Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети
Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа.
🔑Вся экономика атак через краденые креды — конвейер с тремя звеньями:
• Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам
• Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000
• Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000
Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход.
Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль.
Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина.
🪧Что реально помогает на практике?
1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало
2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection
3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток
IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают.
Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме.
