Написано Раном Гевой, генеральным директором Webz.io и Lunarcyber.com
В 2026 году украденные учетные данные являются первоочередной задачей в области безопасности. Это и парадокс: несмотря на то, что они считаются значительным риском, предприятия по-прежнему выбирают «галочные» решения и универсальные инструменты для смягчения этой проблемы.
Согласно недавнему опросу, проведенному по заказу Lunar, платформы для мониторинга даркнета на базе Webz.io, 85% организаций относят украденные учетные данные к высокому или очень высокому риску, при этом 62% заявляют, что они входят в тройку их главных приоритетов в области безопасности.
В то же время я общался с десятками организаций, использующих платформу сообщества Lunar, которые говорили мне вещи вроде: «У нас везде настроена многофакторная аутентификация (MFA), так что мы защищены» и «Наш стек EDR и нулевого доверия уже защищает наших сотрудников».
Они не осознают, что меры EDR и нулевого доверия не обеспечивают защиты, когда сотрудник входит в критически важный SaaS-сервис с неуправляемого домашнего устройства.
Последствия несвоевременного обнаружения украденных учетных данных могут быть катастрофическими. Согласно отчету IBM о стоимости утечки данных, утечка, связанная с скомпрометированными учетными данными, обходится в сумму от 4,81 до 4,88 миллиона долларов.
Учитывая, что только в 2025 году Lunar зафиксировала 4,17 миллиарда скомпрометированных учетных данных, потенциальная глобальная стоимость этих атак ошеломляет. Все это означает, что простого мониторинга утечек уже недостаточно.
Необходим сдвиг в мышлении предприятий для создания программной стратегии защиты, которая противостоит постоянно развивающейся угрозе инфостилеров.
«Галочный» мониторинг и опасности использования универсальных решений
Общаясь с организациями, я всегда спрашиваю, как они смягчали угрозу инфостилеров до подключения Lunar. Ответы, которые я получаю, следуют одной и той же схеме: скомпрометированные учетные данные — это серьезная проблема, и мы выделили ресурсы на решения для смягчения этой угрозы.
Чего они не осознавали, так это того, что эти решения были неполноценными и в основном состояли из следующего:
-
Фокус на утечках данных, а не на инфостилерах
-
ULP и некриминалистические данные инфостилеров
-
Высокая задержка и устаревшие источники данных
-
Отсутствие автоматизации, интеграций или возможностей для расследования
Наше исследование показывает, насколько серьезна проблема. Только 32% опрошенных нами предприятий используют специализированные решения для мониторинга учетных данных, в то время как 17% вообще не используют никаких инструментов.
При этом более 60% организаций проверяют наличие скомпрометированных учетных данных ежемесячно, редко или вообще не проверяют.
Мы видели собственными глазами, как работают эти решения. Когда новые организации подключают Lunar, многие шокированы, обнаружив, что хотя их предыдущие инструменты сообщали им об утечке, они никогда не получали инструментов для надлежащего расследования того, как это произошло.
Криминалистические детали, включая скомпрометированные учетные записи, зараженные устройства, затронутые SaaS-приложения, не говоря уже об украденных сессионных файлах cookie, просто отсутствовали.
Хотя «галочный» подход лучше, чем полное отсутствие безопасности, он редко предоставляет криминалистические данные, необходимые предприятиям для успешного смягчения угрозы инфостилеров. Итак, что же мешает им масштабировать свои операции?
Бесплатный мониторинг утечек и инфостилеров с Lunar
Узнайте, где уже скомпрометированы учетные данные и сессионные файлы cookie вашей компании.
Lunar постоянно отслеживает утечки и журналы инфостилеров для ваших доменов и отображает доступные для принятия мер риски на бесплатной панели мониторинга корпоративного уровня.
Угроза инфостилеров гораздо серьезнее, чем думают предприятия
Здесь в наши беседы вступает парадокс инфостилеров. Хотя все знают об опасностях скомпрометированных учетных данных, они либо не могут выделить бюджет, либо просто не знают, какие типы решений успешно смягчают проблему.
Кроме того, они не всегда понимают, насколько на самом деле распространена кража учетных данных, какие среды они атакуют и к какой информации могут получить доступ.
Из 4,17 миллиарда записей скомпрометированных учетных данных, собранных нами в 2025 году, мы проанализировали журналы инфостилеров, скомпилированные списки, полученные от стилеров, маркетплейсы и каналы Telegram. Инфостилеры, такие как LummaC2, Rhadamanthys, Vidar, Acreed и другие, постоянно ускользали от корпоративного мониторинга, даже в средах, которые считали себя зрелыми.
И хотя многие новые пользователи Lunar полагали, что macOS безопаснее Windows, они были шокированы, узнав о таких семействах, как Atomic macOS Stealer (AMOS), Odyssey, MacSync, MioLab и Atlas.
