Без шума, писем и следов: украденный логин действует незаметнее любого трояна

Зачем фишинг, если логины уже украдены

В 2024 году компрометация учётных данных обогнала фишинг по email как один из главных способов начального проникновения. По данным отчёта M-Trends 2025, похищенные логины впервые заняли второе место среди всех векторов атак.

Если раньше фишинг был фаворитом за счёт массовости, то теперь всё чаще используется более незаметный и эффективный метод — эксплуатация уже украденных учётных данных. Как отмечают в Mandiant, вокруг таких логинов сформировалась целая теневая индустрия: злоумышленники скупают их на даркнет-форумах, извлекают из утечек или получают через инфостилеры — вредоносные программы, собирающие логины, пароли, cookie и другие чувствительные данные.

В 2024 году 16% всех атак начинались с использования украденных логинов (против 10% в 2023-м). Фишинг продолжает терять позиции: 14% против 22% в 2022 году. При этом 55% атак носили финансовый характер, тогда как доля кибершпионажа снизилась до 8% — акцент сместился на вымогательство, кражу данных и продажу доступа.

Основные цели: финансы (17,4%), бизнес-услуги (11,1%), высокие технологии (10,6%), госорганы (9,5%) и здравоохранение (9,3%). Несмотря на то что уязвимости по-прежнему являются самым частым способом проникновения, в облачных инфраструктурах лидируют фишинг (39%) и украденные данные (35%).

При атаках программ-вымогателей доминируют брутфорс-атаки (26%), затем идут похищенные логины (21%) — злоумышленники используют повторно пароли от RDP, VPN и корпоративных сервисов.

Один из ярких примеров — инцидент с клиентами Snowflake: группа UNC5537 использовала сотни логинов, украденных через инфостилеры вроде VIDAR, REDLINE и RACCOON. Многие данные были получены ещё в 2020 году и до сих пор работали, поскольку компании не меняли пароли.

Особенность в том, что множество логинов утекло с личных устройств подрядчиков и сотрудников, где не было корпоративной защиты. Синхронизация браузеров между рабочими и домашними ПК переносила корпоративные сессии на менее защищённые машины.

Группировка Triplestrength активно использует такие данные для доступа к облачным сервисам Google Cloud, AWS и Linode, а также торгует доступом к уже взломанным серверам.

Также отчёт отмечает рост времени присутствия злоумышленников в системах: медианное значение выросло до 11 дней. Если о вторжении сообщали внешние источники, среднее время составляло 26 дней; при уведомлении от самих атакующих — 5 дней; при самостоятельном обнаружении — около 10.

Отдельно упомянуты случаи с участием граждан КНДР, маскирующихся под удалённых IT-специалистов, а также активности иранских хакеров, сфокусированных на Израиле. Возрос интерес к Web3-среде — криптовалюты и DeFi стали мишенью для краж, отмывания и финансирования.

Среди универсальных рекомендаций — принципы минимальных прав, обновление ПО, MFA, мониторинг, Threat Hunting, аудит облаков и строгая политика доступа, особенно в отношении удалённых сотрудников и подрядчиков.