12 февраля 2026 г.

Тимур Зиннятуллин

В 2025 году эксперты Angara MTDR провели исследование, построенное на результатах работы направления реагирования (DFIRMA). В первой части статьи мы уже поделились частью ключевых мыслей из отчета, здесь продолжим говорить о значимых цифрах и рекомендациях, сформированных по итогам реальных инцидентов.

Ключ от квартиры — под ковриком: уязвимости периметра и человеческий фактор

Каким образом злоумышленники проникают в инфраструктуру организаций? В ходе анализа внешнего периметра компаний с целью оценки потенциальных векторов атак исследователи Angara MTDR выявили тревожные закономерности:

  • 67% компаний использовали сервисы с устаревшими версиями ПО, содержащими потенциальные уязвимости.
  • У 63% компаний на внешнем периметре выявлены критически важные веб-ресурсы с небезопасным соединением и с веб-сервисами, предназначенными для внутреннего использования.
  • В 52% случаев были обнаружены упоминания компаний в мошеннических схемах на форумах в даркнете и в закрытых Telegram-группах.

Пользователи по-прежнему активно используют корпоративные учетные данные для регистрации на сторонних ресурсах, и эта тенденция сохраняется последние годы. У 67% компаний были зафиксированы случаи компрометации корпоративных учетных записей, причем в 4% из них была обнаружена связка логин/пароль, которую можно было напрямую использовать для подбора доступа к корпоративным сервисам. Нередко подобные компрометации происходят, если сотрудники используют одинаковые пароли и почты для рабочих и личных сервисов.

Чаще всего сотрудники компаний используют корпоративную почту для регистрации в сервисах розничной торговли — 45%. Следом располагаются сервисы финансовых услуг (29%), замыкают тройку лидеров образовательные сервисы (13%). Чем это опасно? Создаются потенциальные точки входа для злоумышленников: сторонние сайты часто недостаточно защищены, а работники могут использовать корпоративные пароли при регистрации на них. Таким образом, хакеры могут подставить скомпрометированные логины и пароли в формы авторизации на корпоративных сервисах и получить доступ в инфраструктуру организации.

Еще одна опасность для компаний — утечки инсайдерской информации. В среднем на одну компанию приходится 6 упоминаний, связанных с поиском инсайдеров, а также с деятельностью по покупке или продаже баз данных. Наибольшая доля упоминаний компаний (67%) связана с поиском сотрудников для дальнейшего использования их в атаках. Упоминания, относящиеся к продаже баз данных компаний, составляют 26% от общего числа. Доля упоминаний, касающихся поиска источников сбыта баз данных, составляет 7%.

Еще один источник данных о компаниях — репозитории ПО. Около 12% репозиториев с упоминаниями конкретных компаний содержат инструменты, которые могут использоваться злоумышленниками для проведения атак. На каждую компанию приходится 2 уникальных репозитория с таким функционалом.

Злоумышленники активно разрабатывают новые инструменты разведки на основе скомпрометированных персональных данных. Такие сервисы используют базы из утечек последнего времени, а поиск людей в них возможен по многим параметрам, включая ФИО, дату рождения, телефон и привязку к Telegram-аккаунту. Функционал регулярно расширяется, а также пополняются базы сообщений из открытых чатов Telegram. Подобные сервисы используются злоумышленниками для анализа скомпрометированных данных и подготовки точечных фишинговых атак.

Векторы первоначального доступа: учетные данные выходят на первый план

По оценкам исследователей Angara MTDR, в тех случаях, когда вектор первичного проникновения был достоверно определен, злоумышленники использовали скомпрометированные учетные записи в 33%. Пароли в большинстве случаев были получены тривиальным подбором в таких сервисах и протоколах удаленного доступа, как RDP, SSH или VNC.

Немалую роль в 2025 году сыграли утечки данных и активное распространение такого вредоносного ПО, как стилеры, что в разы облегчило злоумышленникам доступ посредством VPN.

При этом взлом через доверительные отношения (13%) «обогнал» традиционного лидера — получение первичного доступа через фишинг (8%). Взлом подрядчиков стал популярным не столько по причине уже настроенных сетевых доступов, сколько из-за «легкости» получения учетных данных для доступа к соседям, хранящихся в незащищенном виде в уже скомпрометированных сетях.

В четверти всех инцидентов вход в инфраструктуру осуществлялся через злонамеренные подключения к службам удаленного доступа, а 17% первоначального доступа в организации были связаны с эксплуатацией уязвимостей на публично-доступных серверах, причем злоумышленники преимущественно использовали «проверенные временем» бреши.

Итоги и стратегические рекомендации для бизнеса

На основе анализа массива данных по инцидентам эксперты Angara MTDR сформулировали ряд критически важных выводов и рекомендаций для повышения уровня защищенности компаний.

Во многих случаях на этапе постэксплуатации злоумышленники используют встроенные средства и предустановленные утилиты как для продвижения по сети, так и для распространения вредоносного ПО, что делает такие действия менее заметными для многих средств обнаружения.

«Долгие атаки» сложно обнаружить даже при наличии зрелых процессов. Злоумышленники учатся уклоняться от ловушек, находясь с вами на равных в одной сети. В качестве дополнительной меры защиты качественным инструментом может выступить регулярная проверка на следы компрометации (Compromise Assessment) от внешней и независимой компании. Первоочередной задачей такой проверки является пересмотр ландшафта угроз. Глубокое изучение телеметрии позволит свежим взглядом оценить и осуществить поиск потенциальных угроз, не опираясь исключительно на предустановленные средства безопасности.

Заражение таким классом вредоносного ПО, как стилеры, является опасной угрозой не только для корпоративных устройств, но и для личных устройств пользователей, которые хранят огромное количество чувствительной информации, в том числе учетных данных.

Отследить использование одинаковых паролей как на личных, так и на рабочих аккаунтах практически невозможно. Поэтому отслеживание цифрового следа организации с помощью платформенных решений, проводящих автоматизированный мониторинг и анализ данных из открытых и теневых источников, важно для любой организации. Такая платформа позволит обнаружить чувствительные данные раньше злоумышленников и лучше подготовиться к планируемым атакам или вовсе их предупредить.

IP-адреса, относящиеся к публичным VPN-сервисам и анонимайзерам, и нелегитимные подключения с IP-адресов, принадлежащих крупным иностранным корпорациям, что также нехарактерно для большинства организаций, следует использовать в качестве одной из мер дополнительного контроля подключений к инфраструктуре.

Кроме того, необходимо проводить инвентаризацию инфраструктуры для учета, защиты и избавления от ненужных активов. Автоматизировать процесс сканирования внутренних и внешних активов для мониторинга состояния их безопасности и выявления критичных уязвимостей можно с помощью сервиса VOC (Vulnerability Operations Center).

Источник: Тимур Зиннятуллин, директор Angara MTDR