Кибератаки используют старые уязвимости: 66% инцидентов связаны с цепочкой поставок

По данным Helpnetsecurity, новая угроза, выявленная в отчёте Barracuda, демонстрирует, что злоумышленники продолжают использовать одни и те же уязвимости для проникновения в корпоративные системы. Отчёт основан на данных Managed XDR, собранных за 2025 год. В рамках анализа было проанализировано более двух триллионов событий ИТ-инфраструктуры, около 600 000 предупреждений о безопасности и более 300 000 защищённых активов.

Центр безопасности Barracuda обработал около 53 000 угроз высокого уровня через платформу SOAR. Среди ключевых выводов отчёта — значительное количество успешных атак начинается не с продвинутых форм вредоносного ПО, а с простых ошибок конфигурации и управления доступом.

Утечки идентификационных данных остаются главной точкой входа

Самыми частыми событиями, фиксируемыми в системах, являются подозрительные входы в аккаунты. За последние 12 месяцев было зафиксировано 42 859 случаев аномальных входов в Microsoft 365, а также 22 343 инцидента, связанных с «невозможной географией», когда входы происходили из физически несвязанных локаций. Такие события часто указывают на кражу учётных данных, компрометацию аккаунтов или тестирование доступа злоумышленниками.

Другие частые события включают в себя захват аккаунтов, отключение агентов защиты на конечных устройствах, блокировку входа из-за новых геолокаций. Хотя частые атаки типа «brute-force» занимают меньшее место, данные показывают, что распространение метода «password spraying» остаётся актуальным, особенно после выявления уязвимых сервисов.

Повышение привилегий маскируется под обычные IT-операции

После того как злоумышленники получают доступ, они часто переходят к повышению привилегий. Barracuda отметила, что подозрительные действия с привилегиями происходят в среде Windows, Microsoft 365 и системах брандмауэров. Наиболее распространённой формой является добавление пользователя в группу с высоким уровнем доступа, что составляет 42% всех выявленных случаев. В 27% случаев пользователи удалялись из таких групп, что может свидетельствовать о попытках скрыть следы атаки.

Аналогичные действия происходят и в Microsoft 365: добавление глобального администратора составляет 16%, а удаление — 12%. Злоумышленники всё чаще используют легитимные инструменты и стандартные рабочие процессы, чтобы оставаться незамеченными.

Удалённое управление становится новой точкой риска

Инструменты удалённого управления и доступа продолжают привлекать злоумышленников. В отчёте описаны инциденты, связанные с уязвимостями в SonicWall SSL-VPN, ScreenConnect, RDP, PsExec, AnyDesk и брандмауэрах. В одном случае, вредоносный файл пытался зарегистрироваться как служба Windows для обеспечения долгосрочного присутствия в системе. Также злоумышленники использовали PowerShell для установки ScreenConnect, что позволило им продолжить атаку.

В другом случае, связанном с шифровальщиком Akira, злоумышленники установили Datto RMM после получения доступа к контроллеру домена. Такие действия выглядят как часть обычной ИТ-автоматизации, что помогает им оставаться незамеченными.

Внешние поставщики остаются слабым звеном

Роль поставщиков и внешних партнёров в инцидентах безопасности стала ещё более заметной. В 2025 году 66% всех инцидентов были связаны с цепочкой поставок или третьими сторонами, что на 21 процент больше, чем в 2024 году. В одном из случаев, злоумышленники получили доступ через учётную запись поставщика, которая не была деактивирована после окончания контракта.

Такие инциденты подчёркивают, что недостаточное управление доступом может создавать долгосрочные точки входа, которые остаются незамеченными до момента их использования.

