Пока компании тратятся на облака, почтовую защиту и сетевой мониторинг, один из самых простых векторов по-прежнему работает. Обычные USB-накопители. CrowdStrike в своих наблюдениях прямо говорит: съемные носители остаются тихим способом и для выноса данных, и для заноса вредоносного кода. И это не теория. В 2025 году фиксировали реальные кампании, где зараженные флешки запускали майнеры, трояны удаленного доступа и инструменты для закрепления сразу после подключения.
Две угрозы в одном разъеме
USB опасен не “в целом”, а конкретно тем, что он обходит привычные цифровые барьеры. Он не требует сетевого трафика, значит сетевые фильтры и часть детекторов просто не видят момент передачи. И он работает офлайн, поэтому многие процессы контроля включаются слишком поздно.
На практике служба безопасности каждый раз сталкивается с двумя сценариями. Первый это вынос данных, когда сотрудник копирует файлы на личный носитель и уносит их физически. Второй это внедрение угроз, когда устройство приносит на рабочую станцию нежелательный код или дает атакующему новый способ закрепиться. Проблема в том, что многие компании умеют решать только одну половину. Либо ловят вредонос на флешках, либо пытаются сдерживать утечку данных. А в реальной жизни USB почти всегда бьет по обоим направлениям.
Что показывали инциденты 2025 года
Один из кейсов конца 2025 года связан с зараженными USB-накопителями, которые устанавливали майнер CoinMiner сразу после подключения. Но майнером история не ограничивалась. В цепочке появлялись Hworm, компоненты Brute Ratel и AsyncRAT. То есть флешка работала как доставка, а дальше подключался набор для удаленного управления и устойчивого присутствия. Это ровно тот тип атаки, который выглядит “простым” только до первого зараженного компьютера.
Вторая история уже про инсайдера, и она хорошо объясняет, почему USB живет даже в организациях с дорогими системами контроля. В 2025 году инженер оборонного подрядчика из Кремниевой долины признался, что вынес более 3600 конфиденциальных файлов, связанных с технологиями обнаружения ракет и сенсорными системами. Данные он скопировал на личные накопители незадолго до увольнения и перехода в другую компанию. Здесь нет хакерской экзотики. Есть скорость и офлайн-канал, который обходит большинство сетевых политик.
Третья линия, о которой говорит CrowdStrike Intelligence, касается китайской группировки Mustang Panda и USB-кампаний USBFect в период 2023–2025 годов. В центре был USB-червь, который распространялся через съемные накопители и запускал вредоносные компоненты, включая загрузчики Claimloader или ColorDrama, а затем шелл-код трояна LingerRAT. Сценарий держался на социальном доверии: жертве показывали файл с безобидной иконкой USB. Один клик, и цепочка включалась. Дальше шло закрепление через изменения в реестре Windows и автокопирование на все новые подключенные флешки. В 2023 году атаки в основном касались Филиппин. В декабре 2024 таргет расширили на Тайвань и заменили загрузчик. В 2025 Falcon OverWatch и Falcon Complete фиксировали активность USBFect уже в организациях Северной Америки. Это важно: такие черви умеют расползаться географически, потому что “переезд” обеспечивает сама флешка.
Почему USB остается проблемой в 2026
Главная причина не в сложности атак, а в привычке. Люди по-прежнему воспринимают флешку как бытовой инструмент. Ее приносят из дома, берут у коллеги, подключают найденную. Атакующим это и нужно. Самый удобный вход тот, который выглядит как обычная работа.
Вторая причина это скорость и объем. Съемный накопитель позволяет вынести много данных за минуты, без пересылки по сети и без очевидного следа в почтовом трафике. Именно поэтому USB так любят увольняющиеся сотрудники и те, кто решил “забрать свое”.
Третья причина это универсальность. Современные устройства могут не только хранить файлы. Есть носители, которые притворяются клавиатурой и вводят команды, есть программируемые USB-устройства, которые выполняют сценарии компрометации, есть черви, которые сами копируются и подстраиваются под среду. Но даже без этих сложностей обычная зараженная флешка все еще дает атакующему шанс.
Вывод здесь спокойный, но неприятно практичный. USB-угроза в 2026 году активна не потому, что это новый вектор, а потому что он удобен и часто выпадает из поля контроля. Если организация контролирует только то, что приходит по сети, а не то, что подключается физически, она оставляет дверь, которой будут пользоваться и внешние злоумышленники, и инсайдеры. История с 3600 файлами и кампании Mustang Panda показывают, что это не редкость и не экзотика, а рабочий механизм, который продолжает приносить результат.
