 |
75% взломов теперь идут через обычные логины и пароли — как изменился рынок ransomware в 2026 |

26.05.2026, 21:35
|
|
Участник форума
Регистрация: 04.03.2015
Сообщений: 129
С нами:
5890890
Репутация:
0
|
|
75% взломов теперь идут через обычные логины и пароли — как изменился рынок ransomware в 2026
За последние пару лет рынок ransomware сильно поменялся. Если раньше многие представляли взлом как какой-то сложный эксплойт, zero-day или «киношную» атаку через вирус, то сейчас всё куда банальнее — и опаснее одновременно.
Большая часть вторжений в 2026 начинается вообще без эксплойтов. Просто через обычный логин и пароль.
По данным CrowdStrike, ещё в 2024 году около 75% атак использовали валидные учётные данные. IBM X-Force тоже фиксировали резкий рост атак через compromised credentials. Для многих SOC-команд это стало отдельной проблемой: отличить реального сотрудника от злоумышленника становится всё сложнее.
Потому что выглядит это максимально легитимно:
— успешный вход в VPN,
— авторизация в Outlook,
— подключение через RDP,
— MFA уже пройден,
— антивирус молчит,
— бинарников нет.
А потом оказывается, что доступ куплен у инфостилера или через брокера initial access.
Сейчас в даркнете ежедневно сливаются тысячи свежих логинов:
— корпоративные VPN,
— Citrix,
— RDP,
— Google Workspace,
— Microsoft 365,
— панели хостинга,
— доступы к внутренним админкам.
И вокруг этого уже давно вырос отдельный рынок.
Обычно схема выглядит так:
• Initial Access Broker получает доступ в сеть компании и продаёт его дальше. Цена зависит от размера компании и уровня доступа. Иногда доступ в среднюю европейскую компанию могут продать дешевле хорошего смартфона.
• Аффилиат покупает этот доступ, двигается по сети, ищет бэкапы, домен-контроллеры, файловые сервера и готовит инфраструктуру под шифрование.
• Оператор ransomware поддерживает саму платформу: билдеры, панель, DLS, инфраструктуру для переговоров и публикаций. С выкупа он получает свой процент.
Из-за такой модели сейчас уже сложно говорить о какой-то «фирменной» атаке конкретной группировки. Один и тот же ransomware-бренд может использоваться совершенно разными людьми с разными TTP.
Именно поэтому в 2026 threat intelligence всё чаще смотрит не на название шифровальщика, а на поведение аффилиатов:
— как двигаются по сети,
— какие тулзы используют,
— как закрепляются,
— что делают перед эксфильтрацией,
— какие логи чистят,
— как обходят EDR.
После утечек внутренних чатов Black Basta и развала нескольких крупных RaaS-проектов рынок вообще стал максимально фрагментированным. Многие аффилиаты просто разошлись по другим группировкам или ушли в приватные Telegram-комьюнити.
Из-за этого порог входа в ransomware сейчас ниже, чем несколько лет назад. Некоторые вещи уже продаются буквально «под ключ»:
— доступ,
— криптор,
— панели,
— DLS,
— инструкции,
— саппорт,
— даже готовые шаблоны переговоров с жертвами.
Интересно, что модель «просто украсть данные и угрожать сливом» начала работать хуже. Многие группировки снова возвращаются именно к шифрованию инфраструктуры, потому что зашифрованные сервера и остановка бизнеса давят на компанию намного сильнее, чем публикация файлов.
Особенно если речь идёт про:
— производство,
— логистику,
— медицину,
— финансы,
— гостиничный бизнес,
— университеты.
Отдельная проблема — compliance и регуляторы. Для европейских компаний утечка теперь означает не только репутационные потери, но и потенциальные штрафы по GDPR. А в некоторых странах начали серьёзно ужесточать ответственность за повторные утечки персональных данных.
В итоге главный вывод последних лет довольно простой:
сейчас самая опасная «уязвимость» — это уже не zero-day, а обычная учётка сотрудника с украденным паролем.
|
|
|

02.06.2026, 14:24
|
|
Новичок
Регистрация: 02.06.2026
Сообщений: 3
С нами:
0
Репутация:
0
|
|
Да, такие утечки реально неприятны. Взломать могут любого сотрудника.
|
|
|

14.06.2026, 01:00
|
|
Новичок
Регистрация: 07.01.2004
Сообщений: 7
С нами:
11757693
Репутация:
0
|
|
Ну да, теперь даже самый простой вход под чужим логином — и всё, доступ открыт, как будто ты сам там сидишь. Раньше думал, что нужна суперхакерская штука, а оказалось, достаточно просто нарваться на слитый пароль, и дело в шляпе. Вот только теперь защититься сложнее, потому что вроде и MFA, и антивирус, а кто-то всё равно просочится незаметно.
|
|
|

18.06.2026, 23:04
|
|
Новичок
Регистрация: 19.10.2012
Сообщений: 5
С нами:
7139126
Репутация:
0
|
|
Вот и выходит, что весь хайп про супер-хаки можно выкинуть — просто пароль где-то спалили, и ты уже в пролёте, как будто по красной дорожке прошёл. Больше изучай пароли, меньше заморочек с эксплойтами. Взлом теперь как очередь в магазин: простой и массовый.
|
|
|

21.06.2026, 07:50
|
|
Новичок
Регистрация: 07.08.2004
Сообщений: 10
С нами:
11451971
Репутация:
0
|
|
Абсолютно согласен, теперь всё сводится к простому компромату на учётку. Раньше за этим стояли сложные хакерские схемы, а сейчас — банальная утечка пароля, и всё. Вот только этот подход гораздо тяжелее отследить, поскольку злоумышленник выглядит как реальный пользователь. Именно поэтому защита становится всё более сложной, несмотря на MFA и кучу других барьеров.
|
|
|

23.06.2026, 09:10
|
|
Новичок
Регистрация: 02.01.2013
Сообщений: 14
С нами:
7031126
Репутация:
0
|
|
Точно, теперь всё упирается в украденные пароли и валидные учётки. MFA вроде есть, но мошенники уже умеют обходить и это через социальную инженерию или скомпрометированные сессии. Вот представь, ты в сети, вроде всё легально, а в это время кто-то тихо ходит по внутренним ресурсам, собирает данные. Реально муторная тема — защита стала не просто про технологии, а про постоянный контроль и анализ поведения.
|
|
|

25.06.2026, 08:40
|
|
Новичок
Регистрация: 08.04.2003
Сообщений: 7
С нами:
12152248
Репутация:
0
|
|
Честно говоря, ситуация с взломами через легитимные учётки не так однозначна, как кажется. Да, пароли сливаются, и MFA порой обходят, но это не значит, что вся защита бессмысленна. Просто акцент смещается на мониторинг активности, анализ подозрительных действий, а не только на технологии. Рынок ransomware даже поменялся, но от этого легче не стало — всё сложнее и мутнее.
|
|
|
|
 |
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|