Хакери змінюють тактику і переходять до тривалого доступу до систем – звіт CERT-UA. CERT-UA фіксує відмову хакерів від швидких крадіжок на користь закріплення в мережах. Зловмисники використовують zero-click вразливості та особисті пошти.
Національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA зафіксувала зміну тактик хакерських угруповань у другому півріччі 2025 року. Згідно з новим аналітичним звітом “Кіберзагрози: Україна”, зловмисники поступово відмовляються від швидкого одноразового викрадення даних на користь отримання довготривалого несанкціонованого доступу до систем. Про це повідомляє Урядовий квартал, пише УНН.
Відмова від “Steal & Go” та повернення до старих жертв
У попередньому півріччі хакери активно використовували тактику “Steal & Go”, яка передбачала швидке викрадення даних без спроб закріпитися в системі. Проте зараз вони дедалі частіше зосереджуються на збереженні можливості повторного входу в уражену інфраструктуру.
Крім того, фіксуються випадки повернення хакерів до раніше скомпрометованих систем через певний час після першої атаки. Зловмисники перевіряють, чи залишилися в системах вразливості, або чи досі актуальні наявні у зловмисників паролі. Фахівці попереджають: якщо під час реагування на інцидент лише відновити роботу систем, але не усунути першопричини зламу, ризик повторної атаки суттєво зростає.
Zero-click вразливості та обхід корпоративного захисту
Для проникнення в ІТ-інфраструктури ворог застосовує нові методи:
- атаки без участі жертви: угруповання UAC-0250 здійснювало атаки з використанням zero-click вразливостей у поштовому сервері Zimbra. Їх експлуатація дозволяла хакерам непомітно викрадати листування та резервні коди багатофакторної автентифікації без жодної взаємодії з боку користувача;
- удар по особистих поштах: щоб обійти впроваджені на корпоративних поштових серверах засоби кіберзахисту, угруповання UAC-0246 почало розсилати шкідливі листи безпосередньо на особисті скриньки громадян.
Експерти наголошують: базового відновлення роботи після кібератаки вже недостатньо. Без повного та глибокого очищення систем, а також впровадження жорстких превентивних заходів безпеки установи залишаються відкритими для повторних, часто більш руйнівних ударів.
Джерело: УНН.
