Ваша компания в облаке, ваши учетные данные – в даркнете: как инфостилеры проникли в корпоративные сети

Анализ почти 20 млн. журналов вредоносных программ для кражи информации (инфостилеров), продаваемых в даркнете и в Telegram-каналах, показал значительное проникновение такого ПО в корпоративную среду. Основные семейства инфостилеров – Redline, Raccoon, Titan, Aurora и Vidar, которые предлагаются киберпреступникам по подписке (Malware-as-a-Service, MaaS).

Инфостилеры в первую очередь нацелены на неосторожных пользователей интернета, которые скачивают пиратское ПО или программы из сомнительных источников. Однако похитители информации также оказывают огромное влияние на корпоративные среды, так как сотрудники используют личные устройства для работы или получают доступ к личной информации с рабочих компьютеров.

ИБ-компания Flare в своем новом отчете сообщила , что около 375 000 журналов содержат доступ к бизнес-приложениям, таким как Salesforce, Hubspot, Quickbooks, AWS, GCP, Okta и DocuSign. В записях были обнаружены следующие данные:

• 179 000 учетных данных AWS Console;
• 2 300 учетных данных Google Cloud;
• 64 500 учетных данных DocuSign;
• 15 500 учетных данных QuickBooks;
• 23 000 учетных данных Salesforce;
• 66 000 учетных данных CRM.

Более того, существует около 48 000 журналов, которые включают доступ к «okta.com», службе управления идентификацией корпоративного уровня, используемой организациями для облачной и локальной аутентификации пользователей.

Большая часть этих журналов (74%) была опубликована в Telegram-каналах, а 25% были обнаружены в даркнет-маркетах.

Flare также обнаружила более 200 000 журналов, содержащих учетные данные OpenAI. Учетные данные корпораций получают особенно ценятся в киберпреступном сообществе.

Эта ценность вытекает из потенциальной прибыли, которую киберпреступники могут получить, используя скомпрометированные учетные данные для доступа к приложениям CRM, RDP, VPN и SaaS, а затем используя этот доступ для развертывания скрытых бэкдоров, программ-вымогателей и других полезных нагрузок.

Для минимизации риска заражения вредоносным ПО рекомендуется использование менеджеров паролей, внедрение многофакторной аутентификации (MFA) и строгий контроль использования личных устройств в компании. Кроме того, сотрудники должны быть осведомлены о возможных каналах заражения, например, вредоносные объявления Google Ads , видео на YouTube и посты в соцсетях .