Barracuda Networks: злоумышленники продолжают использовать одни и те же слабые места в защите

Barracuda Networks опубликовала новый отчёт по угрозам на основе телеметрии Managed XDR за 2025 год. Анализ показывает, что злоумышленники продолжают проникать в инфраструктуру через предсказуемые слабые места — системы идентификации, доступ третьих сторон и плохо защищённые периметровые устройства. Большинство успешных инцидентов начинается не со сложного вредоносного кода, а с базовых ошибок в управлении доступом и конфигурации.

За год специалисты обработали более 2 трлн ИТ-событий и почти 600 000 предупреждений безопасности и отслеживали свыше 300 000 защищённых активов. Центр мониторинга компании классифицировал около 53 000 угроз высокой степени серьёзности с использованием платформы автоматизированного реагирования.

Наиболее частыми событиями стали аномалии, связанные с учётными записями. Лидирующую позицию заняли аномальные входы в Microsoft 365 — 42 859 фиксаций за 12 месяцев. Далее следуют предупреждения о «невозможных перемещениях» в Microsoft 365 — 22 343 случая. Подобные сигналы обычно указывают на кражу учётных данных, компрометацию аккаунтов или проверку доступа из новых географических точек. Статистика подтверждает, что атаки через системы идентификации остаются одним из самых надёжных способов проникновения в корпоративную среду.

Среди других распространённых детектирований зафиксированы входы, связанные с захватом учётных записей, отключения агента защиты на конечных устройствах и блокировки доступа политиками безопасности при попытках входа из новой геолокации. Попытки перебора паролей занимали более низкие позиции в общей статистике, однако данные по инцидентам показывают, что password spraying активно применяется после обнаружения доступных сервисов.

После закрепления в системе злоумышленники переходят к повышению привилегий. В отчёте отмечена подозрительная активность в средах Windows, Microsoft 365 и на межсетевых экранах. Наиболее частым действием стало добавление пользователя в Windows-группу с расширенными правами — в 42% случаев, связанных с эскалацией. Ещё 27% приходилось на удаление пользователя из таких групп, что может свидетельствовать о попытке скрыть следы после изменения привилегий.

В среде Microsoft 365 16% подозрительных операций касались назначения пользователя глобальным администратором, а 12% — удаления глобального администратора. Также наблюдались операции по добавлению администраторов на устройствах FortiGate. Подобные действия внешне выглядят как обычная работа ИТ-персонала, что затрудняет выявление атак стандартными средствами мониторинга.