Согласно данным, полученным экспертами компании «Информзащита», к началу 2026 года примерно 53% всех инцидентов, связанных с программами-вымогателями, будут прямо соотноситься с активностью инфостилеров — вредоносных программ, созданных для похищения учетных данных. Фактически это означает, что злоумышленники теперь не тратят недели на поиск уязвимостей, а просто приобретают готовый доступ к системам. Об этом CNews рассказали в «Информзащите».
Подобная тенденция обусловлена эволюцией киберпреступной среды. За последние два года сложилась отлаженная цепочка поставок доступа, где инфостилеры играют роль поставщиков для последующих кибератак. Эти вредоносные программы собирают с зараженных устройств логины и пароли, файлы cookie, токены сессий и прочую конфиденциальную информацию. Затем операторы стилеров формируют базы украденных данных, которые реализуются на теневых площадках. Эти наборы скупают брокеры начального доступа, чья специализация — проверка и перепродажа корпоративных учетных записей. На следующем этапе доступ выкупают операторы групп, использующих ransomware, что существенно ускоряет весь цикл атаки. Если раньше злоумышленникам требовались месяцы на закрепление в инфраструктуре, то сейчас многие операции осуществляются за несколько дней, а порой и часов.
Исследования свидетельствуют, что около 54% компаний, ставших жертвами вымогателей, ранее упоминались в логах инфостилеров или в предложениях на даркнете, где публиковалась информация о доступе к корпоративным сетям. При этом в 40% таких логов фигурировали корпоративные адреса электронной почты. Подобная взаимосвязь не служит прямым доказательством атаки, однако она демонстрирует, как часто похищенные учетные данные становятся отправной точкой для последующих вторжений.
Анализ логов инфостилеров указывает, что примерно 30% зараженных систем — это корпоративные устройства с установленным лицензионным бизнес-ПО. Однако почти половина, около 46%, относится к устройствам, на которых одновременно используются личные и рабочие учетные записи. Речь идет о ноутбуках сотрудников, домашних компьютерах и других устройствах, задействованных в корпоративных процессах в рамках политики BYOD. Такие системы редко охвачены полноценными средствами контроля безопасности, не всегда своевременно обновляются и зачастую используются для установки непроверенного ПО. В результате именно они превращаются в один из наиболее уязвимых элементов корпоративной инфраструктуры.
«Для успешного вторжения достаточно заразить всего одно рабочее место инфостилером и получить действующий токен авторизации. Вследствие этого доступ к корпоративным системам открывается практически мгновенно, а дальнейшее перемещение по сети выглядит как легитимная активность. Это кардинально снижает эффективность традиционных средств защиты», — отметил Сергей Сидорин, руководитель направления мониторинга и реагирования IZ:SOC компании «Информзащита».
В разрезе отраслей наибольшей мишенью для угроз по-прежнему выступает финансовая сфера — примерно 24% атак с применением похитителей информации направлены именно на нее. Обилие веб-сервисов в банковской инфраструктуре делает кражу сессионных данных особенно результативной. Следом идет розничная торговля с долей около 19%, где активно задействованы облачные CRM и системы управления заказами. На производственный сектор приходится приблизительно 16% случаев, что связано с объединением корпоративных IT-систем и промышленных сетей. Доля логистики и транспорта составляет около 12%, а телеком-компаний — порядка 9%. Оставшиеся проценты распределяются между госсектором, образовательными организациями и технологическими стартапами.
Специалисты подчеркивают, что противодействие таким атакам предполагает переход к модели постоянной проверки доверия. Опыт демонстрирует, что существенное снижение угроз достигается при сочетании нескольких методов: отслеживания поведения аккаунтов в реальном времени, контроля сохранности пользовательских сессий, плановой смены токенов доступа и внедрения архитектуры Zero Trust. Дополнительную пользу приносит строгая политика управления конечными устройствами, которая включает изоляцию браузерных рабочих сред и применение EDR-решений для выявления инфостилеров на начальных этапах заражения.
Согласно прогнозу аналитиков «Информзащиты», к 2026 году доля ransomware-инцидентов, инициируемых заражением похитителем данных, может увеличиться до 60-62%. Ключевыми факторами роста являются автоматизация атак и развитие вредоносных экосистем, где инфостилеры, фишинговые кампании и шифровальщики действуют как единый связанный процесс. В такой ситуации организации, продолжающие воспринимать компрометацию учетных данных как изолированный случай, рискуют неверно оценить серьезность угрозы.
