Компания Darktrace, ведущий поставщик решений в области кибербезопасности, представила результаты исследования, посвящённого «скоординированным компрометациям учётных записей SaaS-сервисов в нескольких клиентских средах». Специалисты выяснили, что злоумышленники всё чаще развёртывают инфраструктуру атак на основе коммерческих виртуальных частных серверов (VPS), предоставляемых такими провайдерами, как Hyonix и Host Universal.
VPS представляют собой виртуальные серверы, размещённые на мощных машинах и обслуживающие сразу несколько веб-сайтов. Благодаря своей доступности и гибкости эти решения позволяют преступникам быстро настраивать инфраструктуру, практически не оставляя следов разведки. Как объяснил аналитик Darktrace Раджендра Рушант, злоумышленники ценят VPS за низкую стоимость, оперативное развертывание и высокую антиидетификацию: они успешно обходят геолокационные фильтры, имитируя трафик из нужного региона, а также уклоняются от репутационных проверок IP-адресов, используя «чистую» инфраструктуру.
Хотя злоупотребление VPS не является новой тактикой, недавний рост атак на SaaS-сервисы демонстрирует её эволюцию. Преступники создают тонкие правила для почтовых ящиков и внедряют фишинговые схемы, замаскированные под легитимные операции. Так, в мае текущего года Darktrace выявил две масштабные кампании с применением Hyonix VPS. С марта аналитики зафиксировали резкий всплеск оповещений о попытках подбора паролей, аномальных входах и подозрительных изменениях в конфигурации почтовых учётных записей клиентов.
Эксперты подчёркивают: учитывая растущую популярность SaaS, организации должны активнее внедрять многофакторную аутентификацию, отслеживать географию входов и регулярно проверять репутацию используемых IP-адресов. Только комплексная защита способна нейтрализовать новые угрозы, основанные на злоупотреблении VPS.
