Число кибератак на учетные записи пользователей выросло на 156% из-за кражи информации и фишинговых инструментов

Gurd 11/07/2025 0
Infostealers

По данным, собранным подразделением реагирования на угрозы (TRU) компании eSentire, количество атак с использованием идентификационных данных увеличилось на шокирующие 156% в период с 2023 по 2025 год, составив 59% всех подтвержденных случаев угроз в первом квартале 2025 года.

Этот резкий переход от традиционных атак, ориентированных на активы, к сложным кампаниям, ориентированным на идентификацию, подчеркивает фундаментальное изменение тактики противоборства.

Угрозы, связанные с идентификацией

Киберпреступники все чаще нацеливаются на учетные данные пользователей и механизмы аутентификации, используя предоставляемый ими прямой доступ к ценным активам организации с минимальной технической сложностью.

Развитие экосистем киберпреступности как услуги (CaaS) еще больше усилило эту тенденцию, предлагая недорогие и высокодоходные инструменты, которые делают расширенные возможности атак доступными для злоумышленников разного уровня квалификации.

На переднем крае этой эпидемии находятся платформы «фишинг как услуга» (PhaaS), такие как Tycoon2FA, на долю которых приходится 58% наблюдаемых случаев взлома учетных записей, а также вредоносное ПО для кражи информации, на долю которого приходится 35% предотвращенных вредоносных угроз в 2025 году.

Tycoon2FA, доступный всего за 200–300 долларов США в месяц, обеспечивает сбор учетных данных корпоративного уровня с функциями Adversary-in-the-Middle (AitM), которые обходят традиционную многофакторную аутентификацию (MFA) путем перехвата и повторного воспроизведения токенов аутентификации.

Screenshot 2025-07-10 at 11.09.34 PM

Наборы инструментов для фишинга

Тем временем такие вредоносные программы, как Lumma Stealer, самое вредоносное семейство в 2024 и 2025 годах, превратились в комплексные платформы для сбора персональных данных.

Эти инструменты извлекают сохраненные в браузере учетные данные, базы данных менеджеров паролей, конфигурации VPN и токены приложений, которые затем монетизируются на подпольных торговых площадках с эффективностью, сопоставимой с электронной коммерцией.

Быстрый переход от кражи учетных данных к активному мошенничеству, зачастую происходящий в течение нескольких часов, усугубляет проблему для организаций, как это видно на примере случаев компрометации деловой электронной почты (BEC), которые составляют 41% от общего числа инцидентов в первом квартале 2025 года по сравнению с 25,6% в 2024 году.

Использование слепых зон мониторинга добавляет еще один уровень сложности к этому ландшафту угроз.

Неуправляемые устройства, теневая ИТ-инфраструктура и партнерства в цепочке поставок третьих лиц создают невидимые поверхности для атак, которые обходят традиционные средства контроля безопасности.

Анализ TRU показывает, как украденные учетные данные, часто полученные с помощью похитителей информации, используются для доступа к корпоративным сетям через законные каналы, такие как VPN, и обнаруживаются только на поздних стадиях атак, таких как развертывание программ-вымогателей.

Такие отрасли, как строительство, производство, бизнес-услуги и программное обеспечение, подвержены повышенному риску угроз, передающихся через электронную почту, хотя ни один сектор не застрахован от них.

Географическое разнообразие инфраструктуры атак, при этом 78% фишинговых операций связаны с провайдерами хостинга, базирующимися в США (несмотря на то, что злоумышленники по всему миру используют VPN и прокси-серверы), еще больше усложняет усилия по обнаружению и устранению последствий.

Этот кардинальный сдвиг требует переосмысления архитектуры организационной безопасности. Традиционные средства защиты периметра и конечных точек больше недостаточны против злоумышленников, использующих действительные учетные данные.

eSentire рекомендует использовать методы аутентификации, устойчивые к фишингу, такие как FIDO2/WebAuthn, внедрять принципы Zero Trust с непрерывной проверкой личности и усиливать мониторинг аномалий аутентификации и раскрытия учетных данных в даркнете.

Поскольку атаки с использованием идентификационных данных продолжают доминировать, организациям необходимо быстро принимать меры по преобразованию своей политики безопасности, уделяя первоочередное внимание быстрому реагированию и упреждающей защите для снижения растущих рисков финансовых потерь, нарушений нормативных требований и ущерба репутации, создаваемых этими сложными киберугрозами.

About The Author

Gurd

See author's posts

Post Views: 6

Больше историй

cyber-hacker

Топ-5 хакерских группировок мира в 2025 году: кто правит киберпространством?

Gurd 12/07/2025 0
2ad9852b29eec37b2dfc56ab319de53617c1d0a3

Власти США разоблачили северокорейские схемы ИТ-специалистов и их американских сообщников

Gurd 12/07/2025 0
GettyImages-1390128620

Ingram Micro добилась прогресса в восстановлении деятельности после атаки

Gurd 12/07/2025 0

Добавить комментарий

Возможно, вы пропустили

cyber-hacker

Топ-5 хакерских группировок мира в 2025 году: кто правит киберпространством?

Gurd 12/07/2025 0
SOC_Release

Как агенты ИИ могут произвести революцию в SOC — с помощью человека

Gurd 12/07/2025 0
2ad9852b29eec37b2dfc56ab319de53617c1d0a3

Власти США разоблачили северокорейские схемы ИТ-специалистов и их американских сообщников

Gurd 12/07/2025 0
GettyImages-1390128620

Ingram Micro добилась прогресса в восстановлении деятельности после атаки

Gurd 12/07/2025 0
GettyImages-515912196

В Италии арестован предполагаемый подрядчик китайской гафниевой группы

Gurd 12/07/2025 0