Злоумышленники начали использовать DLP-системы для атак

Специалисты “Кросс технолоджис” фиксируют складывающийся тренд на использование легитимных инструментов для кибератак, в частности DLP-систем. Этот инструмент привлекает злоумышленников в первую очередь возможностью сбора большого количества данных, в том числе привилегированных учетных записей, и незаметностью для СЗИ, так как они рассматривают его как легитимный инструмент.

Российские компании наращивают спрос на защиту от утечек: объем этого рынка увеличился примерно на 20% в 2025 году по сравнению с 2024 годом. По оценкам аналитиков сервиса Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК “Кросс технолоджис”), только за первые два месяца 2026 года в даркнете появилось порядка 40 баз данных российских компаний и организаций.

Эксперты “Кросс технолоджис” описывают типовой сценарий использования DLP-систем злоумышленниками. Хакеры берут DLP-систему, такую же, как компании внедряют в своей инфраструктуре. При этом разворачивают ее на внешнем сервере и делают установщик вредоносного ПО.

На следующем этапе кампании злоумышленники готовят фишинговое письмо и направляют его сотруднику или нескольким сотрудникам атакуемой компании. Письмо, например, может содержать требование установить критическое обновление офисного ПО с прикрепленным файлом с расширением .msi. Хакеры уделяют большое внимание достоверности письма, поэтому делают его в корпоративном дизайне, используют корпоративный домен в почте и так далее.

После скачивания файла хакеры могут использовать DLP в скрытом режиме — то есть система никак не будет обозначать свое присутствие. Такой агент способен на многое: снимать скриншоты экрана, записывать все, что печатается на клавиатуре, перехватывать сообщения из мессенджеров, копировать файлы с диска, а некоторые решения могут даже активировать веб-камеру и микрофон на рабочем ноутбуке. И все это — абсолютно легальное ПО, на которое антивирусы часто не реагируют.

“Кульминацией может стать либо атакой с использованием собранных данных, например использование учетных данных привилегированных пользователей для проникновения в информационные системы компании, либо фаза прямого вымогательства, когда накопленный массив данных превращается в средство давления на жертву или ее работодателя. Этот сценарий показывает, что любой инструмент мониторинга может быть обращен против компании, если злоумышленник получает возможность распространить его под видом легитимного ПО. Особенно уязвимы компании, где разрешено скачивать и устанавливать программы из писем или с файлообменников”, — говорит Любовь Михалева, архитектор департамента развития и архитектуры “Кросс технолоджис”.

Специалисты интегратора подчеркивают, что наиболее уязвимы к такой схеме компании, в которых отсутствует мониторинг сетевой активности, а у пользователей слишком широкие права. Эффективными шагами по противодействию этой тактике злоумышленников эксперты считают, в первую очередь, обучение персонала основам информационной безопасности, умение определять фишинговые письма: обращать внимание на адрес отправителя, внимательно относиться к “срочности” в сообщениях, не устанавливать файлы из сомнительных писем. Во-вторых, необходимо ограничивать права пользователей до круга, необходимого для выполнения рабочих задач. К этому относится, например, установка файлов, которая должна проходить только через согласование с IT-департаментом. В-третьих, необходимо внедрение комплекса СЗИ, например SIEM, средств фильтрации для электронной почты и так далее. Подобный комплекс мер позволит значительно повысить защищенность компании и сократить для злоумышленников возможность осуществить первичное проникновение и дальнейшие вредоносные действия.