Поделиться
«Кросс технолоджис»: злоумышленники начали использовать DLP-системы для атак
Специалисты «Кросс технолоджис» зафиксировали складывающийся тренд на использование легитимных инструментов для кибератак, в частности DLP-систем. Этот инструмент привлекает злоумышленников в первую очередь возможностью сбора большого количества данных, в том числе привилегированных учеток, и незаметностью для СЗИ, так как они рассматривают его как легитимный инструмент.
Российские компании наращивают спрос на защиту от утечек, объем этого рынка увеличился примерно на 20% в 2025 г. по сравнению с 2024 г. По оценкам аналитиков сервиса Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК «Кросс технолоджис»), только за первые два месяца 2026 г. в даркнете появилось порядка 40 баз данных российских компаний и организаций.
Эксперты «Кросс технолоджис» описывают типовой сценарий использования DLP злоумышленниками. Хакеры берут DLP-систему, такую же, как компании внедряют в своей инфраструктуре. При этом разворачивают ее на внешнем сервере и делают установщик.
На следующем этапе кампании злоумышленники готовят фишинговое письмо и направляют его сотруднику или нескольким сотрудникам атакуемой компании. Письмо, например, может содержать требование установить критическое обновление офисного ПО с прикрепленным файлом с расширением .msi. Хакеры уделяют большое внимание достоверности письма, поэтому делают их в корпоративном дизайне, используют корпоративный домен в почте и так далее.
После скачивания файла хакеры могут использовать DLP в тихом режиме – то есть система никак не будет обозначать свое присутствие. Такой агент способен на многое: снимать скриншоты экрана, записывать все, что печатается на клавиатуре, перехватывать сообщения из мессенджеров, копировать файлы с диска, а некоторые решения могут даже активировать веб-камеру и микрофон на рабочем ноутбуке. И все это – абсолютно легальное ПО, на которое антивирусы часто не реагируют.
«Кульминацией может стать либо атака с использованием собранных данных, например, использование учетных данных привилегированных пользователей для проникновения в информационные системы компании, либо фаза прямого вымогательства, когда накопленный массив данных превращается в средство давления на жертву или ее работодателя. Этот сценарий показывает, что любой инструмент мониторинга может быть обращен против компании, если злоумышленник получает возможность распространить его под видом легитимного ПО. Особенно уязвимы компании, где разрешено скачивать и устанавливать программы из писем или с файлообменников», – сказала Любовь Михалева, архитектор департамента развития и архитектуры «Кросс технолоджис».
Специалисты интегратора подчеркивают, что наиболее уязвимы к такой схеме компании в которых отсутствует мониторинг сетевой активности, а у пользователей слишком широкие права. Эффективными шагами по противодействию это тактике злоумышленников эксперты считают, в первую очередь, обучение персонала основам информационной безопасности, умению определять фишинговые письма: обращать внимание на адрес отправителя, внимательно относиться к «срочности» в сообщениях, не устанавливать файлы из сомнительных писем. Во-вторых, необходимо ограничивать права пользователей до круга, необходимого для выполнения рабочих задач. К этому относится, например, установка файлов, которая должна проходить только через согласование с ИТ-департаментом. В-третьих, необходимо внедрение комплекса СЗИ, например, SIEM, средства фильтрации для электронной почты и так далее. Подобный комплекс мер позволит значительно повысить защищенность и сократить для злоумышленников возможность осуществить первичное проникновение и дальнейшие вредоносные действия.
Короткая ссылка
