В Picus Security проанализировали 1 млн образцов вредоносных программ, придя к выводу о том, что в прошлом году количество атак в отношении хранилищ паролей, в том числе встроенных в браузеры, выросло по сравнению с 2023 годом втрое. Выяснилось также, что в 93% подобных случаев используются всего 10 методов проведения атак из стандартного справочника MITRE ATT&CK.

Учитывая, что хранилище паролей позволяет получить доступ сразу ко множеству ресурсов, рост интереса злоумышленников не удивляет: взломать такой «сейф» — все равно, что выиграть джекпот, говорят специалисты по безопасности. Все захваченные пароли злоумышленники проверяют на множестве ресурсов, которыми могла пользоваться жертва, в расчете на совпадение — такую процедуру называют парольной «фаршировкой» (password stuffing).

При угоне менеджера паролей задача злоумышленников облегчается тем, что доступ к самостоятельным хранилищам паролей обычно требует более низкого уровня привилегий, чем к системным ресурсам аналогичного назначения.

Среди вредоносных программ, которыми пользуются взломщики, можно выделить RedLine Stealer — вредонос, специально разработанный для кражи конфиденциальной информации, в том числе верительных данных, хранимых браузерами и другими приложениями. Обычно он распространяется через фишинговые сообщения. Еще одна подобная программа, Lumma Stealer, предлагается в даркнете в виде «сервиса». С ее помощью могут угонять криптовалютные кошельки, красть учетные данные и другую ценную информацию на скомпрометированных системах.

По данным исследования компании кибербезопасности ReliaQuest, в 2024 году по сравнению с 2023-м более чем на 50% выросло предложение на площадках даркнета файлов с верительными данными, собранных в результате работы инфостилеров — вредоносных программ для кражи информации, тоже нередко предоставляемых в виде «сервиса». За тот же период сразу на 142% подскочило число объявлений от «брокеров доступа» (initial access broker), злоумышленников, предоставляющих услуги получения привилегированного доступа к различным ИТ-системам. По оценкам ReliaQuest, в 66% инцидентов с программами-вымогателями, от которых пострадали клиенты компании, для первоначального получения доступа к системам использовались верительные данные именно от подобных «брокеров».

Для безопасности специалисты советуют внедрять более защищенные менеджеры паролей со сквозным шифрованием и многофакторной аутентификацией. При этом и шифрование, и расшифровка должны происходить на устройстве конечного пользователя, чтобы никто, кроме него, не мог получить доступ к хранилищу.