Кибершпионаж в 2026 году: как группировки типа Paper Werewolf используют корпоративные доступы
По данным исследования Threat Zone 2026, в первом квартале 2026 года 42% зафиксированных целевых кибератак совершалось с целью шпионажа.
Это означает одно: в 42% случаев целевой атаки злоумышленник не ломает инфраструктуру — он в ней живёт. Тихо, незаметно, неделями и месяцами. Читает почту. Скачивает документы. Изучает, как устроена компания изнутри. И всё это — используя легитимные корпоративные учётные данные.
Кто такая Paper Werewolf и почему это важно прямо сейчас
Кластер Paper Werewolf атакует российский промышленный, финансовый и транспортный секторы, разрабатывает новое вредоносное ПО и демонстрирует повышенную активность с марта по апрель 2026 года.
Это не теоретическая угроза. Paper Werewolf уже атаковала российские промышленные предприятия, научно-исследовательские институты, финансовые организации. Летом 2025 года группировка атаковала организации в России и Узбекистане через фишинговые письма с RAR-архивами якобы с важными документами, которые на деле содержали вредоносное ПО.
Но вектор через WinRAR — это только точка входа. Дальше начинается то, что действительно опасно: работа с корпоративными доступами.
Как выглядит шпионская атака изнутри
Шпионские группировки не действуют как вымогатели — они не торопятся и не шумят. Их задача прямо противоположная: остаться незамеченными как можно дольше.
Типичная цепочка атаки Paper Werewolf и аналогичных группировок выглядит так.
Этап 1. Первоначальный доступ. Фишинговое письмо с вредоносным вложением — RAR-архив под видом официального документа от госструктуры или контрагента. Одной из целей Paper Werewolf стал российский производитель спецоборудования: письмо выглядело официально — отправитель имитировал крупный научно-исследовательский институт. Сотрудник открывает архив — и вредоносное ПО получает первоначальный доступ к устройству.
Этап 2. Закрепление и разведка. Первая задача после проникновения — не начать красть данные, а разобраться где находишься. Вредонос собирает системную информацию: какие учётные записи есть на устройстве, к каким системам они имеют доступ, что хранится на диске, с кем переписывается пользователь.
Этап 3. Получение корпоративных учётных данных. Это ключевой этап. Инфостилеры извлекают сохранённые пароли, токены и cookies из браузеров. Именно здесь пароли сохранённые в браузере превращаются из удобства в катастрофу: одно скомпрометированное устройство даёт злоумышленнику доступ ко всем системам, куда сотрудник входил через браузер.
Этап 4. Латеральное перемещение. Используя полученные учётные данные, атакующий перемещается по инфраструктуре. Самым популярным инструментом для управления скомпрометированными системами остаётся AnyDesk — он фигурировал в кампаниях Paper Werewolf, Rare Werewolf, Crypt Ghouls и других группировок, атаковавших российские организации. Легитимный инструмент удалённого доступа не вызывает подозрений у систем мониторинга.
Этап 5. Длительное присутствие. Цель достигнута — атакующий находится в инфраструктуре и действует от имени легитимных пользователей. Теперь он методично собирает нужные данные. Недели, месяцы. До тех пор пока не получит всё что нужно — или пока его не обнаружат.
Почему корпоративные пароли — главная цель шпионов
Длительное скрытое присутствие возможно только при одном условии: злоумышленник действует от имени легитимного пользователя. Для этого нужны реальные корпоративные учётные данные — не взломанный периметр, не дыра в коде, а обычный логин и пароль.
Именно поэтому управление корпоративными паролями напрямую связано с защитой от шпионажа. Рассмотрим конкретные уязвимости.
Пароли в браузерах — идеальная цель для инфостилеров
Когда сотрудник сохраняет пароль в Chrome или Яндекс.Браузере, этот пароль хранится в файловой системе устройства в базе данных SQLite. Инфостилер извлекает её за секунды — вместе со всеми сохранёнными паролями от всех сервисов, в которые пользователь когда-либо входил.
