Без шума, без писем, без следов: украденный логин работает тише любого трояна

Кража учётных данных обошла фишинг по электронной почте в списке самых распространённых векторов начального проникновения за 2024 год. Впервые за всю историю наблюдений, по данным отчёта M-Trends 2025 , именно скомпрометированные логины стали второй по популярности точкой входа для злоумышленников.

Если раньше фишинг был одной из главных угроз благодаря своей массовости, то теперь на первый план выходит более тихий и эффективный подход — использование уже похищенных логинов. Представитель Mandiant подчеркнул, что существует целая киберпреступная индустрия, построенная на продаже и эксплуатации украденных учётных данных. Преступники массово скупают их на теневых форумах, извлекают из утечек или получают с помощью инфостилеров — вредоносных программ, считывающих логины, пароли, cookie-файлы и другие чувствительные данные.

Только за 2024 год Mandiant зафиксировала 16% всех взломов, начавшихся именно с применения похищенных логинов. Для сравнения: в 2023 году этот показатель составлял 10%, а фишинг уже третий год подряд демонстрирует спад — 14% против 22% в 2022 году. Отчёт также показал: 55% всех зафиксированных атак в 2024 году имели финансовую мотивацию. Количество атак, связанных с кибер шпионажем , снизилось до 8%, что говорит о смещении фокуса в сторону вымогательства, кражи данных и торговли доступами.

Основные цели — компании финансового сектора (17,4%), бизнес-услуги (11,1%), высокие технологии (10,6%), государственные организации (9,5%) и здравоохранение (9,3%). Самым частым вектором проникновения остаются уязвимости, однако в облачных средах картина иная — там лидируют фишинг (39%) и похищенные учётные данные (35%).

Например, при атаках программ-вымогателей наиболее распространённым способом проникновения остаются брутфорс-атаки — 26% случаев. Далее следуют те же похищенные данные — 21%. Используются такие методы, как подбор паролей к удалённому рабочему столу, повторное использование стандартных учётных записей для VPN и массовые попытки входа в корпоративные сервисы.

Подтверждением актуальности такой тактики служит и громкое дело с утечками у клиентов Snowflake. Группа UNC5537 использовала сотни логинов, украденных с помощью популярных инфостилеров, включая VIDAR, REDLINE, RACCOON и другие. Многие из краж происходили ещё в 2020 году, но до сих пор использовались, поскольку компании не меняли пароли годами.

При этом важным нюансом оказалось то, что многие похищенные логины происходили с личных устройств подрядчиков и сотрудников, где отсутствовала корпоративная защита, мониторинг и антивирусные меры. В отчёте подчёркивается, что синхронизация браузеров между рабочими и домашними компьютерами часто переносит корпоративные логины на уязвимые системы.

Также упоминается группировка Triplestrength, использующая данные из логов RACCOON для проникновения в облачные аккаунты Google Cloud, AWS и Linode. Эта же группа не только проводит атаки, но и продаёт доступ к уже скомпрометированным серверам другим злоумышленникам.

Особого внимания заслуживает показатель времени нахождения злоумышленников в системе — так называемый dwell time. В 2024 году медианное значение увеличилось до 11 дней (в 2023 году было 10). Если организацию предупреждали внешние источники, злоумышленники оставались внутри в среднем 26 дней. При уведомлении самих атакующих — обычно в случаях с вымогателями — время снижалось до 5 дней. Если компания выявляла инцидент самостоятельно, речь шла о 10 днях.

Mandiant также уделяет внимание операциям, в которых участвуют граждане КНДР, выдающие себя за удалённых IT-специалистов для получения валюты в интересах государства. В отчёте зафиксировано усиление активности иранских хакеров , ориентированных на израильские цели, и всё более частые атаки на облачные системы централизованной авторизации — например, на SSO-порталы. Возрос интерес и к Web3: криптовалюты, блокчейны и DeFi-платформы становятся удобной средой для краж, отмывания денег и финансирования преступных операций.

Авторы доклада выделяют рекомендации, подходящие организациям любой отрасли. Среди них:

• внедрение принципов минимальных привилегий;
• регулярное управление уязвимостями;
• двухфакторная аутентификация;
• активный мониторинг;
• Threat Hunting;
• аудит облачных сред.

Отдельно подчёркивается необходимость строгой политики доступа и проверки удалённых сотрудников, что становится особенно актуально в контексте скрытых атак с участием внешних подрядчиков.