Эксперты компании «Информзащита» выявили, что в 2026 году украденные учетные данные по-прежнему используются более чем в 80% кибератак хотя бы на одном этапе развития инцидента. За последний год число случаев, когда злоумышленники входили в корпоративные системы под видом легитимных пользователей, выросло на 29%. В наиболее быстрых сценариях от первого доступа до попытки кражи данных проходило около 72 минут против 285 минут годом ранее — то есть окно реагирования сократилось почти вчетверо, и SOC физически не успевает в него вписаться при ручных процессах. Получив пароль, хэш, служебный ключ или данные активного сеанса, атакующий получает доступ не к одной системе, а к тем ресурсам, на которые уже имеет право сотрудник: почте, файловым хранилищам, внутренним приложениям, облачным сервисам и административным консолям.
Система видит привычную учетную запись, разрешенное подключение, корректный пароль или действующий ключ доступа, и часто этого достаточно, чтобы злоумышленник получил доступ к тем же приложениям, что и сотрудник, а затем начал изучать доступные ресурсы, права групп и сетевые маршруты. Средства защиты, настроенные на обнаружение вредоносных файлов и попыток эксплуатации уязвимостей, могут не увидеть проблему в момент входа: формально пользователь авторизовался корректно. Особенно опасны учетные записи с расширенными правами, технические пользователи для интеграций, а также сотрудники, которые имеют доступ сразу к нескольким контурам компании.
Пароли похищают через фишинговые страницы, вредоносные программы для кражи данных из браузеров, поддельные обновления, сообщения от имени подрядчиков и сервисов доставки. Отдельную нишу занимают личные устройства сотрудников. На них нередко сохраняются корпоративные пароли, данные доступа к почте и облачным сервисам, файлы с ключами или конфигурациями. В открытой статистике по журналам вредоносных программ для кражи данных 30% скомпрометированных устройств относились к корпоративным, а 46% устройств, где были обнаружены корпоративные учетные записи, не находились под управлением работодателя. Это означает, что
Разбивка по векторам атак показывает, что кража учетных данных почти всегда пересекается с другими техниками. На социальную инженерию приходится 33% первичных проникновений, причем 22% связаны непосредственно с фишингом. Еще в 13% случаев атакующие использовали учетные данные, скомпрометированные ранее, а в 8% — подбирали пароли к существующим учетным записям. Дополнительные 11% формируют ошибки в настройках прав доступа и злоупотребление легитимными полномочиями сотрудников или подрядчиков. В сумме атаки на идентификацию обеспечивают 65% первичных проникновений. Полученный пароль редко остается единственным инструментом злоумышленника: его проверяют в почтовых сервисах, на шлюзах удаленного доступа, во внутренних приложениях и на серверных ресурсах, а затем используют для закрепления и повышения привилегий.
После первого входа наибольшую роль играет внутренняя связность инфраструктуры. В исследовании, посвященном боковому перемещению внутри сети, 87% серверов принимали удаленные подключения по RDP или SSH, а 78,7% были доступны по SMB или WinRM. При этом 43,2% внутреннего трафика аутентификации приходилось на NTLM — устаревший механизм проверки подлинности, который допускает повторное использование хэша пароля вместо самого пароля. У 12,2% организаций выявлены прямые административные маршруты от пользовательских рабочих станций к серверам. В такой среде скомпрометированная учетная запись превращается в точку входа сразу во все направления, к которым она имеет право: от файлового сервера и почтового ящика до систем резервного копирования и консоли управления доменом — без единого дополнительного эксплойта. .
Отраслевой срез показывает, что проблема по-разному проявляется в зависимости от устройства ИТ-ландшафта. В добывающей отрасли учетные данные фигурировали среди скомпрометированных данных в 43% подтвержденных утечек, в управляющих и головных компаниях — в 33%, в строительстве — в 31%. Для ритейла показатель составил 26%, для профессиональных услуг — 24%. В финансовом секторе, промышленности и транспорте учетные данные были затронуты в 22% подтвержденных утечек. Этот показатель описывает состав похищенных данных; частоту всех инцидентов он не измеряет. Тем не менее распределение хорошо отражает зоны повышенного внимания: чем больше в компании подрядчиков, распределенных площадок, технических учетных записей, удаленного доступа и старых интеграций, тем выше вероятность, что один пароль сохранится дольше положенного и попадет в чужие руки. Высокие показатели в добыче и управляющих компаниях объясняются не слабостью ИТ-команд, а структурой доступа- все это создает длинный хвост учеток, которые никто не считает приоритетными для ротации.
Причина часто кроется в накопившихся исключениях. Учетная запись создавалась для проекта, затем проект завершился, но доступ остался. Технический пользователь получил широкие права ради стабильной работы интеграции. Сотрудник сменил подразделение, а прежние полномочия не были отозваны. Подрядчик подключался к системе на время внедрения и продолжил иметь возможность входа после окончания работ. Одновременно часть паролей сохраняется в браузерах, файлах конфигурации, скриптах автоматизации и системах управления задачами. Внутри одной инфраструктуры могут сосуществовать современные механизмы аутентификации, старые протоколы, общие учетные записи и несколько независимых каталогов пользователей. Злоумышленнику достаточно найти наиболее слабый участок этой цепочки.
Сокращать риск необходимо через управление полным жизненным циклом учетной записи. Компании стоит инвентаризировать пользовательские, привилегированные и технические учетные записи, определить владельца каждого доступа, проверить его фактические права и отключить неиспользуемые учетные записи. Для администраторов и систем с высокой критичностью требуется раздельная работа с обычными и привилегированными учетными записями, многофакторная аутентификация с использованием аппаратных ключей или других устойчивых к фишингу методов, ограничение доступа по времени и контроль действий в ходе сеанса. Техническим учетным записям необходимы регулярная смена секретов, запрет постоянных паролей, ограничение источников подключения и минимальные права, достаточные только для конкретной операции.
Отдельного контроля требуют входы с новых устройств, попытки авторизации из непривычных регионов, одновременное использование одной учетной записи в разных средах и последовательные обращения к большому числу ресурсов. Не менее полезно регулярно сопоставлять корпоративные адреса электронной почты с данными о внешних утечках, но реагировать нужно не только сменой пароля. При подтвержденной компрометации требуется отозвать активные сеансы, проверить выданные ключи доступа, сбросить пароли технических пользователей и проанализировать, какие системы были доступны под этой учетной записью. Радиус поражения одного украденного пароля измеряется не его сложностью, а объемом прав, которые к нему прикреплены, и временем, за которое организация способна отозвать активные сессии после сигнала тревоги — в большинстве обследованных сред этот показатель составил от 4 до 18 часов. Украденные учетные данные остаются удобным инструментом для атакующих по одной причине: организация сама заранее определяет, насколько далеко можно пройти с чужим паролем. Чем уже права доступа и чем быстрее компания способна отозвать их после подозрительной активности, тем меньше шансов, что единичная компрометация перейдет в масштабный инцидент.
