Зачем ломать дверь и включать сигнализацию, если у вас есть ключ и код, чтобы войти без шума? Именно в этом кроется причина тенденции в области кибербезопасности, когда противники, маскируясь под легитимных пользователей, все чаще и чаще пытаются украсть пароли, а также маркеры аутентификации и сеансовые файлы cookie, чтобы обойти коды MFA и получить доступ к сетям.

По данным компании Verizon, в последние годы «использование украденных учетных данных» стало одним из самых популярных методов получения первоначального доступа. В отчете отмечается, что в прошлом году использование украденных учетных данных было отмечено в трети (32%) случаев утечки данных. Хотя существует несколько способов, с помощью которых субъекты угроз могут завладеть учетными данными, также существует и множество возможностей, как их остановить.

Почему учетные данные являются отправной точкой для кибератак

По одной из оценок, в 2024 году в мире было похищено более 3,2 миллиарда учетных данных, что на 33% больше, чем в прошлом году. Благодаря доступу к корпоративным учетным записям субъекты угроз могут эффективно скрываться в тени, прорабатывая свой следующий шаг. Это может включать в себя, например, более продвинутые формы криминальной эксплуатации:

  • Проведение разведки сети: поиск данных, активов и пользовательских разрешений для дальнейшего использования
  • Повышение привилегий, например, путем эксплуатации уязвимостей, чтобы продвинуться дальше и добраться до хранилищ/систем данных, имеющих высокую ценность
  • Скрытное установление связи с командным (C2) сервером для скачивания дополнительных вредоносных программ и утечки данных  

Выполнив все эти действия, противник может провести очень успешную кампанию по распространению программы-вымогателя и других кампаний.

Как завладевают паролями

Субъекты угроз разработали различные способы взлома корпоративных учетных данных ваших сотрудников, а в некоторых случаях даже их кодов MFA. К ним относятся:

  • Фишинг: Электронные письма или тексты, подделанные так, чтобы казаться отправленными из официального источника (например, из ИТ-отдела или от поставщика технологий). Получателю будет предложено нажать на вредоносную ссылку, ведущую на фальшивую страницу входа в систему (например, Microsoft).
  • Вишинг: Вариация на тему фишинга, но на этот раз жертва получает телефонный звонок от субъекта угроз. Злоумышленник может выдавать себя за сотрудника службы технической поддержки и в рамках выдуманной истории потребовать от жертвы передать пароль или зарегистрировать новое устройство MFA. Или же он может позвонить в службу поддержки, представившись руководителем или сотрудником, которому необходимо срочно сбросить пароль, чтобы выполнить свою работу.
  • Инфокрады: Вредоносная программа предназначена для сбора учетных данных и сессионных файлов cookie с компьютера/устройства жертвы. Ее можно получить по вредоносной фишинговой ссылке/вложению, через взломанный веб-сайт, мобильное приложение-ловушку, мошенничество в социальных сетях или даже неофициальный игровой мод. Считается, что инфокрады ответственны за 75% взломанных учетных данных в прошлом году.
  • Атаки методом грубой силы: К ним относится набивка учетных данных, когда злоумышленники пытаются использовать ранее взломанные комбинации имени пользователя и пароля на корпоративных сайтах и в приложениях. При этом для распыления паролей используются часто используемые пароли на разных сайтах. Автоматизированные боты помогают им делать это в больших масштабах, пока один из них наконец не сработает.
  • Взломы третьих сторон: Злоумышленники взламывают поставщика или партнера, который хранит учетные данные своих клиентов, например поставщика MSP или SaaS. Или же они скупают пачки уже взломанных логинов «комбо», чтобы использовать их в последующих атаках.
  • Обход MFA: Эти методы включают в себя подмену SIM-карт, бомбардировку MFA, которая заваливает цель push-уведомлениями, чтобы вызвать «усталость от оповещений» и получить согласие на нажатие, а также атаки Adversary-in-the-Middle (AitM), когда злоумышленники встают между пользователем и легитимной службой аутентификации, чтобы перехватить маркеры сеанса MFA.

За последние несколько лет было множество реальных примеров того, как взлом паролей приводил к крупным инцидентам в сфере безопасности. К ним относятся:

  • Change Healthcare: В ходе одной из самых значительных кибератак 2024 года группа вымогателей ALPHV (BlackCat) нанесла ущерб компании Change Healthcare, крупнейшему американскому поставщику медицинских технологий. Злоумышленники использовали набор украденных учетных данных для удаленного доступа к серверу, на котором не была включена многофакторная аутентификация (MFA). Затем они повышали свои привилегии, перемещались внутри систем и внедряли программы-вымогатели, что в конечном итоге привело к беспрецедентному нарушению работы системы здравоохранения и краже конфиденциальных данных миллионов американцев.
  • Snowflake: Финансово мотивированный субъект угроз UNC5537 получил доступ к клиентским экземплярам базы данных нескольких клиентов компании Snowflake. В результате этой масштабной кампании по вымогательству данных пострадали сотни миллионов клиентов компании. Предполагается, что субъект угроз получил доступ к их средам через учетные данные, ранее украденные с помощью вредоносной программы инфокрада. 

Смотрите в оба

Все это делает как никогда важным защиту паролей ваших сотрудников, повышение безопасности логинов и более тщательный мониторинг ИТ-среды на предмет выявления признаков взлома.

Во многом этого можно достичь, следуя подходу «нулевого доверия», основанному на постулате: никогда не доверяй, всегда проверяй. Это означает внедрение аутентификации на основе риска по «периметру», а затем на различных этапах внутри сегментированной сети. Пользователи и устройства должны быть оценены и проанализированы на основе профиля риска, который может быть рассчитан на основе времени и местоположения входа в систему, типа устройства и поведения во время сеанса. Для усиления защиты вашей организации от несанкционированного доступа и обеспечения соответствия нормативным требованиям неотъемлемым элементом защиты является и надежная многофакторная аутентификация (MFA).

Вы должны дополнить этот подход обновленными программами обучения и повышения осведомленности сотрудников, включая реальные симуляции с использованием новейших методов социальной инженерии. Также важны строгие политики и средства, предотвращающие посещение пользователями рискованных сайтов (где могут скрываться инфокрады), защитное программное обеспечение на всех серверах, рабочих станциях и других устройствах, а также средства постоянного мониторинга для выявления подозрительного поведения. Последние помогут вам обнаружить противников, которые могут оказаться в вашей сети благодаря взломанным учетным данным. Более того, организациям также необходимо иметь способ уменьшить ущерб, который может нанести взломанная учетная запись, например, следуя принципу наименьших привилегий. Наконец, мониторинг темной паутины поможет вам проверить, не выставлены ли корпоративные учетные данные на продажу в киберпреступном подполье.

В более широком смысле, рассмотрите возможность привлечения сторонних экспертов через управляемую службу обнаружения и реагирования (MDR), особенно если ваша компания не располагает достаточными ресурсами. Помимо снижения совокупной стоимости владения, авторитетный поставщик услуг MDR предоставляет экспертные знания, круглосуточный мониторинг и поиск угроз, а также доступ к аналитикам, которые понимают нюансы вторжений на основе учетных данных и могут ускорить реагирование на инциденты при обнаружении взломанных учетных записей.