Уволенный доступ: хакеры участили атаки при помощи «мертвых душ»

Хакеры стали чаще проникать в компьютерные сети компаний и госучреждений, используя учетные записи бывших сотрудников, рассказали «Известиям» в компаниях по кибербезопасности. Например, именно таким способом злоумышленники полгода похищали информацию из внутренних баз данных одной из государственных медорганизаций. О том, как хакеры используют эти лазейки и чем чревата эта забывчивость при удалении аккаунтов уволенных, — в материале «Известий».

Как хакеры используют «мертвые души»

Российские государственные и коммерческие структуры стали чаще подвергаться атакам при помощи «мертвых душ» — через учетные записи бывших сотрудников, сообщили «Известиям» в компаниях по кибербезопасности. Злоумышленники пользуются тем, что компании по каким-то причинам забывают удалять эти аккаунты.

Например, под такую атаку попала одна из российских госорганизаций в области здравоохранения, рассказали эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». Хакеры проукраинской группировки Shedding Zmiy проникли в ее инфраструктуру через учетные записи бывших сотрудников на корпоративном VPN-сервере — виртуальной частной сети, которая обеспечивает персоналу конфиденциальность и целостность информации, передаваемой по открытым каналам связи. В итоге злоумышленники более шести месяцев похищали секретную информацию организации из внутренних баз данных.

— В данном случае специалисты по информационной безопасности медорганизации заметили атаку — они удаляли вредоносное программное обеспечение и скомпрометированные аккаунты, — сказал эксперт Solar 4RAYS Денис Чернов. — Но пропустили вредоносы, которые антивирус не смог обнаружить, также они вовремя не удаляли учетные записи бывших сотрудников и не выявили источник компрометации. Как итог, атакующие возвращались снова и снова.

После подключения к сети через аккаунт бывшего сотрудника, хакеры скомпрометировали учетную запись сервера для управления базами данных компании — у нее был установлен ненадежный пароль.

«Через несколько дней атакующие скомпрометировали множество учеток сотрудников, с помощью которых начали перемещаться и заражать инфраструктуру, — добавили эксперты. — Помимо этого, хакеры добавили новый модуль своего стилера. Он позволял красть информацию из браузеров и делать скриншоты с устройств пользователей, то есть получать данные не только из баз данных организации, но и напрямую с устройств сотрудников».

Такие атаки носят массовый характер и затрагивают организации из разных сфер, подтвердил руководитель Центра компетенций сетевой безопасности «Софтлайн Решения» (ГК Softline) Николай Спирихин. Чаще всего под ударом оказываются банки, страховые компании, промышленность, здравоохранение, телекоммуникации и государственные учреждения.

— Оказавшись внутри, злоумышленники начинают обращаться к внутренним информационным системам и получать доступы к ним — крадут конфиденциальные данные, устанавливают вредоносное ПО, активируют неиспользумые и старые учетные записи, создают новые и повышают свой уровень доступа, — отметил эксперт. — Нередко после этого следуют атаки на партнерские или дочерние организации.

Руководитель BI.ZONE DFIR Федор Скворцов рассказал «Известиям», что в 2025 году аналогичная ситуация произошла еще в одной компании.

— При анализе компрометации инфраструктуры мы вышли на периметровый хост, где присутствовала уязвимость, позволившая злоумышленнику получить доступ к учетной записи сотрудника, который покинул компанию еще в 2022 году, — сказал он. — При этом его учетная запись осталась не заблокированной в системе.

Чем опасны не удаленные учетные записи

В 2025 году Shedding Zmiy фактически прекратили или заметно снизили свою активность, отметил Денис Чернов.

— Вероятно, проукраинские хакеры уходили в затишье, чтобы обновить инструментарий и вернуться с новыми силами, а значит, они уже сегодня представляют серьезную угрозу для всех ключевых российских организаций, — подчеркнул он.

При подобных инцидентах важно понимать, что проблема не ограничивается только VPN или каким-то конкретным сервисом, добавил Федор Скворцов.

