Трансформація кіберзагроз: зловмисники переходять до довготривалого доступу та застосовують нові вектори атак – звіт CERT-UA

Національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA зафіксувала зміну тактик хакерських угруповань у другому півріччі 2025 року. Згідно з новим аналітичним звітом «Кіберзагрози: Україна», зловмисники поступово відмовляються від швидкого одноразового викрадення даних на користь отримання довготривалого несанкціонованого доступу до систем.

Відмова від «Steal & Go» та повернення до старих жертв

У попередньому півріччі хакери активно використовували тактику «Steal & Go», яка передбачала швидке викрадення даних без спроб закріпитися в системі. Проте зараз вони дедалі частіше зосереджуються на збереженні можливості повторного входу в уражену інфраструктуру.

Крім того, фіксуються випадки повернення хакерів до раніше скомпрометованих систем через певний час після першої атаки. Зловмисники перевіряють, чи залишилися в системах вразливості, або чи досі актуальні наявні у зловмисників паролі. Фахівці попереджають: якщо під час реагування на інцидент лише відновити роботу систем, але не усунути першопричини зламу, ризик повторної атаки суттєво зростає.

Zero-click вразливості та обхід корпоративного захисту

Для проникнення в ІТ-інфраструктури ворог застосовує нові методи:

атаки без участі жертви: угруповання UAC-0250 здійснювало атаки з використанням zero-click вразливостей у поштовому сервері Zimbra. Їх експлуатація дозволяла хакерам непомітно викрадати листування та резервні коди багатофакторної автентифікації без жодної взаємодії з боку користувача;
удар по особистих поштах: щоб обійти впроваджені на корпоративних поштових серверах засоби кіберзахисту, угруповання UAC-0246 почало розсилати шкідливі листи безпосередньо на особисті скриньки громадян.
Експерти наголошують: базового відновлення роботи після кібератаки вже недостатньо. Без повного та глибокого очищення систем, а також впровадження жорстких превентивних заходів безпеки установи залишаються відкритими для повторних, часто більш руйнівних ударів.

Повна версія Аналітичного звіту за друге півріччя 2025 року доступна на вебсайті Держспецзв’язку у розділі «Аналітичні матеріали Держспецзв’язку».