По оценкам аналитиков компании, в начале 2026 года доля инцидентов с применением уязвимых легитимных драйверов уже достигла 29% всех расследованных атак с использованием ransomware-инструментария, тогда как в 2024 году этот показатель не превышал 10%. Рост почти втрое объясняется не только технологической эффективностью метода, но и его доступностью для менее квалифицированных атакующих. Параллельно фиксируется снижение эффективности традиционных средств защиты конечных точек: в ряде расследований по данным анализируемых нами инцидентов, уровень обнаружения вредоносной активности на ранних этапах атаки снизился примерно на 16% год к году.
Статистика выглядит особенно показательной, если учитывать происхождение самой техники. Еще несколько лет назад BYOVD считалась инструментом узкого круга атакующих, близких по уровню подготовки к группам класса APT. Ситуация изменилась после серии операций ransomware-группы Akira в начале 2024 года. Тогда злоумышленники начали активно использовать легитимные подписанные драйверы, чтобы отключать системы обнаружения и реагирования на конечных точках. Получив привилегии уровня ядра Windows, атакующие фактически выводили из строя EDR-агенты до запуска основного вредоносного кода.
Корневая причина устойчивости этой техники связана с особенностями экосистемы драйверов Windows. За последние годы Microsoft ужесточила требования к подписанию новых драйверов: производителям требуется использовать сертификаты расширенной проверки и проходить тестирование через Hardware Lab Kit. Но эти требования не распространяются на драйверы, подписанные ранее. В результате старые версии, выпущенные много лет назад, по-прежнему считаются доверенными системой и могут загружаться в пространство ядра без дополнительных проверок. Для атакующих это означает существование огромного пула «доверенных, но уязвимых» компонентов, которые можно легально загрузить и использовать для отключения средств защиты. Парадокс заключается в том, что усиление требований к новым драйверам фактически увеличивает ценность старых уязвимых версий, которые остаются рабочим инструментом для злоумышленников.
Отраслевой анализ инцидентов показывает, что активнее всего BYOVD-атаки фиксируются в секторах, где широко применяются сложные инфраструктуры конечных устройств и развитые системы удаленного доступа. На финансовый сектор приходится около 26% выявленных инцидентов, что объясняется высоким уровнем автоматизации и ценностью данных. Производственные предприятия занимают второе место – 21%, где уязвимость усиливается использованием специализированного программного обеспечения и устаревших драйверов оборудования. Ритейл и электронная коммерция формируют около 18% атак, преимущественно из-за большого числа POS-систем и распределенной инфраструктуры. На телекоммуникационные компании приходится около 14% инцидентов, тогда как государственный сектор и критическая инфраструктура суммарно занимают примерно 11%. Оставшаяся доля распределяется между логистикой, энергетикой и медицинскими организациями.
«С точки зрения операционной системы они выглядят доверенными компонентами. Это позволяет атакующим отключать средства защиты буквально за секунды. Инструменты для BYOVD постепенно автоматизируются – от поиска уязвимых драйверов до их интеграции в цепочку атаки. Если этот процесс продолжится, к концу 2026 года техника станет стандартом для большинства программ-вымогателей среднего уровня», — объясняет Анатолий Песковский, руководитель направления анализа защищенности.
Аналитики «Информзащиты» считают, что снижение рисков возможно только при комплексном пересмотре архитектуры защиты конечных точек. Компании постепенно переходят от традиционных моделей доверия к драйверам к более строгим механизмам контроля загрузки компонентов ядра, включая блокировку известных уязвимых драйверов, применение списков разрешенных драйверов и постоянный мониторинг активности на уровне ядра операционной системы. Отдельное внимание уделяется управлению обновлениями и аудитам стороннего программного обеспечения, поскольку устаревшие драйверы оборудования часто остаются в инфраструктуре годами. Важным элементом защиты становится и анализ поведения процессов, способный выявлять попытки отключения EDR-агентов до начала шифрования данных.
По прогнозу экспертов компании, в течение 2026 года распространенность BYOVD-атак продолжит расти. Если в 2025 году техника использовалась преимущественно крупными группировками ransomware, то уже сейчас она становится обычным инструментом для партнерских программ и малых преступных групп. Дополнительный импульс росту могут дать автоматизированные инструменты поиска уязвимых драйверов и интеграция таких механизмов в типовые наборы вредоносного ПО. В результате BYOVD постепенно превращается в один из ключевых вызовов для архитектуры защиты конечных точек – и, по оценке аналитиков, останется в центре внимания специалистов по кибербезопасности как минимум в течение ближайших нескольких лет.