Специалисты «Кросс технолоджис» фиксируют тренд на использование легитимных инструментов для кибератак — в частности, DLP-систем. Злоумышленников привлекает их способность собирать большие объёмы данных, включая привилегированные учётные записи, а также незаметность для средств защиты информации. Контекст угрозы подчёркивает статистика: только за первые два месяца 2026 года в даркнете появилось около 40 баз данных российских компаний.
Типовой сценарий атаки выглядит следующим образом. Хакеры разворачивают DLP-систему на внешнем сервере и создают на её основе установщик вредоносного ПО. Затем сотрудникам атакуемой компании рассылается фишинговое письмо — например, с требованием установить «критическое обновление» в виде .msi-файла — оформленное в корпоративном стиле для максимальной правдоподобности. После установки агент работает в скрытом режиме: снимает скриншоты, записывает нажатия клавиш, перехватывает сообщения из мессенджеров, копирует файлы, а в ряде случаев активирует камеру и микрофон. Антивирусы на такое ПО, как правило, не реагируют.
«Кульминацией может стать атака с использованием собранных данных либо прямое вымогательство, когда накопленный массив становится средством давления на жертву», – отмечает архитектор департамента развития «Кросс технолоджис» Любовь Михалева.
Наиболее уязвимы компании без мониторинга сетевой активности и с избыточными правами пользователей. В качестве мер противодействия эксперты рекомендуют: обучать персонал распознаванию фишинга, ограничивать права пользователей до необходимого минимума, а установку ПО проводить только через согласование с IT-департаментом, а также внедрять комплекс СЗИ – SIEM, средства фильтрации почты и другие инструменты.