Эксперты компании «Информзащиты» отмечают значительный рост числа кибератак, в которых первым этапом становится вход в корпоративную сеть через VPN с использованием украденных или скомпрометированных учётных данных.
В первом квартале 2026 года доля таких инцидентов достигла 45% от всех атак на корпоративную инфраструктуру. Для сравнения: годом ранее этот показатель составлял 33%, а во втором полугодии 2025 года — 39%.
VPN всё чаще становится не средством защиты, а точкой входа для злоумышленников, если учётные данные уже попали к ним в руки.
Типичный сценарий выглядит следующим образом:
Злоумышленник приобретает логин и пароль на теневых форумах, получает их с помощью инфостилера с личного устройства сотрудника или перехватывает сессионные данные.
После этого он входит в корпоративный VPN как обычный пользователь. Для системы такой вход выглядит легитимно: логин и пароль верны, соединение разрешено.
По данным специалистов, в 58% подобных случаев вход осуществлялся с корректной парой логин-пароль.
Признаки атаки проявляются уже после подключения: необычная география входа, странное время активности, попытки доступа к файловым хранилищам, административным панелям или контроллерам домена.
После этого он входит в корпоративный VPN как обычный пользователь. Для системы такой вход выглядит легитимно: логин и пароль верны, соединение разрешено.
По данным специалистов, в 58% подобных случаев вход осуществлялся с корректной парой логин-пароль.
Признаки атаки проявляются уже после подключения: необычная география входа, странное время активности, попытки доступа к файловым хранилищам, административным панелям или контроллерам домена.
Отдельной проблемой остаётся многофакторная аутентификация (MFA)
В 52% инцидентов, связанных с компрометацией VPN, MFA либо отсутствовала, либо была настроена не для всех пользователей.
В 19% случаев второй фактор был включён, но злоумышленники обходили его благодаря похищенным cookies, доступу к почте или уже активным сессиям.
Инфостилеры часто крадут токены уже пройденной аутентификации из браузера, что позволяет атакующему войти в систему без повторного запроса второго фактора.
Более надёжной защитой считаются аппаратные ключи и стандарт FIDO2, где аутентификация криптографически привязана к конкретному домену.
В 19% случаев второй фактор был включён, но злоумышленники обходили его благодаря похищенным cookies, доступу к почте или уже активным сессиям.
Инфостилеры часто крадут токены уже пройденной аутентификации из браузера, что позволяет атакующему войти в систему без повторного запроса второго фактора.
Более надёжной защитой считаются аппаратные ключи и стандарт FIDO2, где аутентификация криптографически привязана к конкретному домену.
Проблему усугубляет устаревшая архитектура удалённого доступа:
Во многих компаниях VPN внедрялся несколько лет назад для массового перехода на удалёнку и с тех пор не пересматривался.
Часто один профиль открывает доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования.
В случае компрометации такой учётной записи атака быстро распространяется по сети.
По данным «Информзащиты», среднее время от первого VPN-входа до попытки горизонтального перемещения по сети сократилось до 44 минут (против 71 минуты годом ранее). В компаниях с плоской сетью злоумышленникам иногда хватает 18–25 минут, чтобы начать дальнейшее продвижение.
Часто один профиль открывает доступ сразу к нескольким подсетям, внутренним порталам, файловым ресурсам и системам администрирования.
В случае компрометации такой учётной записи атака быстро распространяется по сети.
По данным «Информзащиты», среднее время от первого VPN-входа до попытки горизонтального перемещения по сети сократилось до 44 минут (против 71 минуты годом ранее). В компаниях с плоской сетью злоумышленникам иногда хватает 18–25 минут, чтобы начать дальнейшее продвижение.
Наиболее уязвимые отрасли
Чаще всего такие инциденты фиксируются в следующих секторах:
- Промышленность — 24% случаев;
- Финансовый сектор — 19%;
- Ретейл — 16%;
- Логистика и транспорт — 14%;
- Медицина — 11%;
- ИТ и телеком — 9%;
- Образование и госсектор — 7%.
В малом и среднем бизнесе риски выше из-за нехватки администраторов и менее строгих процедур. По оценке экспертов, 68% компаний этого сегмента не проводят ежеквартальную проверку VPN-доступа и не удаляют учётные записи после смены роли или увольнения сотрудника.
Рекомендации по снижению рисков
Проблема не в самом VPN, а в отношении к нему как к универсальному пропуску во внутреннюю сеть. Если после входа пользователь получает избыточные права, компрометация одной учётной записи может быстро привести к масштабному инциденту.
Для снижения рисков рекомендуется:
Для снижения рисков рекомендуется:
- Внедрять принцип минимальных привилегий (доступ только к необходимым приложениям и ресурсам).
- Включать MFA для всех подключений, по возможности использовать стандарт FIDO2.
- Регулярно пересматривать учётные записи, особенно после смены роли или увольнения сотрудника.
- Отдельно контролировать доступ подрядчиков.
- Сегментировать сеть и отслеживать аномальные подключения по географии, времени и поведению пользователя.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь