Больше половины атак шифровальщиков связаны с инфостилерами

Такая динамика объясняется трансформацией киберпреступной экосистемы. За последние два года сформировалась устойчивая цепочка поставок доступа, в которой инфостилеры выступают поставщиками для последующих атак. Вредоносные программы собирают учетные данные, cookie-файлы, токены сессий и другую чувствительную информацию с зараженных устройств. Затем операторы стилеров формируют массивы украденных данных, которые продаются на теневых маркетплейсах. Эти наборы приобретают брокеры начального доступа (Initial Access Brokers), специализирующиеся на проверке и перепродаже корпоративных учетных записей. На следующем этапе доступ выкупают операторы ransomware-группировок, что значительно сокращает цикл атаки. Если несколько лет назад злоумышленники тратили месяцы на закрепление в инфраструктуре, то сегодня многие операции разворачиваются в течение нескольких дней, а иногда и часов.

Исследования показывают, что около 54% компаний-жертв вымогателей, ранее фигурировали в логах инфостилеров или на продаже в даркнете, где публиковались данные о доступе к корпоративным системам. При этом в 40% таких логов присутствовали корпоративные адреса электронной почты. Такая корреляция не является прямым доказательством атаки, однако она показывает, насколько часто украденные учетные данные становятся отправной точкой для последующих вторжений.

Анализ логов инфостилеров показывает, что около 30% зараженных систем являются корпоративными устройствами с установленным лицензированным программным обеспечением для бизнеса. Однако почти половина, примерно 46%, относится к категории устройств, где одновременно используются личные и рабочие учетные записи. Речь идет о ноутбуках сотрудников, домашних ПК и других устройствах, участвующих в корпоративных процессах в рамках практики BYOD. Такие системы редко подключены к полноценным средствам мониторинга безопасности, не всегда получают своевременные обновления и часто используются для установки стороннего ПО. В результате именно они становятся одним из наиболее уязвимых элементов корпоративной инфраструктуры.

С точки зрения отраслевого распределения угроз, наиболее уязвимым сегментом остается финансовые организации — на них приходится около 24% атак, связанных с использованием инфостилеров. Банковская инфраструктура содержит большое количество веб-сервисов, что делает кражу сессий особенно эффективной. На втором месте находится ритейл с долей около 19%, где широко применяются облачные CRM-платформы и системы управления заказами. Производственный сектор занимает примерно 16% инцидентов, что объясняется интеграцией корпоративных IT-систем с промышленными сетями. Логистика и транспорт формируют около 12% атак, а телекоммуникационные компании — около 9%. Оставшаяся доля распределяется между государственным сектором, образовательными учреждениями и технологическими стартапами.

Эксперты отмечают, что борьба с подобными атаками требует перехода к модели непрерывной проверки доверия. Практика показывает, что значительное снижение рисков достигается при комбинации нескольких подходов: мониторинга поведения учетных записей в режиме реального времени, контроля целостности пользовательских сессий, регулярной ротации токенов доступа и внедрения архитектуры Zero Trust. Дополнительный эффект дает жесткая политика управления конечными устройствами, включая изоляцию рабочих сред браузеров и использование решений EDR для обнаружения инфостилеров на ранней стадии заражения.

По прогнозу аналитиков «Информзащиты», в течение 2026 года доля ransomware-инцидентов, начинающихся с заражения инфостилером, может вырасти до 60-62%. Основной драйвер роста — автоматизация атак и развитие вредоносных экосистем, где инфостилеры, фишинговые кампании и шифровальщики работают как единая цепочка. В этих условиях компании, которые продолжают рассматривать компрометацию учетных данных как частный инцидент, рискуют недооценить масштаб угрозы.