выяснилось позже, при поддержке ФБР. Мессенджер в итоге стал популярным у преступных группировок.

В мессенджер был внедрен бэкдор – скрытый механизм, позволяющий получить доступ к устройствам пользователей. В итоге сотрудники спецслужбы контролировали через мессенджер переписку наркокартелей. Эта операция, получившая название «Trojan Shield/AN0M», позволила арестовать более 800 наркоторговцев в 16 странах.

Силовики, как правило, не используют готовые киберловушки с рынка, все их разработки в данной сфере уникальны, говорят опрошенные SecPost специалисты по кибербезопасности.

«Силовые решения тут ориентированы на активную «оборону», им нужны результаты в виде идентификации злоумышленника, его ареста. Коммерческие же решения нацелены в большей степени на корпоративную защиту и пассивное «выявление» и блокировку», — поясняет независимый специалист по криптовалютным расследованиям Григорий Осипов.

Такие инструменты у силовиков были давно, но назывались они раньше иначе – «оперативные комбинации», говорят эксперты. Под ними понимались различные подставные ресурсы, подконтрольные площадки, рассказывает Ильдар Садыков. Именно там можно деанимизировать преступника – на площадках, контролируемых силовиками, они оставляли следы и дальше было уже делом техники довести все до ареста.

Среди наиболее популярных ловушек российских силовиков Олег Игуменов назвал фейковые форумы по продажам баз данных и вредоносного ПО. Полученные там логи преступников становятся частью уголовного дела как доказательство прямого умысла.

Опрошенные SecPost специалисты по кибербезопасности считают, что рынок киберловушек продолжит развиваться в России. Во время постоянных атак хакеров компаниям нужны данные об их поведении, иначе предугадать вектор нападения бывает попросту невозможно.