Существует также проблема осведомленности относительно данных, которые эксфильтрируют инфостилеры, что выходит далеко за рамки простых пар логин/пароль. Поскольку современные инфостилеры теперь продаются как полноценные продукты с уровнями подписки, панелями мониторинга и документацией, настроенной на сбор файлов cookie, сессионных токенов и доступа к SaaS в масштабе, организации теперь спешат наверстать упущенное и защитить свои сети.
Для злоумышленников сессионные файлы cookie не просто предоставляют доступ. Они фактически открывают парадную дверь, позволяя им полностью пропустить страницы входа: без запроса пароля, без вызова MFA и часто без очевидных следов в стандартных журналах аутентификации.
Это та часть головоломки, которую многие организации начинают осознавать только сейчас.
Как выглядит типичная атака инфостилера?
Когда мы говорим о том, как выглядит атака инфостилера и почему «галочная» безопасность неэффективна, мы часто разбиваем ее на следующий процесс:
-
Заражение цели: Устройство жертвы скомпрометировано инфостилером, доставленным через такие векторы, как эксплойты нулевого дня, кампании ClickFix, вредоносные расширения браузера, непроверенное или пиратское программное обеспечение, игровые моды или вредоносные проекты с открытым исходным кодом.
-
Эксфильтрация учетных данных: Инфостилер извлекает из браузера логины и файлы cookie, в том числе из сторонних порталов, и отправляет их оператору вредоносного ПО.
-
Учетные данные объединяются и продаются: Украденные учетные данные упаковываются в логи и продаются на подпольных рынках и в частных каналах.
-
Злоумышленники получают доступ к корпоративной сети: Злоумышленник, купивший логи, получает доступ к целевой сети, включая сторонние порталы, используя действительный сессионный токен.
Вся эта цепочка событий может быть завершена за считанные часы. Между тем, многие организации, с которыми мы общаемся, проверяют учетные данные раз в месяц или полагаются на устаревшие данные.
К тому времени, когда что-либо появляется в их устаревших инструментах мониторинга, у злоумышленников уже было достаточно времени, чтобы изучить и эксфильтрировать любые данные, которые им нужны.
Разработка зрелой программы мониторинга утечек
Организации, с которыми мы работаем и которые переходят на зрелую программу мониторинга утечек, получают инструменты, необходимые для сбора информации из таких источников, как логи стилеров, группы Telegram и маркетплейсы. Вместо того чтобы полагаться на разовые проверки, они фокусируются на трех практических возможностях:
-
Непрерывный мониторинг и нормализация ключевых источников (утечки, логи инфостилеров, скомпилированные списки, маркетплейсы и соответствующие каналы), чтобы у команд безопасности было четкое и дедуплицированное представление о рисках утечек.
-
Целевая автоматизация, которая уменьшает количество ложных срабатываний и шума, гарантируя, что аналитики тратят время на действительно важные идентификаторы и сессии.
-
Интеграция в существующие стеки безопасности и идентификации (SIEM, SOAR, IDP) для сквозного выполнения плейбуков: сброс учетных данных, аннулирование сессий и блокировка учетных записей, как только риски подтверждены.
Среди пользователей Lunar мы наблюдаем явный сдвиг в мышлении, как только они добиваются успеха. Они рассматривают угрозу инфостилеров как отдельную область со своей ответственностью, метриками и плейбуками, вместо того чтобы управлять мониторингом утечек с помощью несвязанных инструментов.
Все это возвращается к основной миссии Lunar — предоставлять бесплатное решение для мониторинга утечек любой организации, независимо от бюджета, которое обеспечивает охват корпоративного уровня для скомпрометированных учетных данных, инфостилеров и сессионных файлов cookie.
Наша философия заключается в открытом предоставлении обогащенной информации о скомпрометированных учетных данных, что позволяет организациям восстановить истинную видимость и устойчивость.
Переосмысление мониторинга утечек в 2026 году
Даже опытные и осведомленные команды безопасности могут попасть в парадокс мониторинга утечек, когда они знают об угрозе, но ведут себя так, будто ежемесячных проверок, MFA и EDR достаточно. Но в 2026 году инфостилеры действуют со скоростью и в масштабах, для которых «галочные» решения для мониторинга никогда не были предназначены.
Рассмотрение мониторинга утечек как обязательной программы, а не как разового продукта, дает вашему предприятию видимость, необходимую для обнаружения скомпрометированных учетных данных везде, где они появляются, контекст для понимания того, что означают эти риски, и плейбуки для автоматической реакции при обнаружении атаки.
Чтобы узнать, как Lunar может помочь вам найти скомпрометированные учетные данные вашей организации, зарегистрируйтесь для бесплатного доступа.
Спонсировано и написано Lunar.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sponsored by Lunar
