Специалисты Barracuda в свежем отчете Managed XDR о глобальных угрозах фактически назвали брандмауэр главной точкой входа для вымогателей. По их оценке, если в сети есть устройство, которое нужно защитить в первую очередь, то это именно firewall: почти все цепочки атак с шифровальщиками начинаются с его компрометации.
Исследование опирается на массив телеметрии Barracuda Managed XDR за 2025 год. В выборку вошло свыше двух триллионов ИТ-событий и порядка 600 тысяч предупреждений безопасности. На основании этих данных аналитики пришли к выводу, что 90% инцидентов с программами-вымогателями в 2025 году были связаны с брандмауэрами. Сценариев два: либо злоумышленники использовали уязвимость, либо входили через уже взломанную учетную запись.
Отдельно подчеркивается, что атакующие нередко выбирают «простые цели». Каждая десятая выявленная уязвимость уже имеет публично известный эксплойт, то есть во многих случаях речь идет о банальном использовании давно подготовленных инструментов. Самый неприятный момент в том, что наиболее часто встречающейся проблеме, по данным отчета, уже 13 лет. Уязвимость CVE-2013-2566, обнаруженная в 2013 году, связана с устаревшим алгоритмом шифрования и обычно всплывает в старых системах: на возрастных серверах, встроенных устройствах и в устаревших приложениях. Вывод очевиден: такие «дыры» нужно закрывать немедленно.
Barracuda не одинока в своих предупреждениях. Sophos ранее также отмечала рост вторжений через периферийные сетевые устройства, включая маршрутизаторы, VPN и брандмауэры: на них приходится почти 30% первичных взломов, зафиксированных в ежегодном отчете компании об угрозах.
Параллельно отчет Searchlight Ransomware за 2025 год указывает на рекордное число активных групп вымогателей и на то, что количество жертв удвоилось по сравнению с 2024 годом. На практике это подтверждают и конкретные кейсы: в конце 2025-го сообщалось об уязвимости нескольких поколений брандмауэров SonicWall с поддержкой SSL-VPN, которыми, как отмечалось, интересовалась группировка Akira. Публичных списков пострадавших почти нет, но в рекомендациях по безопасности фигурируют десятки организаций, а также эпизоды, где были скомпрометированы более 100 SSL-VPN-аккаунтов примерно в 16 клиентских средах и использованы для дальнейших действий злоумышленников (фото: techradar.com).