После этого у злоумышленника есть полный список корпоративных аккаунтов сотрудника с паролями. Никакого взлома — только чтение файла.
Как это закрывает BearPass. Пароли хранятся в зашифрованном хранилище на корпоративном сервере, а не в браузере каждого сотрудника. Браузерное расширение BearPass подставляет пароль при входе — но не сохраняет его в хранилище браузера. Инфостилеру с устройства взять нечего.
Старые и неотозванные доступы как точки входа
Хакеры участили атаки через «мёртвые души» — активные аккаунты бывших сотрудников, которых организации вовремя не удаляют. Уволенный сотрудник, чья учётная запись осталась активной — идеальная маскировка. Активность под этим аккаунтом не вызовет подозрений у коллег, а сам человек уже не в компании и не заметит странных входов.
Как это закрывает BearPass. Kill Switch деактивирует все сессии пользователя одним кликом. Интеграция с Active Directory через LDAP обеспечивает автоматическую деактивацию: уволен в AD — потерял доступ в BearPass немедленно без ручных действий.
Общие учётные записи без атрибуции
Один логин на несколько человек — администраторский аккаунт который «знает вся команда». Когда с него происходит нетипичная активность, невозможно понять: это легитимный сотрудник или злоумышленник. Невозможно установить кто именно выполнил действие. Невозможно доказать компрометацию.
Как это закрывает BearPass. RBAC обеспечивает каждому сотруднику персональный доступ к нужным ресурсам. Никаких общих логинов — каждый вход атрибутирован конкретному человеку. В журнале событий каждое действие привязано к конкретному пользователю с IP-адресом и временем.
Как обнаружить скрытое присутствие в инфраструктуре
Шпионские группировки хороши именно потому, что действуют незаметно. Но незаметность — это не невидимость. Следы есть всегда, если знать где смотреть.
Аномалии авторизации
🔸 Вход с IP-адреса нетипичного для пользователя — нового региона, зарубежного адреса, VPN
🔸 Два входа с разных IP-адресов в течение короткого времени — физически невозможная ситуация если это один человек
🔸 Активность в нерабочее время — ночью, в выходные дни, в период отпуска сотрудника
🔸 Авторизация под учётной записью уволенного сотрудника
Аномалии в работе с паролями
🔸 Резкий рост количества просмотренных паролей — сотрудник обычно открывает 2–3 пароля в день и вдруг открыл 40
🔸 Доступ к паролям систем, не связанных с ролью сотрудника — менеджер по продажам открывает пароли от серверной инфраструктуры
🔸 Попытки экспорта данных — особенно из чувствительных папок
Аномалии в управлении правами
🔸 Несанкционированное расширение прав — кто-то дал себе или другому доступ к чувствительным папкам без соответствующего запроса
🔸 Создание новых учётных записей вне стандартного onboarding-процесса
Как это решает BearPass. Модуль «Правила» настраивает автоматические уведомления при любом из этих событий. Не при плановом аудите через неделю — в момент возникновения. Администратор получает письмо немедленно: кто, что, когда, с какого IP.
Журнал событий хранит полную хронологию и экспортируется в SIEM через syslog. При расследовании инцидента восстановить цепочку событий можно за минуты, а не дни.
Принцип минимальных привилегий как защита от lateral movement
Когда атакующий получил учётные данные одного сотрудника, следующий шаг — латеральное перемещение. Перейти с этого аккаунта на другие системы, найти более привилегированные учётные записи, расширить присутствие.
Именно здесь принцип минимальных привилегий становится критически важным. Если каждый сотрудник имеет доступ только к тем системам, которые необходимы для его работы — скомпрометированный аккаунт рядового менеджера даёт атакующему очень мало.
Если же в компании практикуется выдача «широких прав для удобства» — компрометация одного аккаунта открывает доступ ко всей инфраструктуре.
