- 21,815
- 46
- 8 Ноя 2022
У вас есть VPN и EDR? Значит вы инвестировали в защиту, которую обходят обычной авторизацией.
Отчёт FortiGuard по итогам первой половины 2025 года показывает , что финансово мотивированные злоумышленники всё чаще обходятся без сложных эксплойтов и вредоносных программ. Вместо внедрения тяжёлых инструментов они используют действительные учётные записи и легитимные средства удалённого доступа, чтобы незаметно проникать в корпоративные сети. Этот подход оказался не только проще и дешевле, но и значительно эффективнее — атаки с использованием украденных паролей всё чаще проходят мимо средств обнаружения.
Специалисты сообщают, что за первые 6 месяцев года они расследовали десятки инцидентов в разных отраслях — от промышленности до финансов и телекоммуникаций. Анализ этих случаев показал повторяющуюся схему: злоумышленники получают доступ, используя похищенные или купленные учётные данные , подключаются через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, а затем двигаются по сети с помощью инструментов удалённого администрирования вроде AnyDesk, Atera, Splashtop и ScreenConnect. Такая стратегия позволяет им маскировать активность под обычную работу системных администраторов и избегать подозрений.
FortiGuard за тот же период подтверждает эти выводы: тенденции утечек паролей, фиксируемые в открытых источниках, совпадают с теми, что выявляются при расследованиях внутри компаний. По сути, злоумышленникам не приходится «взламывать» системы в привычном понимании — они просто входят под чужим логином, часто полученным в результате фишинга или с помощью инфостилеров, продающихся на подпольных площадках.
В одной из проанализированных атак злоумышленники воспользовались действительными учётными данными, чтобы подключиться к корпоративному VPN без многофакторной аутентификации , после чего извлекли из браузера скомпрометированного пользователя сохранённые пароли к гипервизору и зашифровали виртуальные машины. В другом случае оператор получил доступ через похищенную учётную запись администратора домена и массово установил AnyDesk по всей сети, используя RDP и групповые политики, что позволило ему перемещаться между системами и дольше оставаться незамеченным. Были и эпизоды, когда злоумышленники эксплуатировали старую уязвимость во внешнем сервере, внедряли несколько инструментов удалённого управления и создавали фиктивные сервисные учётные записи для скрытого перемещения и последующего выноса документов.
Анализ показал, что кража паролей остаётся одной из самых дешёвых и доступных стратегий. Стоимость доступа напрямую зависит от размера и географии компании: если для организаций с оборотом более миллиарда долларов в развитых странах она может достигать 20 тысяч долларов, то для небольших фирм в развивающихся регионах — всего сотни. Массовые инфостилер-кампании обеспечивают устойчивый поток свежих данных, а низкий порог входа делает такие атаки привлекательными даже для слабо подготовленных групп.
Главное преимущество этой схемы — скрытность. Поведение злоумышленников неотличимо от действий реальных сотрудников, особенно если они подключаются в привычные часы и к тем же системам. Средства защиты, ориентированные на поиск вредоносных файлов и подозрительных процессов, часто не способны заметить аномалии, когда атака сводится к обычным операциям входа в систему и перемещения по сети. Более того, при ручной краже данных через интерфейсы RDP или встроенные возможности RMM трудно отследить, какие файлы были перенесены, поскольку такие действия не оставляют явных сетевых артефактов.
По наблюдениям FortiGuard, в подобных кампаниях злоумышленники по-прежнему активно применяют Mimikatz и его модификации для извлечения паролей из памяти, а также продолжают использовать эксплойт Zerologon для повышения привилегий. Иногда встречается и ручное применение утилит вроде GMER, переименованных под видом системных инструментов, для маскировки следов присутствия.
FortiGuard подчёркивает, что защита от таких угроз требует переосмысления подходов. Ориентация исключительно на традиционные EDR-системы , ищущие вредоносный код, больше не обеспечивает надёжную безопасность. Эффективной становится стратегия, выстроенная вокруг учётных записей и поведения пользователей. Компании должны формировать собственные профили нормальной активности и оперативно реагировать на отклонения — например, на входы с необычных геолокаций, одновременные подключения к нескольким серверам или активность в нерабочие часы.
