Эксперты компании «Информзащита» выявили тенденцию роста инцидентов, в которых начальным вектором атаки становятся украденные или скомпрометированные учетные данные VPN. По оценке специалистов, в первом квартале 2026 года на такие случаи пришлось 45% атак против корпоративной инфраструктуры. Годом ранее доля составляла 33%, а во втором полугодии 2025 года держалась на уровне 39%.
Тенденция вписывается в общемировую картину: по данным глобальных исследований, VPN-устройства и оборудование на сетевом периметре стали одним из наиболее активно эксплуатируемых классов инфраструктуры. Эксперты фиксируют, что компрометация учётных данных в целом фигурирует примерно в каждом шестом расследовании крупных инцидентов по всему миру.
VPN часто устроен по модели разового доверия: пользователь прошел проверку, получил доступ к сети и дальше работает почти без дополнительных ограничений. Для атакующего это означает простую логику действий: достаточно купить учетную запись в теневом сегменте интернета, извлечь пароль с зараженного личного устройства сотрудника или перехватить сессионные данные, чтобы оказаться внутри корпоративного периметра под видом легитимного пользователя. Специалисты фиксируют, что в 58% таких инцидентов вход выполнялся с корректной пары логин-пароль, а признаки атаки проявлялись уже после подключения: нетипичная география, нестандартное время активности, попытки обращения к файловым хранилищам, контроллерам домена и административным панелям.
Отдельную роль играет качество контроля удаленного доступа. В 52% случаев, связанных с VPN-компрометацией, многофакторная аутентификация либо отсутствовала, либо была включена не для всех групп пользователей. Еще в 19% инцидентов второй фактор присутствовал, но его удалось обойти за счет похищенных cookies или доступа к почтовому ящику сотрудника.
По оценкам ряда аналитических компаний, только за первую половину 2025 года инфостилеры похитили около 1,8 млрд учётных записей с 5,8 млн заражённых устройств; журналы украденных данных появляются на теневых площадках в течение нескольких часов после заражения – нередко прежде, чем жертва успевает обнаружить инцидент. Согласно внутренним данным, среднее время от первичного VPN-входа до попытки горизонтального перемещения в сократилось до 44 минут против 71 минуты годом ранее. В компаниях с плоской сетью этот показатель опускается до 18-25 минут.
Наиболее заметно проблема проявляется в промышленности, финансовом секторе и рознице. В промышленности на такие инциденты приходится 24% всех случаев, связанных с компрометацией VPN, поскольку удаленный доступ часто используется подрядчиками, инженерами и эксплуатационными службами. Финансовые организации дают 19% инцидентов: здесь атакующих привлекают платежная инфраструктура, клиентские данные и возможность подготовки мошеннических операций. На розницу приходится 16%, на логистику и транспорт – 14%, на медицинские организации – 11%, на ИТ- и телеком-компании – 9%, на образовательные и государственные учреждения – 7%. В малом и среднем бизнесе риск выше из-за меньшего числа администраторов и слабее формализованных процедур: по оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учетные записи сразу после смены роли или увольнения сотрудника.
Фото: Unsplash