Эксперты компании «Кросс технолоджис» отмечают формирующуюся тенденцию применения законных программных средств для проведения кибератак, таких как системы предотвращения утечек данных (DLP). Для злоумышленников подобные инструменты привлекательны, главным образом, из-за способности собирать обширные массивы информации, включая доступы привилегированных учетных записей, а также благодаря своей скрытности от средств защиты, которые воспринимают их как легальные.
Спрос на решения по защите от утечек информации среди российских организаций продолжает расти; по оценкам, объем этого рынка в 2025 году вырос примерно на 20% по сравнению с показателями 2024 года. Согласно данным аналитиков сервиса Smart Business Alert (SBA) компании ЕСА ПРО (в составе ГК «Кросс технолоджис»), только за первые два месяца 2026 года в даркнете появилось около 40 баз данных, принадлежащих российским фирмам и учреждениям.
Специалисты «Кросс технолоджис» описывают типичную схему, по которой злоумышленники используют DLP. Киберпреступники берут такую же DLP-систему, какую компании внедряют в своей инфраструктуре, развертывают её на внешнем сервере и создают установочный пакет.
На следующем этапе атаки злоумышленники подготавливают фишинговое сообщение и отправляют его одному или нескольким сотрудникам целевой организации. Письмо, например, может содержать требование установить критическое обновление для офисного программного обеспечения, с прикрепленным файлом формата .msi. Большое внимание уделяется правдоподобности письма: оно оформляется в корпоративном стиле, используется корпоративный почтовый домен и другие подобные приемы.
После загрузки файла злоумышленники могут активировать DLP в скрытом режиме, когда система никак не проявляет своего присутствия. Такой агент способен выполнять множество действий: делать снимки экрана, записывать все нажатия клавиш, перехватывать сообщения из мессенджеров, копировать файлы с диска, а некоторые решения могут даже включать веб-камеру и микрофон рабочего ноутбука. При этом это абсолютно легальное программное обеспечение, на которое антивирусы зачастую не реагируют.
«Кульминацией может стать либо атака с использованием собранных данных, например, применение учетных данных привилегированных пользователей для проникновения в информационные системы компании, либо этап прямого шантажа, когда накопленный массив информации превращается в инструмент давления на жертву или её работодателя. Этот сценарий демонстрирует, что любой инструмент мониторинга может быть использован против компании, если злоумышленник получает возможность распространить его под видом легального ПО. Особенно уязвимы организации, где разрешена загрузка и установка программ из писем или с файлообменников», – прокомментировала Любовь Михалева, архитектор департамента развития и архитектуры «Кросс технолоджис».
Эксперты интеграционной компании отмечают, что наибольшему риску подвержены организации без систем отслеживания сетевой активности и с избыточными правами доступа у сотрудников. В качестве действенных мер противодействия данной тактике они выделяют, прежде всего, обучение сотрудников основам кибербезопасности, включая распознавание фишинговых писем: проверку адреса отправителя, критическое отношение к сообщениям с пометкой «срочно», отказ от установки файлов из непроверенных источников. Во-вторых, важно минимизировать права пользователей, оставив только необходимые для выполнения служебных обязанностей. Это, в частности, касается установки программ, которая должна осуществляться исключительно с одобрения IT-отдела. В-третьих, требуется внедрение комплекса средств защиты информации, таких как SIEM-системы, почтовые фильтры и другие решения. Такой набор мер существенно усилит безопасность и ограничит возможности злоумышленников как на этапе первоначального проникновения, так и при последующих вредоносных действиях.