Особое внимание рекомендуется уделять многофакторной аутентификации — не только для внешнего периметра, но и внутри сети. Даже если злоумышленник получит пароль, необходимость подтверждать вход дополнительным способом замедлит его продвижение и создаст больше возможностей для обнаружения. Также важно ограничивать полномочия администраторов, исключать использование привилегированных учётных записей через VPN и отслеживать их перемещение по инфраструктуре.
FortiGuard советует организациям жёстко контролировать использование инструментов удалённого администрирования . Если такие программы не нужны по бизнес-причинам, их следует блокировать, а любые новые установки или сетевые соединения, связанные с ними, — мониторить. Дополнительно рекомендуется отключать SSH, RDP и WinRM на всех системах, где они не требуются, и настраивать оповещения на случаи, когда эти службы активируются повторно. По мнению аналитиков, подобные меры позволяют выявлять даже скрытные попытки горизонтального перемещения внутри сети.
Авторы отчёта отмечают, что у многих компаний остаётся существенный пробел в защите: злоумышленники не взламывают, а просто входят в системы под настоящими именами. Поэтому ключевым направлением развития защиты должна стать аутентификация, контроль доступа и анализ поведения пользователей. FortiGuard рекомендует использовать решения для постоянного мониторинга внешнего периметра, корреляции событий в гибридных средах и обнаружения аномальной активности. Подобные инструменты дают возможность отслеживать неочевидные инциденты, сокращая время пребывания атакующих в сети и предотвращая масштабные последствия.
Исследователи делают вывод, что самые опасные атаки сегодня не нуждаются в новом вредоносном коде. Они используют уже существующие технологии и доверенные учётные данные, превращая незаметность в главное оружие. Компании, которые укрепят контроль над идентификацией, удалённым доступом и поведенческой аналитикой, смогут значительно сократить риски и выявлять подобные вторжения на ранних стадиях.
Fortinet подчёркивает, что результаты полугодового анализа подтверждают тенденцию, обозначенную ещё в 2024 году: рост числа инцидентов, связанных с эксплуатацией действительных учётных записей и легитимных средств администрирования, продолжается. Несмотря на повышенное внимание к искусственному интеллекту и новым видам кибератак, именно эти, на первый взгляд, простые методы остаются для преступников самым надёжным способом проникновения в корпоративные сети.
Отчёт FortiGuard по итогам первой половины 2025 года показывает , что финансово мотивированные злоумышленники всё чаще обходятся без сложных эксплойтов и вредоносных программ. Вместо внедрения тяжёлых инструментов они используют действительные учётные записи и легитимные средства удалённого доступа, чтобы незаметно проникать в корпоративные сети. Этот подход оказался не только проще и дешевле, но и значительно эффективнее — атаки с использованием украденных паролей всё чаще проходят мимо средств обнаружения.
Специалисты сообщают, что за первые 6 месяцев года они расследовали десятки инцидентов в разных отраслях — от промышленности до финансов и телекоммуникаций. Анализ этих случаев показал повторяющуюся схему: злоумышленники получают доступ, используя похищенные или купленные учётные данные , подключаются через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, а затем двигаются по сети с помощью инструментов удалённого администрирования вроде AnyDesk, Atera, Splashtop и ScreenConnect. Такая стратегия позволяет им маскировать активность под обычную работу системных администраторов и избегать подозрений.
FortiGuard за тот же период подтверждает эти выводы: тенденции утечек паролей, фиксируемые в открытых источниках, совпадают с теми, что выявляются при расследованиях внутри компаний. По сути, злоумышленникам не приходится «взламывать» системы в привычном понимании — они просто входят под чужим логином, часто полученным в результате фишинга или с помощью инфостилеров, продающихся на подпольных площадках.
В одной из проанализированных атак злоумышленники воспользовались действительными учётными данными, чтобы подключиться к корпоративному VPN без многофакторной аутентификации , после чего извлекли из браузера скомпрометированного пользователя сохранённые пароли к гипервизору и зашифровали виртуальные машины. В другом случае оператор получил доступ через похищенную учётную запись администратора домена и массово установил AnyDesk по всей сети, используя RDP и групповые политики, что позволило ему перемещаться между системами и дольше оставаться незамеченным. Были и эпизоды, когда злоумышленники эксплуатировали старую уязвимость во внешнем сервере, внедряли несколько инструментов удалённого управления и создавали фиктивные сервисные учётные записи для скрытого перемещения и последующего выноса документов.
