24/04/25
Впервые за всю историю наблюдений, по данным отчёта M-Trends 2025, именно скомпрометированные логины стали второй по популярности точкой входа для злоумышленников.
Если раньше фишинг был одной из главных угроз благодаря своей массовости, то теперь на первый план выходит более тихий и эффективный подход — использование уже похищенных данных.
Представитель Mandiant подчеркнул, что существует целая киберпреступная индустрия, построенная на продаже и эксплуатации украденных учётных данных, передаёт Securitylab. Преступники массово скупают их на теневых форумах, извлекают из утечек или получают с помощью инфостилеров — вредоносных программ, считывающих логины, пароли, cookie-файлы и другие чувствительные данные.
Только за 2024 год Mandiant зафиксировала 16% всех взломов, начавшихся именно с применения похищенных логинов. Для сравнения: в 2023 году этот показатель составлял 10%, а фишинг уже третий год подряд демонстрирует спад — 14% против 22% в 2022 году. Отчёт также показал: 55% всех зафиксированных атак в 2024 году имели финансовую мотивацию. Количество атак, связанных с кибер шпионажем, снизилось до 8%, что говорит о смещении фокуса в сторону вымогательства, кражи данных и торговли доступами.
Основные цели — компании финансового сектора (17,4%), бизнес-услуги (11,1%), высокие технологии (10,6%), государственные организации (9,5%) и здравоохранение (9,3%). Самым частым вектором проникновения остаются уязвимости, однако в облачных средах картина иная — там лидируют фишинг (39%) и похищенные учётные данные (35%).
Например, при атаках программ-вымогателей наиболее распространённым способом проникновения остаются брутфорс-атаки — 26% случаев. Далее следуют те же похищенные данные — 21%. Используются такие методы, как подбор паролей к удалённому рабочему столу, повторное использование стандартных учётных записей для VPN и массовые попытки входа в корпоративные сервисы.
Подтверждением актуальности такой тактики служит и громкое дело с утечками у клиентов Snowflake. Группа UNC5537 использовала сотни логинов, украденных с помощью популярных инфостилеров, включая VIDAR, REDLINE, RACCOON и другие. Многие из краж происходили ещё в 2020 году, но до сих пор использовались, поскольку компании не меняли пароли годами.
При этом важным нюансом оказалось то, что многие похищенные логины происходили с личных устройств подрядчиков и сотрудников, где отсутствовала корпоративная защита, мониторинг и антивирусные меры. В отчёте подчёркивается, что синхронизация браузеров между рабочими и домашними компьютерами часто переносит корпоративные логины на уязвимые системы.
Также упоминается группировка Triplestrength, использующая данные из логов RACCOON для проникновения в облачные аккаунты Google Cloud, AWS и Linode. Эта же группа не только проводит атаки, но и продаёт доступ к уже скомпрометированным серверам другим злоумышленникам.
Особого внимания заслуживает показатель времени нахождения злоумышленников в системе — так называемый dwell time. В 2024 году медианное значение увеличилось до 11 дней (в 2023 году было 10). Если организацию предупреждали внешние источники, злоумышленники оставались внутри в среднем 26 дней. При уведомлении самих атакующих — обычно в случаях с вымогателями — время снижалось до 5 дней. Если компания выявляла инцидент самостоятельно, речь шла о 10 днях.
Mandiant также уделяет внимание операциям, в которых участвуют граждане КНДР, выдающие себя за удалённых IT-специалистов для получения валюты в интересах государства. В отчёте зафиксировано усиление активности иранских хакеров , ориентированных на израильские цели, и всё более частые атаки на облачные системы централизованной авторизации — например, на SSO-порталы. Возрос интерес и к Web3: криптовалюты, блокчейны и DeFi-платформы становятся удобной средой для краж, отмывания денег и финансирования преступных операций.
Авторы доклада выделяют рекомендации, подходящие организациям любой отрасли. Среди них:
- внедрение принципов минимальных привилегий;
- регулярное управление уязвимостями;
- двухфакторная аутентификация;
- активный мониторинг;
- Threat Hunting;
- аудит облачных сред.
Отдельно подчёркивается необходимость строгой политики доступа и проверки удалённых сотрудников, что становится особенно актуально в контексте скрытых атак с участием внешних подрядчиков.
