В первом полугодии 2025 года более 75% всех запросов к whois-сервису «Руцентра» были направлены на домены, принадлежащие российским юридическим лицам. Такие данные приводит компания в своём исследовании. Эксперты предупреждают: столь высокий интерес к корпоративным доменам связан не только с конкурентной разведкой, но и с ростом киберугроз — от фишинга до компрометации почтовых систем и кражи конфиденциальных данных.
Общий объём обращений к сервису превысил 51,8 млн, из которых 39 млн пришлись на домены компаний. Как подчёркивается в отчёте, на один корпоративный домен приходится в два раза больше запросов, чем на частные. При этом количество уникальных IP-адресов, с которых выполнялись проверки, составило всего 3,2 млн. Из них только 3% — из России. Основной поток поступает из-за рубежа, прежде всего из США (30%).
Служба информационной безопасности «Руцентра» классифицировала порядка 15 тыс. адресов в квартал как потенциально опасные. Внутри этой группы 65% ассоциированы с инструментами анонимизации, 30% связаны с вирусной активностью, а оставшиеся 5% — с инфраструктурой ботнетов, спам-сетей и известных хакерских групп.
Как отметил директор по информационной безопасности «Руцентра» Сергей Журило, наибольшую угрозу представляет компрометация аккаунтов администраторов.
По его словам, завладев данными учётной записи, злоумышленники получают доступ не только к управлению доменом, но и к корпоративной почте. Это открывает путь к утечкам информации о клиентах и бизнес-процессах. Механизмы получения доступа разнообразны — от классических взломов почтового ящика до продвинутых сценариев социальной инженерии.
Особую тревогу вызывает сбор информации, проводимый системно и массово. Директор по продуктам компании Servicepipe Михаил Хлебунов пояснил, что в рамках подобного мониторинга анализируются не только базовые параметры — IP-адреса и DNS, но и связанные с доменами e-mail-адреса, номера ASN, телефонные контакты и CIDR-диапазоны. Такая глубина анализа, по его мнению, говорит не о работе маркетологов или аудиторов, а о подготовке к атакам.
Михаил Хлебунов уточнил, что конкурентная разведка редко носит массовый характер и обычно ориентирована на конкретные компании. Текущая интенсивность наблюдения, как следует из отчёта, имеет признаки централизованной активности, характерной для киберпреступных структур.
Аналитики компании «Спикател» пришли к выводу, что лишь 60–65% операций с whois-данными можно отнести к законным: они охватывают маркетинговые исследования, оценку надёжности контрагентов, аудит и контроль инфраструктуры. Остальные 35% связаны с подготовкой атак, киберсквоттингом, рассылками фишинговых писем и попытками уязвить сеть на этапе сбора данных.