vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Кому нужен фишинг, если ваши данные для входа уже известны.
Кража учётных данных обошла фишинг по электронной почте в списке самых распространённых векторов начального проникновения за 2024 год. Впервые за всю историю наблюдений, по данным отчёта , именно скомпрометированные логины стали второй по популярности точкой входа для злоумышленников.
Если раньше фишинг был одной из главных угроз благодаря своей массовости, то теперь на первый план выходит более тихий и эффективный подход — использование уже похищенных логинов. Представитель Mandiant подчеркнул, что существует целая киберпреступная индустрия, построенная на продаже и эксплуатации украденных учётных данных. Преступники массово скупают их на теневых форумах, извлекают из утечек или получают с помощью инфостилеров — вредоносных программ, считывающих логины, пароли, cookie-файлы и другие чувствительные данные.
Только за 2024 год Mandiant зафиксировала 16% всех взломов, начавшихся именно с применения похищенных логинов. Для сравнения: в 2023 году этот показатель составлял 10%, а фишинг уже третий год подряд демонстрирует спад — 14% против 22% в 2022 году. Отчёт также показал: 55% всех зафиксированных атак в 2024 году имели финансовую мотивацию. Количество атак, связанных с кибер , снизилось до 8%, что говорит о смещении фокуса в сторону вымогательства, кражи данных и торговли доступами.
Основные цели — компании финансового сектора (17,4%), бизнес-услуги (11,1%), высокие технологии (10,6%), государственные организации (9,5%) и здравоохранение (9,3%). Самым частым вектором проникновения остаются уязвимости, однако в облачных средах картина иная — там лидируют фишинг (39%) и похищенные учётные данные (35%).
Например, при атаках программ-вымогателей наиболее распространённым способом проникновения остаются брутфорс-атаки — 26% случаев. Далее следуют те же похищенные данные — 21%. Используются такие методы, как подбор паролей к удалённому рабочему столу, повторное использование стандартных учётных записей для VPN и массовые попытки входа в корпоративные сервисы.
Подтверждением актуальности такой тактики служит и с утечками у клиентов Snowflake. Группа UNC5537 использовала сотни логинов, украденных с помощью популярных инфостилеров, включая VIDAR, REDLINE, RACCOON и другие. Многие из краж происходили ещё в 2020 году, но до сих пор использовались, поскольку компании не меняли пароли годами.
При этом важным нюансом оказалось то, что многие похищенные логины происходили с личных устройств подрядчиков и сотрудников, где отсутствовала корпоративная защита, мониторинг и антивирусные меры. В отчёте подчёркивается, что синхронизация браузеров между рабочими и домашними компьютерами часто переносит корпоративные логины на уязвимые системы.
Также упоминается группировка Triplestrength, использующая данные из логов для проникновения в облачные аккаунты Google Cloud, AWS и Linode. Эта же группа не только проводит атаки, но и продаёт доступ к уже скомпрометированным серверам другим злоумышленникам.
Особого внимания заслуживает показатель времени нахождения злоумышленников в системе — так называемый dwell time. В 2024 году медианное значение увеличилось до 11 дней (в 2023 году было 10). Если организацию предупреждали внешние источники, злоумышленники оставались внутри в среднем 26 дней. При уведомлении самих атакующих — обычно в случаях с вымогателями — время снижалось до 5 дней. Если компания выявляла инцидент самостоятельно, речь шла о 10 днях.
Mandiant также уделяет внимание операциям, в которых участвуют граждане КНДР, для получения валюты в интересах государства. В отчёте зафиксировано усиление активности иранских , ориентированных на израильские цели, и всё более частые атаки на облачные системы централизованной авторизации — например, на SSO-порталы. Возрос интерес и к Web3: криптовалюты, блокчейны и DeFi-платформы становятся удобной средой для краж, отмывания денег и финансирования преступных операций.
Авторы доклада выделяют рекомендации, подходящие организациям любой отрасли. Среди них:
Отдельно подчёркивается необходимость строгой политики доступа и проверки удалённых сотрудников, что становится особенно актуально в контексте скрытых атак с участием внешних подрядчиков.
