Анализ на 2025 г. показва индустриализация на атаките и системен срив в традиционните защити

Киберзаплахите навлизат в нова фаза, в която компрометираните идентификационни данни се превръщат в основния вход към корпоративните мрежи. Според анализ на Recorded Future, мащабът и скоростта на тези атаки вече изпреварват способността на организациите да реагират ефективно.

Експлозивен ръст – милиарди компрометирани акаунти

Данните за 2025 г. разкриват тревожна тенденция:

• Близо 2 милиарда компрометирани идентификационни данни, извлечени от т.нар. combo списъци

• 50% ръст през втората половина на годината

• 90% увеличение през Q4 спрямо Q1

Това показва ясно, че кражбата на данни вече не е изолиран процес, а индустриализирана екосистема.

Какво стои зад ръста – автоматизация и „услуги за хакери“

Основните двигатели на тази ескалация включват:

• Infostealer malware като услуга (MaaS)

• Масово използване на ИИ за фишинг и социално инженерство

• Автоматизирани платформи за разпространение и експлоатация на данни

Тези фактори водят до по-нисък праг за влизане в киберпрестъпността и значително по-висока ефективност на атаките.

Цел №1 – системи за идентификация и достъп

Анализът показва, че атакуващите не търсят произволни акаунти, а високостойностни точки за достъп.

Над 60% от компрометираните идентификационни данни са свързани със системи като:

• Okta

• Microsoft Azure Active Directory

• корпоративни VPN решения

Това позволява:

• широк достъп до инфраструктурата

• възможност за ескалация на привилегии

• дори деактивиране на защитни механизми

Заобикаляне на MFA – новото нормално

Един от най-тревожните аспекти е свързан със session cookies.

• 276 милиона компрометирани записа (31%) съдържат активни сесии

• Това позволява директно отвличане на акаунти без парола

• MFA може да бъде напълно заобиколен

На практика атакуващите вече не „хакват“ – те просто влизат легитимно.

Промяна в атакуващия модел – от експлойти към идентичности

Тенденцията е категорична:

• Намалява зависимостта от уязвимости

• Увеличава се използването на валидни идентификационни данни

• Атаките стават по-тихи и по-трудни за откриване

Данни от индустрията:

• 21% от ransomware атаките използват откраднати креденшъли (Google)

• 22% от инцидентите включват компрометирани акаунти (Verizon)

Новата реалност – идентичността като основна повърхност за атака

Ключовият извод е ясен – идентичността вече е най-уязвимият и най-експлоатираният слой в киберсигурността.

Фактори, които разширяват този риск:

• SaaS експанзия

• синхронизация на пароли в браузъри

• използване на лични и корпоративни акаунти

• ИИ-базирано таргетиране

Какво трябва да направят организациите

Традиционните модели за защита вече не са достатъчни. Необходим е стратегически преход към:

1. Непрекъснат мониторинг на идентичности

• Поведенчески анализ

• Откриване на аномалии в реално време

2. Phishing-resistant MFA

• Използване на стандарти като FIDO2

• Намаляване на риска от MITM атаки

3. Контрол на достъпа на база устройство и поведение

• Conditional access политики

• Zero Trust подход

4. Защита на Tier-0 активи

• IAM системи

• SIEM платформи

• инструменти за сигурност

Тези ресурси трябва да бъдат строго сегментирани, криптирани, ротирани и наблюдавани в реално време.

 „Bлизането“ е новото „пробиване“

Съвременните кибератаки променят фундаментално правилата на играта:

• достъпът вече се постига чрез легитимни идентичности

• защитите, базирани на периметър, губят ефективност

• MFA вече не е достатъчна самостоятелна мярка

В тази среда организациите трябва да приемат нова парадигма – сигурността започва и завършва с управлението на идентичността.