«Информзащита»: количество BYOVD-атак выросло почти втрое за два года

Эксперты компании «Информзащита» выявили устойчивый рост числа атак, использующих технику Bring Your Own Vulnerable Driver (BYOVD), которая за последние два года превратилась из редкого инструмента продвинутых группировок в массовый элемент арсенала операторов программ-вымогателей. По оценкам аналитиков компании, в начале 2026 г. доля инцидентов с применением уязвимых легитимных драйверов уже достигла 29% всех расследованных атак с использованием ransomware-инструментария, тогда как в 2024 г. этот показатель не превышал 10%. Рост почти втрое объясняется не только технологической эффективностью метода, но и его доступностью для менее квалифицированных атакующих. Параллельно фиксируется снижение эффективности традиционных средств защиты конечных точек: в ряде расследований по данным анализируемых «Информзащитой» инцидентов, уровень обнаружения вредоносной активности на ранних этапах атаки снизился примерно на 16% год к году

Статистика выглядит особенно показательной, если учитывать происхождение самой техники. Еще несколько лет назад BYOVD считалась инструментом узкого круга атакующих, близких по уровню подготовки к группам класса APT. Ситуация изменилась после серии операций ransomware-группы Akira в начале 2024 г. Тогда злоумышленники начали активно использовать легитимные подписанные драйверы, чтобы отключать системы обнаружения и реагирования на конечных точках. Получив привилегии уровня ядра Windows, атакующие фактически выводили из строя EDR-агенты до запуска основного вредоносного кода.

Корневая причина устойчивости этой техники связана с особенностями экосистемы драйверов Windows. За последние годы Microsoft ужесточила требования к подписанию новых драйверов: производителям требуется использовать сертификаты расширенной проверки и проходить тестирование через Hardware Lab Kit. Но эти требования не распространяются на драйверы, подписанные ранее. В результате старые версии, выпущенные много лет назад, по-прежнему считаются доверенными системой и могут загружаться в пространство ядра без дополнительных проверок. Для атакующих это означает существование огромного пула «доверенных, но уязвимых» компонентов, которые можно легально загрузить и использовать для отключения средств защиты. Парадокс заключается в том, что усиление требований к новым драйверам фактически увеличивает ценность старых уязвимых версий, которые остаются рабочим инструментом для злоумышленников.

Отраслевой анализ инцидентов показывает, что активнее всего BYOVD-атаки фиксируются в секторах, где широко применяются сложные инфраструктуры конечных устройств и развитые системы удаленного доступа. На финансовый сектор приходится около 26% выявленных инцидентов, что объясняется высоким уровнем автоматизации и ценностью данных. Производственные предприятия занимают второе место – 21%, где уязвимость усиливается использованием специализированного программного обеспечения и устаревших драйверов оборудования. Ритейл и электронная коммерция формируют около 18% атак, преимущественно из-за большого числа POS-систем и распределенной инфраструктуры. На телекоммуникационные компании приходится около 14% инцидентов, тогда как государственный сектор и критическая инфраструктура суммарно занимают примерно 11%. Оставшаяся доля распределяется между логистикой, энергетикой и медицинскими организациями.

«С точки зрения операционной системы они выглядят доверенными компонентами. Это позволяет атакующим отключать средства защиты буквально за секунды. Инструменты для BYOVD постепенно автоматизируются – от поиска уязвимых драйверов до их интеграции в цепочку атаки. Если этот процесс продолжится, к концу 2026 г. техника станет стандартом для большинства программ-вымогателей среднего уровня», – сказал Анатолий Песковский, руководитель направления анализа защищенности «Информзащиты».

Аналитики «Информзащиты» считают, что снижение рисков возможно только при комплексном пересмотре архитектуры защиты конечных точек. Компании постепенно переходят от традиционных моделей доверия к драйверам к более строгим механизмам контроля загрузки компонентов ядра, включая блокировку известных уязвимых драйверов, применение списков разрешенных драйверов и постоянный мониторинг активности на уровне ядра операционной системы. Отдельное внимание уделяется управлению обновлениями и аудитам стороннего программного обеспечения, поскольку устаревшие драйверы оборудования часто остаются в инфраструктуре годами. Важным элементом защиты становится и анализ поведения процессов, способный выявлять попытки отключения EDR-агентов до начала шифрования данных.

По прогнозу экспертов компании, в течение 2026 г. распространенность BYOVD-атак продолжит расти. Если в 2025 г. техника использовалась преимущественно крупными группировками ransomware, то уже сейчас она становится обычным инструментом для партнерских программ и малых преступных групп. Дополнительный импульс росту могут дать автоматизированные инструменты поиска уязвимых драйверов и интеграция таких механизмов в типовые наборы вредоносного ПО. В результате BYOVD постепенно превращается в один из ключевых вызовов для архитектуры защиты конечных точек – и, по оценке аналитиков, останется в центре внимания специалистов по кибербезопасности как минимум в течение ближайших нескольких лет.