Кража учётных данных обошла фишинг по электронной почте в списке самых распространённых векторов начального проникновения за 2024 год. Впервые за всю историю наблюдений, по данным отчёта , именно скомпрометированные логины стали второй по популярности точкой входа для злоумышленников.
Если раньше фишинг был одной из главных угроз благодаря своей массовости, то теперь на первый план выходит более тихий и эффективный подход — использование уже похищенных логинов. Представитель Mandiant подчеркнул, что существует целая киберпреступная индустрия, построенная на продаже и эксплуатации украденных учётных данных. Преступники массово скупают их на теневых форумах, извлекают из утечек или получают с помощью инфостилеров — вредоносных программ, считывающих логины, пароли, cookie-файлы и другие чувствительные данные.
Только за 2024 год Mandiant зафиксировала 16% всех взломов, начавшихся именно с применения похищенных логинов. Для сравнения: в 2023 году этот показатель составлял 10%, а фишинг уже третий год подряд демонстрирует спад — 14% против 22% в 2022 году. Отчёт также показал: 55% всех зафиксированных атак в 2024 году имели финансовую мотивацию. Количество атак, связанных с кибер , снизилось до 8%, что говорит о смещении фокуса в сторону вымогательства, кражи данных и торговли доступами.
Основные цели — компании финансового сектора (17,4%), бизнес-услуги (11,1%), высокие технологии (10,6%), государственные организации (9,5%) и здравоохранение (9,3%). Самым частым вектором проникновения остаются уязвимости, однако в облачных средах картина иная — там лидируют фишинг (39%) и похищенные учётные данные (35%).
Например, при атаках программ-вымогателей наиболее распространённым способом проникновения остаются брутфорс-атаки — 26% случаев. Далее следуют те же похищенные данные — 21%. Используются такие методы, как подбор паролей к удалённому рабочему столу, повторное использование стандартных учётных записей для VPN и массовые попытки входа в корпоративные сервисы.
Подтверждением актуальности такой тактики служит и с утечками у клиентов Snowflake. Группа UNC5537 использовала сотни логинов, украденных с помощью популярных инфостилеров, включая VIDAR, REDLINE, RACCOON и другие. Многие из краж происходили ещё в 2020 году, но до сих пор использовались, поскольку компании не меняли пароли годами.
При этом важным нюансом оказалось то, что многие похищенные логины происходили с личных устройств подрядчиков и сотрудников, где отсутствовала корпоративная защита, мониторинг и антивирусные меры. В отчёте подчёркивается, что синхронизация браузеров между рабочими и домашними компьютерами часто переносит корпоративные логины на уязвимые системы.
Также упоминается группировка Triplestrength, использующая данные из логов для проникновения в облачные аккаунты Google Cloud, AWS и Linode. Эта же группа не только проводит атаки, но и продаёт доступ к уже скомпрометированным серверам другим злоумышленникам.
Особого внимания заслуживает показатель времени нахождения злоумышленников в системе — так называемый dwell time. В 2024 году медианное значение увеличилось до 11 дней (в 2023 году было 10). Если организацию предупреждали внешние источники, злоумышленники оставались внутри в среднем 26 дней. При уведомлении самих атакующих — обычно в случаях с вымогателями — время снижалось до 5 дней. Если компания выявляла инцидент самостоятельно, речь шла о 10 днях.
Mandiant также уделяет внимание операциям, в которых участвуют граждане КНДР, для получения валюты в интересах государства. В отчёте зафиксировано усиление активности иранских , ориентированных на израильские цели, и всё более частые атаки на облачные системы централизованной авторизации — например, на SSO-порталы. Возрос интерес и к Web3: криптовалюты, блокчейны и DeFi-платформы становятся удобной средой для краж, отмывания денег и финансирования преступных операций.
Авторы доклада выделяют рекомендации, подходящие организациям любой отрасли. Среди них:
- внедрение принципов минимальных привилегий;
- регулярное управление уязвимостями;
- двухфакторная аутентификация;
- активный мониторинг;
- Threat Hunting;
- облачных сред.
Отдельно подчёркивается необходимость строгой политики доступа и проверки удалённых сотрудников, что становится особенно актуально в контексте скрытых атак с участием внешних подрядчиков.