Анализ показал, что кража паролей остаётся одной из самых дешёвых и доступных стратегий. Стоимость доступа напрямую зависит от размера и географии компании: если для организаций с оборотом более миллиарда долларов в развитых странах она может достигать 20 тысяч долларов, то для небольших фирм в развивающихся регионах — всего сотни. Массовые инфостилер-кампании обеспечивают устойчивый поток свежих данных, а низкий порог входа делает такие атаки привлекательными даже для слабо подготовленных групп.
Главное преимущество этой схемы — скрытность. Поведение злоумышленников неотличимо от действий реальных сотрудников, особенно если они подключаются в привычные часы и к тем же системам. Средства защиты, ориентированные на поиск вредоносных файлов и подозрительных процессов, часто не способны заметить аномалии, когда атака сводится к обычным операциям входа в систему и перемещения по сети. Более того, при ручной краже данных через интерфейсы RDP или встроенные возможности RMM трудно отследить, какие файлы были перенесены, поскольку такие действия не оставляют явных сетевых артефактов.
По наблюдениям FortiGuard, в подобных кампаниях злоумышленники по-прежнему активно применяют Mimikatz и его модификации для извлечения паролей из памяти, а также продолжают использовать эксплойт Zerologon для повышения привилегий. Иногда встречается и ручное применение утилит вроде GMER, переименованных под видом системных инструментов, для маскировки следов присутствия.
FortiGuard подчёркивает, что защита от таких угроз требует переосмысления подходов. Ориентация исключительно на традиционные EDR-системы , ищущие вредоносный код, больше не обеспечивает надёжную безопасность. Эффективной становится стратегия, выстроенная вокруг учётных записей и поведения пользователей. Компании должны формировать собственные профили нормальной активности и оперативно реагировать на отклонения — например, на входы с необычных геолокаций, одновременные подключения к нескольким серверам или активность в нерабочие часы.
Особое внимание рекомендуется уделять многофакторной аутентификации — не только для внешнего периметра, но и внутри сети. Даже если злоумышленник получит пароль, необходимость подтверждать вход дополнительным способом замедлит его продвижение и создаст больше возможностей для обнаружения. Также важно ограничивать полномочия администраторов, исключать использование привилегированных учётных записей через VPN и отслеживать их перемещение по инфраструктуре.
FortiGuard советует организациям жёстко контролировать использование инструментов удалённого администрирования . Если такие программы не нужны по бизнес-причинам, их следует блокировать, а любые новые установки или сетевые соединения, связанные с ними, — мониторить. Дополнительно рекомендуется отключать SSH, RDP и WinRM на всех системах, где они не требуются, и настраивать оповещения на случаи, когда эти службы активируются повторно. По мнению аналитиков, подобные меры позволяют выявлять даже скрытные попытки горизонтального перемещения внутри сети.
Авторы отчёта отмечают, что у многих компаний остаётся существенный пробел в защите: злоумышленники не взламывают, а просто входят в системы под настоящими именами. Поэтому ключевым направлением развития защиты должна стать аутентификация, контроль доступа и анализ поведения пользователей. FortiGuard рекомендует использовать решения для постоянного мониторинга внешнего периметра, корреляции событий в гибридных средах и обнаружения аномальной активности. Подобные инструменты дают возможность отслеживать неочевидные инциденты, сокращая время пребывания атакующих в сети и предотвращая масштабные последствия.
Исследователи делают вывод, что самые опасные атаки сегодня не нуждаются в новом вредоносном коде. Они используют уже существующие технологии и доверенные учётные данные, превращая незаметность в главное оружие. Компании, которые укрепят контроль над идентификацией, удалённым доступом и поведенческой аналитикой, смогут значительно сократить риски и выявлять подобные вторжения на ранних стадиях.
Fortinet подчёркивает, что результаты полугодового анализа подтверждают тенденцию, обозначенную ещё в 2024 году: рост числа инцидентов, связанных с эксплуатацией действительных учётных записей и легитимных средств администрирования, продолжается. Несмотря на повышенное внимание к искусственному интеллекту и новым видам кибератак, именно эти, на первый взгляд, простые методы остаются для преступников самым надёжным способом проникновения в корпоративные сети.
- Источник новости
- www.securitylab.ru