Устаревшие криптографические уязвимости продолжают быть актуальными

Проблемы с устаревшей криптографией и сертификатами остаются распространёнными. Среди основных выявленных уязвимостей — ненадёжные сертификаты, несоответствие имени сертификата, слабые проверки шифрования и самоподписанные сертификаты. Наиболее часто встречаемой уязвимостью стал CVE-2013-2566, связанный с RC4. Также значимыми были CVE-2019-11072 в lighttpd и CVE-2024-6387 в OpenSSH, обладавшие критическим уровнем риска.

Всего было выявлено 2 525 уникальных уязвимостей, из которых 4 146 имели критический уровень. В 11% случаев уязвимости уже имели известные способы эксплуатации.

Неправильная настройка снижает эффективность защитных механизмов

Неправильная настройка и отключение защитных функций сыграли важную роль в инцидентах. Большинство отключённых функций касались агентов защиты на конечных устройствах (94% всех выявленных случаев). Также значительную долю составили отключения MFA (3,62%), правил безопасности для ссылок (1,4%) и правил безопасности для вложений (0,6%).

В каждом случае, с которым столкнулось Barracuda, был найден хотя бы один незащищённый или неправильно настроенный узел. Это подчёркивает проблему несовершенного управления устройствами и несогласованного применения правил безопасности.

Шифровальщики продолжают использовать периметр для проникновения

Шифровальщики остаются одной из самых стабильных угроз. В 2025 году было зафиксировано 13 514 индикаторов активности шифровальщиков. Влияние шифровальщиков выросло: доля организаций, подвергшихся атакам, составила от 5,1% до 10,9% в месяц, в сравнении с 1,5% до 5,6% в 2024 году.

Брандмауэры сыграли ключевую роль в инфицировании. В 90% случаев шифровальщики использовали уязвимости в брандмауэрах, либо через CVE, либо через уязвимые учётные записи. После того как злоумышленники начинают боковое движение по сети, установка шифровальщиков становится почти неизбежной. В 96% случаев, где происходило боковое движение, шифровальщики применялись.

Скорость атак также варьировалась: в некоторых случаях от взлома до шифрования проходило три часа, а боковое движение — за 10 минут. В других случаях атаки длились неделями или месяцами, что позволяло злоумышленникам извлечь данные и подготовить шифровальщиков.

i

Создано специально для ASECTOR

Концептуальное изображение

Рекомендации по повышению уровня безопасности

Эксперты отмечают, что уязвимости, которые продолжают использоваться злоумышленниками, часто остаются незамеченными. Примеры включают в себя незащищённые устройства, неактивные учётные записи, необновлённые приложения и неправильно настроенные функции безопасности. Для минимизации рисков ключевым становится аудит доступа, обновление систем и регулярный мониторинг активности в сетях.

Когда защита выглядит как уязвимость: как атаки повторяются, несмотря на технологии

Уязвимости, которые не исчезают, становятся бизнес-рисками

Несмотря на развитие технологий безопасности, большинство успешных атак продолжают использовать давно известные уязвимости. Это указывает не на недостатки самих технологий, а на системные пробелы в управлении доступом, настройке инфраструктуры и культуре пользовательской ответственности. Особенно остро эта проблема проявляется в случаях, когда злоумышленники не прибегают к сложным эксплойтам, а используют простые ошибки конфигурации, устаревшие протоколы или человеческий фактор.

Например, уязвимости «в один клик» в Microsoft Office становятся всё более популярными [!]. Они позволяют злоумышленникам заразить систему при открытии вредоносного файла, даже если пользователь не совершает явных действий, кроме как кликает на документ. Такие уязвимости особенно опасны, потому что они не требуют специфических знаний или сложных инструментов. Это делает их доступными для широкого круга атакующих, включая менее квалифицированных злоумышленников, действующих на автомате.

Внешние поставщики и уязвимые учётки: масштабная проблема управления доступом

Рост числа инцидентов, связанных с цепочкой поставок, указывает на то, что компании всё ещё не полностью осознают масштаб рисков, связанных с внешними партнёрами. Учётные записи, оставшиеся активными после окончания контракта, или неправильно настроенные разрешения, становятся мостом для злоумышленников. В 2025 году 66% всех инцидентов были связаны с цепочкой поставок, что на 21 процент больше, чем в 2024 году. Это резкое увеличение говорит о том, что интеграции с внешними системами становятся не только техническим, но и стратегическим риском.

