СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 часа назад
#Утечки #ИБ

Утечки идентификационных данных стали проблемой для 70% компаний в мире, именно они «кормят» хакеров-вымогателей

Утечки идентификационных данных стали проблемой для 70% компаний в мире, именно они 171кормят187 хакеров-вымогателей

изображение: grok

Более 70% организаций за последние 12 месяцев столкнулись минимум с одной утечкой данных, связанной с идентификацией пользователей. Об этом говорится в исследовании Sophos «Состояние безопасности идентификационных данных в 2026 году». Злоумышленники используют украденные логины и пароли, скомпрометированные служебные учётные записи и социальную инженерию против сотрудников для проникновения в корпоративные системы и дальнейшего развития атак.

Главная опасность подобных инцидентов кроется в редком существовании компрометации идентификационных данных как отдельной проблемы. Украденный доступ становится первым шагом к атаке программой-вымогателем, захвату почты, движению по внутренней сети, краже документов, подмене платёжных реквизитов или атаке на клиентов.

Исследование Sophos основано на опросе 5000 руководителей ИТ-отделов и специалистов по кибербезопасности из 17 стран. Самый высокий уровень утечек идентификационных данных зафиксирован в Швейцарии, далее идут Мексика и Италия. Самые низкие показатели оказались в Германии, Колумбии и Японии, но даже там доля организаций с подобными инцидентами превышает 60%.

Интересно, что даже страны с самым низким уровнем утечек идентификационных данных не опускаются ниже 60%, и это базовый уровень риска для любой компании.

По отраслям хуже всего ситуация выглядит в нескольких направлениях:

  • энергетика и нефтегазовый сектор;
  • коммунальная инфраструктура;
  • государственный сегмент;
  • транспорт и логистика;
  • высшее образование с большим числом пользователей.

Подобные направления особенно чувствительны к атакам из-за большого числа распределённых систем, подрядчиков, удалённого доступа и служебных аккаунтов. При получении легитимных учётных данных активность злоумышленника дольше выглядит как обычная работа сотрудника.

Самые низкие показатели утечек Sophos зафиксировала в ИТ, телекоммуникациях и здравоохранении. Подобный результат связан с более крупными инвестициями в защиту, мониторинг, управление доступом и регуляторные требования.

Отдельная связь обнаружилась между проблемами с соблюдением требований и уровнем утечек. Компании с трудностями в соответствии нормативным требованиям чаще сталкиваются с компрометацией идентификационных данных.

Большинство респондентов после утечки идентификационных данных в 2025 году смогли обнаружить и остановить атаку до серьёзного ущерба. Малые компании хуже справлялись с обнаружением из-за нехватки специалистов и слабого мониторинга. По отраслям самый высокий процент сбоев при обнаружении угроз Sophos увидела в сфере СМИ, досуга и развлечений.

Самый тревожный вывод исследования связан с ransomware. Две трети организаций после программ-вымогателей сообщили о связи инцидента с самой крупной атакой на идентификационные данные. Компрометация доступа стала одним из главных механизмов распространения вымогательского ПО.

Ransomware больше не обязательно начинается со сложного взлома периметра. Злоумышленнику достаточно нескольких компонентов:

  • украденная учётная запись сотрудника
  • скомпрометированный сервисный аккаунт
  • токен сессии или активная cookie
  • доступ к удалённому подключению
  • учётные данные для VPN или почты

После получения доступа атакующий повышает привилегии, изучает инфраструктуру, ищет резервные копии и запускает шифрование.

Самая сильная связь между атаками на идентификационные данные и ransomware зафиксирована в организациях с численностью от 1001 до 3000 сотрудников. Это размер со сложной инфраструктурой при менее зрелых процессах защиты по сравнению с крупнейшими корпорациями.

Даже один пароль сотрудника, украденный инфостилером на домашнем компьютере, может в итоге привести к остановке всего бизнеса через цепочку перепродажи доступа.

Статистика хорошо ложится на более широкую картину рынка утечек. Ранее CISOCLUB писал об отсутствии необходимости в новых взломах в 2026 году. Старые утечки продолжают кормить киберпреступников через переход из рук в руки, сборку в новые подборки и применение для фишинга.

Ранее также сообщалось о снижении на 5% количества публикаций утечек российских баз данных после блокировок каналов в Telegram. По данным F6, за 1 квартал 2026 года зафиксировано 68 случаев публикации утечек баз данных против 72 годом ранее. Эксперт «Группы Астра» Андрей Кузнецов отмечал отсутствие прямой связи между снижением публикаций и остановкой самих утечек.

По данным «Лаборатории Касперского» и hh.ru, в каждой четвертой компании утечка информации происходила из-за ошибки сотрудника или нарушения правил ИБ.

Сотрудники остаются одной из главных целей атак на идентификационные данные. Социальная инженерия работает через несколько типичных приёмов:

  • передача пароля под видом проверки;
  • подтверждение входа на поддельной странице;
  • установка приложения по просьбе «безопасности»;
  • открытие документа от имени руководителя;
  • срочное выполнение инструкции от «банка».

Служебные учётные записи тоже становятся серьёзной проблемой. Их создают для интеграций, автоматизации, резервного копирования и работы приложений. Подобные аккаунты часто имеют широкие права, редко меняют пароли и долго остаются вне внимания.

Для защиты от подобных атак одних паролей уже недостаточно. Компаниям нужен целый набор инструментов:

  • многофакторная аутентификация для критичных систем;
  • контроль привилегированных аккаунтов;
  • регулярная ротация секретов и ключей;
  • запрет повторного использования паролей;
  • мониторинг аномальных входов и устройств.

Особое внимание нужно уделять сервисным аккаунтам с владельцем, сроком жизни, понятным назначением, ограниченными правами и журналированием действий. Без проверки служебная учётная запись с годами становится удобным инструментом для атакующего.

Для малого и среднего бизнеса проблема сложнее из-за нехватки ресурсов. Базовые меры всё равно дают сильный эффект. Для крупных организаций значима связка identity security и обнаружения угроз с видимостью поведения учётных записей.

Ransomware-группы активно используют слабые места в защите идентификационных данных. Атака часто начинается с рабочего логина, украденного инфостилером на домашнем компьютере. Доступ проверяется, обогащается, продаётся брокерам первичного доступа и попадает к группе вымогателей.

Эксперты редакции CISOCLUB отмечают, что исследование Sophos показывает переход от классической защиты периметра к борьбе за идентичность пользователя. По мнению редакции, при утечках данных доступа у более 70% организаций логин и пароль больше нельзя воспринимать достаточным барьером. И защищать нужно саму цифровую личность сотрудника, служебные аккаунты, сессии, токены и поведение в системе. Через подобный слой сегодня проходят многие атаки с дальнейшим превращением в ransomware, утечки и остановку бизнеса. Старая модель защиты периметра становится декорацией для отчётов перед лицом современной экономики краденых учётных данных.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: