eSentire: в 2025 году компрометация учетных записей выросла на 389% и стала основным вектором атак
Изображение: recraft
По данным отчета eSentire «Обзор 2025 года и прогноз угроз на 2026 год», в 2025 году киберпреступники резко сместили фокус на кражу учетных данных. Количество случаев компрометации учетных записей выросло на 389% по сравнению с предыдущим годом и составило 55% от всех атак, зафиксированных компанией.
В документе, опубликованном 15 января 2026 года, отмечается, что доступ к учетным данным обеспечил 75% всей вредоносной активности, зафиксированной подразделением Threat Response Unit за отчетный период. Две трети инцидентов были связаны с захватом учетных записей, еще треть пришлась на фишинговые кампании. Основной целью злоумышленников стали корпоративные учетные записи Microsoft 365.
При этом вредоносное ПО сохранило значимую роль, формируя 25% всех наблюдаемых угроз, однако этот показатель снизился на 4 процентных пункта по сравнению с 2024 годом. Такая динамика указывает на перераспределение усилий злоумышленников в сторону атак, основанных на доверии и компрометации идентификационных данных.
Отдельное внимание в отчете уделено компрометации корпоративной электронной почты через модели Phishing-as-a-Service. Использование действительных учетных данных для рассылки вредоносных писем стало основным способом первоначального доступа. Среди более чем 2000 клиентов eSentire доля таких инцидентов выросла с 37% до 55% за год. На операции с применением PhaaS пришлось 63% всех случаев компрометации учетных записей.
Исследователи указывают, что злоумышленники активно применяют платформы Tycoon2FA, FlowerStorm и EvilProxy для атак класса Business Email Compromise. Эти сервисы позволяют обходить современные механизмы защиты, в том числе многофакторную аутентификацию, и быстро масштабировать кампании.
Старший менеджер TRU Спенс Хатчинсон отметил, что современные PhaaS-наборы представляют собой сложные, постоянно обновляемые экосистемы, а не примитивные шаблоны. По его словам, именно их доступность и развитие подпитывают волну захвата учетных записей, которая наносит прямой ущерб бизнесу.
Хотя в 2025 году BEC-атаки составляли менее 10% всей вредоносной активности, что на 21 процентный пункт меньше, чем годом ранее, они по-прежнему рассматриваются как одна из наиболее опасных угроз. В отчете указано, что злоумышленникам требуется около 14 минут после получения учетных данных и токена сессии, чтобы начать вредоносные действия, например создание правил автоматической пересылки писем.