Злоумышленники часто используют легитимные инструменты и стандартные процессы, чтобы оставаться незамеченными. Например, в Microsoft 365 злоумышленники могут использовать захваченные почтовые аккаунты для получения доступа к корпоративным сообщениям и файлам [!]. Такие действия выглядят как часть обычной ИТ-деятельности, что делает их труднораспознаваемыми.

Важно: Управление доступом становится не только технической задачей, а стратегическим элементом бизнес-безопасности. Ошибки в этом направлении приводят к утечкам данных и финансовым потерям.

Устаревшая криптография и слабые протоколы: тихий, но устойчивый риск

Уязвимости, связанные с устаревшей криптографией, такие как CVE-2013-2566, продолжают использоваться, несмотря на давно известные способы их устранения. Это говорит о том, что обновление инфраструктуры часто откладывается, а старые протоколы остаются в рабочем состоянии. Такие уязвимости не требуют новых методов атак — они работают по сценарию, который уже проверен десятки раз.

Компании, которые не следят за обновлениями, рискуют не только своими данными, но и репутацией. В условиях, когда требования к защите растут, игнорирование базовых мер безопасности может привести к серьёзным последствиям, включая штрафы и потерю доверия клиентов. Например, Microsoft в октябре 2025 года прекратила поддержку Windows 10, Office 2016/2019 и Exchange Server 2016/2019, рекомендовав пользователям перейти на более новые версии или облачные решения [!].

Важно: Удобство, которое снижает уровень защиты, становится главным врагом безопасности. Чем проще настройка, тем больше вероятность, что она будет нарушена.

Неправильная настройка: когда защита становится дверью

Отключение MFA, неправильная настройка прав доступа, неактивные учётные записи — всё это создаёт не только технические проблемы, но и бизнес-риски. Особенно это касается компаний, где ИТ-инфраструктура распределена, а процессы управления доступом не унифицированы. Злоумышленники знают, что защита часто отключается в угоду удобству, и используют это. В таких случаях атаки не требуют сложных инструментов — они происходят через простые действия, которые легко упускаются из виду.

Удалённое управление: маскируемая угроза

Инструменты удалённого управления и доступа продолжают привлекать злоумышленников. В отчёте описаны инциденты, связанные с уязвимостями в SonicWall SSL-VPN, ScreenConnect, RDP, PsExec, AnyDesk и брандмауэрах. Злоумышленники часто используют такие инструменты, чтобы маскировать свои действия под легитимные процессы. Например, в одном случае, злоумышленники установили Datto RMM после получения доступа к контроллеру домена, что позволило им продолжить атаку, оставаясь незамеченными.

Важно: Удалённые инструменты управления требуют строгого контроля и регулярного аудита. Их неправильная настройка или отсутствие мониторинга создают устойчивые точки входа для атак.

Что дальше: от мониторинга к предиктивной защите

Для минимизации рисков ключевым становится переход от реактивного подхода к предиктивному. Это включает в себя регулярный аудит доступа, автоматизацию обновлений, усиление контроля за внешними партнёрами и внедрение систем, которые могут выявлять аномалии в реальном времени.

Компании, которые не будут уделять внимание базовым уязвимостям, рискуют столкнуться с последствиями, которые будут гораздо дороже, чем затраты на их устранение. Особенно важно внедрять меры, которые позволяют не только отслеживать атаки, но и предсказывать их на ранних этапах.

Главный вывод: Устойчивые атаки на корпоративные системы указывают на системные проблемы в управлении доступом, настройке безопасности и культуре пользовательской ответственности. Без корректировки этих аспектов риски будут расти, несмотря на развитие технологий.