54% кибератак — через слитые пароли: в 2025-м было зафиксировано 25 тыс. попыток взлома облачных инфраструктур

Новая логика атак

Эксперты фиксируют качественный сдвиг: киберпреступники всё реже «ломают» системы напрямую и всё чаще заходят под украденным логином. По данным исследования Yandex B2B Tech, 54% атак начинались с подбора паролей или использования уже слитых в сеть данных.

Александр Зайцев, руководитель управления сервисов безопасности в «Лаборатории Касперского», считает, что работа со скомпрометированными учётными записями стала глобальным трендом и касается компаний по всему миру, включая тех, кто работает в облачных и гибридных инфраструктурах. Среди ключевых рисков, по его словам, — фишинг, стилеры и уязвимости приложений.

Михаил Климов, руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC, также отмечает, что большинство случаев утечек связано с низким уровнем киберзащиты и отсутствием системного мониторинга. По его словам, учетные данные часто оказываются в сети либо из-за неосмотрительных действий сотрудников, либо из-за намеренных действий злоумышленников внутри компании.

Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности», считает, что корень проблемы — в низкой киберграмотности пользователей. Сотрудники нередко используют одни и те же пароли для «одноразовых» сайтов и критически важных сервисов, что облегчает работу хакеров. Он подчеркивает, что именно такие привычки делают компании особенно уязвимыми: утечки с малозначимых ресурсов быстро «переезжают» в инфраструктуру, где последствия оказываются гораздо серьезнее.

Главная мотивация — деньги

В 2024 году многие атаки напоминали диверсию: хакеры старались «уронить» инфраструктуру, остановить бизнес-процессы или подпортить репутацию компании. Но прямой выгоды это приносило не всегда — скорее шоу и демонстрация силы.

В 2025-м вектор резко сменился. По данным Yandex B2B Tech, уже 61% атак в первом полугодии имели чисто финансовый мотив: злоумышленники шифровали данные и требовали выкуп или продавали доступ на чёрных рынках. Это позволило киберпреступникам превратить каждое успешное проникновение в источник быстрой и предсказуемой прибыли.

Для бизнеса последствия стали куда болезненнее. Помимо простоя сервисов и раздражённых клиентов, компании несут прямые убытки — от выплат выкупа до расходов на восстановление и юридических разбирательств. Добавим к этому падение доверия и штрафы за утечки — и атака превращается в полноценный кризис, где счёт идёт уже не на имиджевые потери, а на миллионы рублей.

Что лучше — облако или локальные инфраструктуры?

На вопрос, что уязвимее — облачная или локальная инфраструктура, эксперты сходятся во мнении: нельзя сказать, что облачные решения изначально уязвимее локальной инфраструктуры — всё зависит от зрелости систем защиты и уровня киберграмотности сотрудников.

Начальник отдела по информационной безопасности компании «Код Безопасности» Алексей Коробченко сравнил этот спор с извечным выбором между мобильными платформами: кто-то считает более надёжной iOS, кто-то — Android. По его словам, ситуация с ИТ-инфраструктурой аналогична.

Заместитель председателя правления и директор департамента информационных технологий СДМ-Банка Олег Илюхин отметил, что различие кроется скорее в масштабе последствий.

Руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC Михаил Климов согласен, что критично не само место хранения данных, а системная работа по противостоянию угрозам. Он напомнил, что безопасность зависит от наличия подготовленных специалистов, отлаженных процессов и регулярного обучения сотрудников.

Главные уязвимости

Олег Илюхин, заместитель председателя правления, директор департамента ИТ СДМ-Банка, считает, что все ошибки, которые порой приводят к масштабным последствиям, довольно типичны.

В отчёте специалисты выделили топ-риски для облака, среди них — компрометация учётных данных; злоупотребление легитимным доступом; ошибки в конфигурациях; игнорирование встроенных функций безопасности.

На фоне роста угроз провайдеры облаков усиливают собственные инструменты защиты. Yandex Cloud продвигает комплексную экосистему сервисов:

• Identity Hub — для MFA-аутентификации;
• Security Deck и CIEM — для пересмотра прав доступа;
• DSPM — для автоматического сканирования;
• Smart Web Security — для защиты веб-приложений;
• Detection and Response — для мониторинга гибридных систем.

Многофакторная аутентификация — выход?

Эксперты едины во мнении: многофакторная аутентификация остаётся одним из наиболее действенных барьеров против атак через слитые пароли. Она усложняет злоумышленникам доступ к корпоративным ресурсам и снижает риск компрометации.

Руководитель управления сервисов безопасности в «Лаборатории Касперского» Александр Зайцев отмечает, что двухфакторная аутентификация должна использоваться при работе с любыми сервисами.

При этом руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC Михаил Климов уточняет, что MFA не является абсолютной защитой. По его словам, в редких случаях пользователи сами становятся уязвимым звеном: поддавшись социальной инженерии, они передают одноразовые коды злоумышленникам.

Заместитель председателя правления и директор департамента ИТ СДМ-Банка Олег Илюхин добавляет, что применение социальной инженерии давно стало инструментом обхода даже самых сильных защитных мер.

Таким образом, многофакторная аутентификация остаётся важным элементом защиты, но требует сопровождения другими мерами — от регулярного обучения сотрудников до внедрения комплексных систем мониторинга.

Контекст

Рост числа атак совпал с ускорением миграции бизнеса в облако. Чем больше компаний уходит от локальной инфраструктуры, тем привлекательнее облако становится для атакующих. И если вчера репутационные атаки были инструментом давления, то сегодня это уже прямой рынок выкупа и продажи данных.

Облака дают скорость и масштаб, но требуют новой дисциплины безопасности. Игнорировать MFA или держать подрядчиков «на доверии» — значит оставлять входную дверь открытой.