Для отрасли это означает рост операционных рисков: недоступность проектной документации, ERP, файловых хранилищ и подрядных контуров напрямую влияет на сроки работ, закупки, логистику и выполнение обязательств перед заказчиками.
Интерес вымогателей к строительству объясняется в первую очередь тем, как устроены сами проекты. Большинство крупных проектов строится вокруг распределенной инфраструктуры: центральный офис, временные площадки, проектные группы, подрядчики, поставщики оборудования, службы эксплуатации и внешние ИТ-команды работают в едином цифровом контуре. В этом контуре одновременно используются ERP, BIM-системы, файловые хранилища, удаленные рабочие места, сервисы согласования, системы управления закупками и площадочные средства контроля. Чем больше участников подключено к проекту, тем сложнее обеспечить единые требования к доступам, журналированию, сегментации и обновлению уязвимых компонентов: в итоге часть контура почти неизбежно оказывается менее защищенной, чем остальная инфраструктура .
Для вымогателей такая среда удобна тем, что вход в инфраструктуру редко требует сложных техник, ориентированных на промышленное оборудование. В большинстве случаев достаточно получить действующую учетную запись, воспользоваться уязвимостью на периметре или зайти через удаленное администрирование. После этого злоумышленники перемещаются по сети с помощью легитимных инструментов, которые применяются администраторами и подрядчиками: RDP, SMB, PsExec, WinRM, WMI, SSH, VPN-клиентов и панелей управления виртуализацией. На этапе шифрования под удар попадают не только пользовательские файлы, но и серверы, виртуальные машины, резервные копии, файловые ресурсы с проектной документацией, базы ERP и сметные системы, то есть именно те площадки, от которых зависит продолжение работ.
По оценке «Информзащиты», в 2026 году 36% атак на строительные компании начинались с компрометации учетных данных, включая пароли из логов инфостилеров, повторное использование паролей и доступы подрядчиков. На уязвимости VPN, межсетевых экранов, шлюзов и других пограничных устройств пришлось 24% инцидентов. Еще 17% атак развивались через внутреннее боковое перемещение с использованием инструментов удаленного администрирования. Эксплуатация MFT-серверов, публичных FTP и файловых обменников составила 11%, компрометация подрядчиков и поставщиков – 8%, фишинг с вредоносными вложениями и ссылками – 4%. Такая структура показывает, что основной риск формируется не одним каналом проникновения, а сочетанием слабого контроля доступов, незащищенного периметра и недостаточной видимости внутри инфраструктуры: вымогатели используют ту точку входа, где сопротивление в конкретной компании минимально.
Отдельной зоной риска для строительства становится виртуализация. В строительных компаниях на виртуальных платформах часто размещаются системы проектного документооборота, BIM-модели, ERP, складские сервисы, базы подрядчиков, видеонаблюдение, системы контроля доступа на площадки и инженерный мониторинг. Компрометация гипервизора или панели управления виртуализацией фактически приводит к одновременному отказу нескольких ключевых бизнес-сервисов. В 2026 году в 29% ransomware-инцидентов в строительстве затрагивались виртуальные серверы, в 21% – файловые хранилища с проектной, сметной и исполнительной документацией, в 16% – системы удаленного доступа, в 14% – ERP и закупочные платформы, в 9% – площадочные системы контроля и инженерного мониторинга. Остальные случаи были связаны с почтовой инфраструктурой, рабочими станциями сотрудников и средами подрядчиков.
Отраслевой разрез показывает, что строительство находится в зоне повышенного внимания вымогателей внутри производственного сектора. В структуре атак на производственный сектор на строительные и инжиниринговые организации приходится 23,3% инцидентов. Далее идут производители оборудования и пищевая промышленность – по 13,6%, компании потребительского сектора – 7,8%, автомобильная отрасль – 7,3%, электроника – 6,2%, химическая промышленность – 4,8%, медицинское производство – 3,2%, металлургия – 3%, упаковка и текстильная промышленность – по 2,7%, фармацевтика – 2,3%, производство пластика – 2,1%, полупроводники – 2%, аэрокосмический сектор – 1,6%, стекольное производство – 1,1%, оборонная промышленность – 0,9%, бумажная промышленность и переработка отходов – по 0,8%.
Отдельный фактор риска для строительных компаний – высокая зависимость от внешних контрагентов. Инжиниринговые организации, поставщики оборудования, интеграторы, проектные бюро и сервисные подрядчики часто хранят документацию, конфигурационные файлы, учетные данные, схемы подключений и доступы к нескольким площадкам. Компрометация такого контрагента дает злоумышленникам не только техническую точку входа, но и материал для вымогательства: договоры, сметы, графики работ, проектные решения, переписку с заказчиками и коммерческие условия. В результате давление на жертву строится не только вокруг самого факта шифрования, но и вокруг риска раскрытия данных, срыва сроков и претензий со стороны участников проекта.
Строительным компаниям необходимо инвентаризировать все каналы удаленного подключения, включая VPN, RDP, подрядные туннели, MFT, FTP, облачные панели и административные интерфейсы. Доступы подрядчиков должны выдаваться на ограниченный срок, с MFA, журналированием действий и отдельными правами для каждого пользователя. Учетные записи с административными привилегиями следует отделить от повседневной работы, а повторное использование паролей между корпоративными, подрядными и облачными сервисами исключить техническими средствами.
Не менее значимы сегментация, контроль виртуализации и регулярная проверка восстановления. Гипервизоры, vCenter, резервные копии, серверы проектной документации и ERP должны рассматриваться как активы, влияющие на непрерывность строительного проекта. Для них нужны отдельные политики доступа, мониторинг административных действий, изолированные резервные копии и регулярные тесты восстановления. Уязвимости на периметре необходимо приоритизировать не только по формальной оценке CVSS, но и по фактической доступности системы из интернета, наличию публичного эксплойта и роли сервиса в бизнес-процессе. Дополнительно компаниям стоит проводить учения по сценарию ransomware с участием ИТ, ИБ, юридического блока, проектного офиса и руководителей строительных площадок, с разбором именно «строительных» последствий, а не только технического аспекта. Для строительной отрасли скорость реакции напрямую связана с операционными потерями: чем быстрее изолирован доступ, восстановлены ключевые сервисы и подтверждена целостность документации, тем меньше атаки отражаются на сроках, неустойках и экономике проекта.