Как это решает BearPass. Ролевая модель RBAC с гранулярными правами на уровне папок. Маркетолог видит рекламные кабинеты — не видит серверные учётки. Разработчик видит репозитории и CI/CD — не видит финансовые сервисы. Матрица доступов настраивается один раз и применяется автоматически ко всем сотрудникам группы.
При компрометации аккаунта через скомпрометированное устройство атакующий получает доступ только к паролям соответствующей роли — не ко всей корпоративной инфраструктуре.
Что происходит когда шпионов наконец обнаруживают
Среднее время обнаружения шпионского присутствия в инфраструктуре — несколько недель, в сложных случаях месяцы. К моменту обнаружения атакующие уже собрали всё что хотели.
Обнаружение само по себе — только начало работы. Дальше нужно ответить на вопросы: как долго они были в системе, к каким данным имели доступ, что именно скачали, через какие аккаунты перемещались.
Без централизованного журнала событий с историей доступов эти вопросы остаются без ответа. ИБ-команда знает что атака была — но не знает что именно произошло. Это означает невозможность адекватной оценки ущерба, проблемы при взаимодействии с регулятором и невозможность предотвратить повторение.
Что даёт журнал BearPass при расследовании. Полная хронология авторизаций скомпрометированного аккаунта с IP-адресами. Список всех паролей которые открывались или копировались. История изменений прав доступа — возможно атакующий расширял свои права в системе. История экспорта данных. Всё это с точностью до секунды и с возможностью экспорта в SIEM.
Практические меры: что сделать прямо сейчас
Шпионские атаки сложно предотвратить полностью — слишком изощрённы методы социальной инженерии и фишинга. Но можно существенно ограничить масштаб ущерба и сократить время обнаружения.
Уберите пароли из браузеров. Это первое и самое важное. Корпоративные пароли должны храниться в централизованном защищённом хранилище, а не в файловой системе каждого устройства. Инфостилер с украденными паролями из браузера — это открытая дверь в вашу инфраструктуру.
Внедрите принцип минимальных привилегий. Каждый сотрудник — только к тем системам которые нужны для его работы. Это ограничит lateral movement при компрометации любого аккаунта.
Настройте автоматические уведомления об аномалиях. Нетипичный IP, ночная активность, массовый просмотр паролей — всё это должно генерировать алерт немедленно, а не обнаруживаться при плановом аудите.
Немедленно отзывайте доступы при увольнении. Учётные записи бывших сотрудников — любимый инструмент атакующих. Kill Switch при увольнении и автоматическая синхронизация с AD закрывают этот вектор.
Ведите журнал событий с долгим хранением. При расследовании инцидента история за шесть месяцев — минимум. Бессрочное хранение — оптимально для компаний в регулируемых отраслях.
Регуляторный контекст: почему это важно не только для безопасности
Шпионские атаки затрагивают не только безопасность, но и регуляторные обязательства.
Если в результате атаки произошла утечка персональных данных — обязательно уведомление Роскомнадзора в течение 24 часов. Штраф за нарушение этого срока — от 1 до 3 млн рублей отдельным составом.
Для субъектов КИИ — уведомление ФСБ и ФСТЭК через НКЦКИ. Неисполнение этого требования — отдельная ответственность.
Новый приказ ФСТЭК №117, вступивший в силу в марте 2026 года, содержит прямые требования к обнаружению несанкционированного доступа и реагированию на инциденты. Компании, у которых выстроен журнал событий и настроен мониторинг аномалий, находятся в принципиально другом положении при взаимодействии с регулятором.
Судебная практика 2025–2026 годов показывает: наличие задокументированных технических мер защиты — включая журнал событий и настроенный мониторинг — прямо влияет на исход дела. Дело РЖД, где апелляция отменила штраф, стало прецедентом именно потому что компания смогла подтвердить принятые меры.
Итог
Защита строится на четырёх принципах: пароли не хранятся там откуда их легко украсть, каждый пользователь имеет минимально необходимые права, аномальная активность обнаруживается немедленно, а не через месяц, и все действия задокументированы для расследования.