— Аккаунты бывших сотрудников или подрядчиков, которые не были своевременно отключены, представляют серьезную угрозу независимо от того, где именно они используются: в VPN, почтовых системах, облачных сервисах или внутренних приложениях, — отметил эксперт. — Такие учетные записи часто остаются незамеченными годами и становятся удобной точкой входа для злоумышленников.

Например, они очень любят использовать учетные записи от сервисов удаленного доступа: по данным исследования Threat Zone 2026, именно так начинаются 18% атак на российские компании. Атакующие используют как перебор паролей, так и стилеры. Сфера деятельности компании при этом не играет роли, добавил эксперт.

По данным компании, около 5% доменных учетных записей не использовались более трех лет.

— Это подчеркивает масштаб проблемы, ведь, по сути, любая из этих неконтролируемых учетных записей может стать дверью для злоумышленников, а это большие риски, — подчеркнул Федор Скворцов. — 35% высококритичных инцидентов в прошлом году были связаны с компрометацией паролей от привилегированных учетных записей.

Ситуация усугубляется тем, что доступ к VPN во многих организациях реализован через те же доменные учетные записи: используются одинаковые логины и пароли, поэтому компрометация одной пары данных сразу дает доступ и к сети, и к внутренним системам, добавил ведущий инженер отдела сопровождения информационных систем, UDV Group Дмитрий Бабич.

— Основной способ выявления — это не поиск самого факта входа, а анализ аномалий в поведении учетных записей, — сказал он. — Подозрительными признаками могут быть входы в нерабочее время, подключения из нетипичных географических точек или действия, нехарактерные для пользователя, например массовая выгрузка данных или попытки доступа к несвойственным системам.

Кто несет ответственность

Ответственность за не удаленные аккаунты сотрудников, через которые произошел несанкционированный доступ, носит комплексный характер и зависит от распределения обязанностей внутри организации, а также от установленных требований законодательства и внутренних регламентов, напомнила управляющий партнер агентства «ВМТ Консалт» Екатерина Косарева.

— Прежде всего речь идет об ответственности работодателя как оператора информационных систем и в ряде случаев персональных данных, — сказала она. — В соответствии с действующими законами именно организация обязана обеспечивать надлежащий уровень защиты информации, включая своевременное прекращение доступа уволенных или переведенных сотрудников.

Если будет установлено, что инцидент произошел вследствие ненадлежащей организации процессов управления доступом, компания может быть привлечена к административной ответственности, а при наличии ущерба — и к гражданско-правовой.

— Отдельное значение имеет распределение функций между подразделениями, — добавила Екатерина Косарева. — Если обязанность по блокировке или удалению учетных записей закреплена за конкретными должностными лицами, например сотрудниками IТ-службы или подразделениями информационной безопасности, их действия или бездействие могут повлечь дисциплинарную ответственность. В случае грубой неосторожности или умышленного нарушения внутренних регламентов возможно также рассмотрение вопроса о материальной ответственности.

Если же утечка данных или взлом повлекли серьезные последствия, включая причинение крупного ущерба или нарушение требований к защите информации ограниченного доступа, не исключается и привлечение к уголовной ответственности, но уже при наличии состава преступления и установлении конкретных виновных лиц.

Подобные случаи показывают, насколько критично выстроить процессы управления учетными записями: своевременно отключать доступ уволенных сотрудников, регулярно проводить ревизию учетных записей и контролировать использование привилегированных прав, отметил Федор Скворцов.

— По нашей статистике, у 72% пострадавших компаний отсутствовала двухфакторная аутентификация при доступе к VPN, а у 70% не было полноценного контроля за привилегированными учетными записями, — рассказал эксперт. — В таких условиях даже одна забытая учетная запись может стать отправной точкой для компрометации всей инфраструктуры.

Чтобы избежать инцидентов, необходимо иметь стандартизированную, а лучше автоматизированную процедуру отзыва всех разрешений увольняемого сотрудника, связанных с IT-инфраструктурой компании, полагает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Кроме того, нужно следить за компрометацией паролей пользователей. Для этого есть автоматизированные решения, позволяющие проверить появление пароля в утечках и немедленно сбросить его, закрыв доступ злоумышленникам.