Этот подход не только проще и дешевле, но и весьма действивен— атаки с использованием украденных паролей всё чаще проходят мимо средств обнаружения.
Securitylab приводитрезультаты 6 месяцев расследования десятков случаев в разных отраслях — от промышленности до финансов и телесвязи. Анализ этих случаев показал повторяющуюся схему: злоумышленники получают доступ, используя похищенные или купленные учётные данные, подключаются через VPN, а затем двигаются по сети с помощью инструментов удалённого администрирования вроде AnyDesk, Atera, Splashtop и ScreenConnect. Такая стратегия позволяет им маскировать активность под обычную работу системных администраторов и избегать подозрений.
FortiGuard за тот же период подтверждает эти выводы: тенденции утечек паролей, фиксируемые в открытых источниках, совпадают с теми, что выявляются при расследованиях внутри компаний. По сути, злоумышленникам не приходится «взламывать» системы в привычном понимании — они просто входят под чужим логином, часто полученным в результате фишинга или с помощью инфостилеров, продающихся на подпольных площадках.
В одной из проанализированных атак злоумышленники воспользовались действительными учётными данными, чтобы подключиться к корпоративному VPN без многофакторной аутентификации, после чего извлекли из браузера скомпрометированного пользователя сохранённые пароли к гипервизору и зашифровали виртуальные машины. В другом случае оператор получил доступ через похищенную учётную запись администратора домена и массово установил AnyDesk по всей сети, используя RDP и групповые политики, что позволило ему перемещаться между системами и дольше оставаться незамеченным. Были и эпизоды, когда злоумышленники эксплуатировали старую уязвимость во внешнем сервере, внедряли несколько инструментов удалённого управления и создавали фиктивные сервисные учётные записи для скрытого перемещения и последующего выноса документов.
Анализ показал, что кража паролей остаётся одной из самых дешёвых и доступных стратегий. Стоимость доступа напрямую зависит от размера и географии компании: если для организаций с оборотом более миллиарда долларов в развитых странах она может достигать 20 тысяч долларов, то для небольших фирм в развивающихся регионах — всего сотни. Массовые инфостилер-кампании обеспечивают устойчивый поток свежих данных, а низкий порог входа делает такие атаки привлекательными даже для слабо подготовленных групп.
Главное преимущество этой схемы — скрытность. Поведение злоумышленников неотличимо от действий реальных сотрудников, особенно если они подключаются в привычные часы и к тем же системам. Средства защиты, ориентированные на поиск вредоносных файлов и подозрительных процессов, часто не способны заметить аномалии, когда атака сводится к обычным операциям входа в систему и перемещения по сети. Более того, при ручной краже данных через интерфейсы RDP или встроенные возможности RMM трудно отследить, какие файлы были перенесены, поскольку такие действия не оставляют явных сетевых артефактов.
По наблюдениям FortiGuard, в подобных кампаниях злоумышленники по-прежнему активно применяют Mimikatz и его модификации для извлечения паролей из памяти, а также продолжают использовать эксплойт Zerologon для повышения привилегий. Иногда встречается и ручное применение утилит вроде GMER, переименованных под видом системных инструментов, для маскировки следов присутствия.