19/02/25
Учетные данные, сессии VPN, электронная почта и даже доступ к закрытым системам закупок теперь находятся в руках киберпреступников.
Для попадания инфостилера на компьютер достаточно одного случайного скачивания зараженного файла — модификации для игры, взломанной программы или троянизированного PDF-документа. После установки вредоносное ПО собирает всё: от паролей до истории браузера и файлов с рабочего компьютера. А затем данные продаются в даркнете. Средняя цена за полный доступ к рабочему компьютеру сотрудника военного подрядчика с конфиденциальными данными — всего $10.
Такой тип атак оказался крайне эффективным. По данным Hudson Rock, за последние несколько лет более 30 миллионов компьютеров были заражены, передаёт Securitylab. Из них около 20% содержали корпоративные учетные записи, в том числе от компаний, работающих с национальной безопасностью США.
Особую опасность представляют активные сессионные куки, которые позволяют преступникам мгновенно войти в защищенные системы без необходимости вводить логины и пароли. Даже многофакторная аутентификация (MFA) не спасает, если злоумышленник получает доступ к действующей сессии пользователя.
Пример Honeywell показывает масштаб проблемы. С 2024 года у 398 сотрудников компании было украдено 56 корпоративных учетных записей, включая доступ к внутренним системам SAP, Bitbucket, SharePoint. Кроме того, утекли логины к сторонним сервисам: Microsoft, Cisco и SAP. Под угрозой оказалась не только сама Honeywell, но и партнеры компании, Anduril, SpaceX и Palantir, поскольку через цепочку поставок можно проникнуть в их инфраструктуру.
Но настоящая угроза выходит далеко за рамки частных предприятий. Среди пострадавших — военнослужащие ВМС США, чей доступ к системам Citrix, OWA, Confluence и даже военным тренировочным платформам попал в руки злоумышленников. Это открывает двери для атак на критически важные военные объекты. Специалисты отмечают, что, если такие данные попадут к враждебным странам, полученную информацию можно использовать для глубокого проникновения в военную инфраструктуру.
Основные меры защиты включают:
- Запрет использования личных устройств для работы — многие заражения происходят именно через компьютеры, используемые как для личных, так и для рабочих задач;
- Жёсткая политика загрузки ПО — использование только лицензированного программного обеспечения;
- Многоуровневая аутентификация с постоянным мониторингом сессий — если украдены сессионные куки, их необходимо оперативно аннулировать ;
- Постоянное отслеживание утечек в даркнете — компании должны мониторить утечки данных своих сотрудников.
