Киберпреступники переходят на «официальный вход» — до 90% атак в 2025 основаны на приобретённых паролях.

Если у вас есть VPN и EDR — это ещё не гарантия безопасности: злоумышленники всё чаще обходят такие барьеры, входя в сети под настоящими учетными данными.

Отчёт FortiGuard за первую половину 2025 года показывает, что финансово мотивированные киберпреступники всё чаще отказываются от сложных эксплойтов и вредоносных кампаний. Вместо этого они пользуются легитимными аккаунтами и официальными средствами удалённого доступа, чтобы тихо проникать в корпоративные сети. Этот подход оказывается дешевле, проще в реализации и эффективнее с точки зрения уклонения от средств обнаружения: вход под чужой учётной записью нередко не вызывает подозрений у традиционных EDR-систем.

За первые шесть месяцев аналитики FortiGuard расследовали десятки инцидентов в различных секторах — от промышленности до финансов и телекомов. В большинстве случаев злоумышленники приобретали или крали учётные данные, подключались через VPN и затем перемещались по сети с помощью RMM/ADM-инструментов (AnyDesk, Atera, Splashtop, ScreenConnect и т.д.). Такое поведение маскирует их действия под работу администраторов и затрудняет обнаружение.

Отчёт подчёркивает, что тенденции утечек паролей, наблюдаемые в открытых источниках и на подпольных рынках, коррелируют с выявляемыми инцидентами внутри компаний. Фактически, преступникам зачастую не нужно «взламывать» системы — им достаточно использовать похищенные логины, полученные через фишинг или инфостилеры, продающиеся на киберрынках.

В одном из примеров злоумышленники, имея валидные учётные данные без MFA, подключились к корпоративному VPN, достали из браузера сохранённые пароли и получили доступ к гипервизору, после чего зашифровали виртуальные машины. В другом случае через компрометированную учётную запись администратора домена злоумышленник развернул AnyDesk по сети с помощью RDP и политик групп, что обеспечило ему широкие возможности передвижения и длительное пребывание в инфраструктуре без поднятия тревоги. Были и сценарии, где использовались старые уязвимости внешних серверов, разворачивались RMM-инструменты и создавались фейковые сервисные аккаунты для скрытого сбора данных.

Аналитика показывает: стоимость доступа варьируется в зависимости от размера и местоположения организации — у крупных компаний в развитых странах цена доступа может доходить до ~$20 000, тогда как для небольших фирм в регионах с низким спросом она измеряется сотнями долларов. Массовые кампании по распространению инфостилеров обеспечивают постоянный приток свежих учётных данных, делая эту тактику доступной даже для неопытных групп.

Ключевое преимущество атак через легитимные учётные данные — их незаметность: поведение злоумышленников часто совпадает с нормальной активностью сотрудников, особенно при подключениях в рабочее время и к привычным сервисам. Традиционные средства, ориентированные на обнаружение вредоносных файлов и подозрительных процессов, часто не фиксируют такие инциденты. При ручном копировании данных через RDP или встроенные функции RMM определить объём похищенного также тяжело, поскольку явных сетевых артефактов может не быть.

FortiGuard также отмечает, что злоумышленники продолжают применять инструменты для извлечения паролей из памяти (включая Mimikatz и его модификации) и иногда используют уязвимости для эскалации привилегий (например, Zerologon). В ряде атак замечались переименованные системные утилиты и другие приёмы маскировки активности.

Исходя из выводов отчёта, защита должна сместить фокус с поиска вредоносного кода на контроль учётных записей и поведенческий анализ. Рекомендации включают внедрение многофакторной аутентификации не только на периметре, но и внутри сети, ужесточение прав администраторов, запрет использования привилегированных учётных записей через VPN и настройку мониторинга их действий. Важны также строгие правила в отношении RMM/ADM-инструментов: блокировка ненужных программ, контроль новых установок и оповещения о повторном включении служб вроде SSH, RDP и WinRM.

FortiGuard подчёркивает, что такие меры помогают обнаруживать даже скрытные попытки горизонтального перемещения и снижают длительность пребывания злоумышленников в сети. По мнению аналитиков, несмотря на интерес к новым рискам, включая ИИ, именно эксплуатация действительных учётных данных остаётся для преступников наиболее надёжным и экономичным способом проникновения в корпоративные сети.