Развязка ключей: хакеры усилили атаки с подбором паролей

Число хакерских атак c подбором паролей с начала 2025 года выросло почти в три раза, выяснили «Известия». Хакеры стали тщательнее выбирать жертв и активнее их атаковать — как с целью шпионажа и шантажа, так и для совершения деструктивных действий в отношении бизнеса и госструктур, сообщили в компаниях по кибербезопасности. Чаще всего атаковали преступники из США, Китая, России и Индии. О том, какие еще использовались схемы нападений, — в материале «Известий».

Как подбирают пароли

С начала 2025 года количество атак с помощью перебора паролей для получения доступа к IT-системам российских организаций выросло в 2,7 раза в сравнении с четвертым кварталом 2024 года, следует из данных с сети сенсоров и ханипотов (ловушек. — Ред.) архитектора комплексной безопасности ГК «Солар» (есть у «Известий»).

Чаще всего ловушки фиксировали атаки типа брутфорс (метод подбора паролей или ключей шифрования) — на них пришлось 94% всех событий. Эксперты объясняют такой тренд желанием хакеров быстро получить логины и пароли от доступных в сети IT-инфраструктур российских компаний, чтобы затем совершить более сложные атаки.

На оставшиеся 4% пришлись атаки Path Traversal — это попытки эксплуатации уязвимости для нелегального получения доступа к файлам и директориям веб-сайта, по 1% – на CVE (эксплуатации уязвимостей) и Upload (доставки вредоносной нагрузки на атакованный сервер).

Рост числа подобных атак подтвердил и руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин.

— Есть несколько никак не связанных друг с другом объяснений. С одной стороны, такие атаки дешевеют, — пояснил эксперт. — С другой — множественные утечки дают материал для таких атак, с третьей — можно выделить какую-то сезонность.

Руководитель отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев отметил, что подбор пароля — одна из самых распространенных хакерских активностей.

— Такие атаки возможны в случае утечки данных имен учетных записей, — подчеркнул эксперт.

Открытие любого сетевого порта в IT-инфраструктуре компании делает его потенциальной мишенью для автоматических и целенаправленных атак, отметил руководитель группы информационной безопасности ГК InfoWatch Роман Алабин.

— С помощью системы блокировки Geoip наши специалисты фиксируют в сутки более 100 тыс. попыток подключений к одному открытому порту, — рассказал он. — Попытки подключения фиксируются со стороны разных стран, но чаще всего это Румыния, США и Германия.

Впрочем, больше всего атак шло с IP-адресов США (23%), Китая (16%), России (7%) и Индии (5%), отметили эксперты.

— В этих странах находятся крупнейшие хостинги и бот-сети, поэтому такая популярность неудивительна, — добавил Сергей Полунин. — Но география IP-адресов, с которых идут атаки, никак не отражает расположение самих атакующих, которые, как правило, только используют компьютерные мощности этих стран, а находиться могут где угодно.

Какие схемы используют хакеры

С начала года количество атакованных организаций сократилось на 34%, но среднее число атак на одну компанию выросло в 3,3 раза. Эксперты Solar 4RAYS объясняют такую динамику изменением тактики злоумышленников от количества к «качеству» — теперь они тщательнее выбирают потенциальных жертв и сильнее их атакуют.

Анализ данных с сенсоров говорит о том, что наибольшую угрозу российским организациям в начале года представляли стилеры (программы для кражи данных), а доля присутствия APT-группировок (группа хакеров) увеличилась до 27%. Еще 18% заняли средства для получения несанкционированного удаленного доступа к IT-системам. Остальные пришлись на ботнеты (10%), программы-вымогатели (3%), майнинг (3%), фишинг (1%), и программы-загрузчики (3%), которые доставляют вредоносное ПО в инфраструктуру жертвы.

В отдельных отраслях выросла доля заражений программами-вымогателями, которые шифруют инфраструктуру и требуют выкуп за возвращение данных. В частности, рост в два-три раза отмечается в промышленности, образовании, кредитно-финансовых организациях и топливно-энергетическом секторе.

Помимо подбора паролей, в топ-листе способов атак остаются фишинг и социальная инженерия, добавила руководитель департамента киберразведки (Threat Intelligence) компании F6 Елена Шамшина.

— Есть еще всевозможные атаки на цепочки поставки, эксплуатация уязвимостей веб-приложений и те же утекшие учетные записи, которые используются прицельно, — сказал Сергей Полунин. — Примеров очень много, буквально каждые месяц-два можно найти какой-то довольно заметный случай. В марте этого года Роскомнадзор отчитался о выявлении 19 случаев утечки персональных данных, а это около 24 млн записей. Это дает представление о масштабах происходящего.

Нередко киберпреступники отслеживают IT-системы на наличие уязвимостей, которые можно использовать для удаленного выполнения кода и внедрения вредоносного ПО, чтобы получить доступ к системе, отметил Роман Алабин.

— Для остановки сервисов также часто применяются DDoS-атаки, когда на сервер или сеть направляются огромные объемы трафика с целью перегрузить их и сделать недоступными для пользователей, — уточнил он.

Также злоумышленники активно компрометируют деловые переписки, атакуют через уязвимости веб-приложений и сторонние библиотеки, рассказал проджект менеджер MD Audit (ГК Softline) Кирилл Левкин.

— В последние месяцы заметен рост атак с использованием легитимного программного обеспечения (Living off the Land), когда злоумышленники действуют незаметно внутри сети, используя стандартные утилиты, — пояснил он. — Например, в ряде атак на региональные торговые сети и IT-компании использовалась схема: фишинг, заражение через макросы в документах, закрепление через PowerShell и подключение к внешнему C2-серверу.

Для атак на российские компании сейчас в основном используются три вектора, рассказали в пресс-службе компании «Доктор Веб». В частности, делают целевую рассылку писем с вредоносным содержимым, эксплуатируют уязвимости в сервисах, доступных из интернета, и атакуют цепочку поставок.

Как обезопаситься от хакеров

Ярким трендом начала 2025 года стали активные попытки хакеров получить доступ к IT-системам российских компаний за счет перебора паролей, отметил технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков. Вместе с этим злоумышленники тяготеют к кибершпионажу и сложным APT-атакам — как для получения ценной информации, так и для разрушения инфраструктуры, что может негативно сказаться на экономике и безопасности всей страны.

— Именно поэтому мы настоятельно рекомендуем внедрять комплексную защиту от киберугроз, которая включает в себя регулярный мониторинг инцидентов, проверку сервисов на наличие уязвимостей, соблюдение парольных политик, мониторинг утечек, а также повышение уровня киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре, — сказал он.

В случае с подбором паролей компаниям надо понять, к каким ресурсам их будут подбирать, добавили в «Доктор веб». Это могут быть учетные записи для доступа по VPN, а также пароли к сервисам и устройствам, доступным извне.

«Подход должен быть комплексным: политика на стойкость устанавливаемых паролей внедрение авторизации по ключу, где возможно, — сообщили в компании. — Требуются запрет авторизации извне на сервисах, где это не требуется для правильного функционирования, организация доступа к сервисам через VPN, своевременная установка обновлений прошивок IoT устройств и смена паролей доступа к ним».

Эксперты отметили, что в последнее время зачастую применяется не грубый подбор пароля по словарю, а в первую очередь тестируются пароли для учеток из недавних утечек. Кроме того, используется password spraying, когда подбирается не множество паролей к одной учетной записи, а с одним паролем проверяется их множество.

Вместо паролей можно использовать ключи доступа, указал Роман Алабин.

— Для устранения уязвимостей следует обновлять прошивки устройств и ПО. Само ПО должно устанавливаться из доверенных источников, в противном случае есть риск открыть доступ для злоумышленников, — сказал он. — Не лишним будет проводить мониторинг логов на предмет аномальных активностей.

Необходимо использовать и двухфакторную авторизацию на всех внешних веб-сервисах, добавил Виктор Иевлев.

— Нужно организовать Vulnerability management для управления уязвимостями, их поиска и своевременного закрытия или применения компенсирующих мер, — подчеркнул эксперт.

Сергей Полунин отметил важность работы с сотрудниками компании: их обучение в 2025 году, похоже, становится главным способом предотвращения проблем с безопасностью.