Хакеры меняют тактику и переходят к длительному доступу к системам – отчет CERT-UA

Национальная команда реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA зафиксировала изменение тактик хакерских группировок во втором полугодии 2025 года. Согласно новому аналитическому отчету "Киберугрозы: Украина", злоумышленники постепенно отказываются от быстрого одноразового хищения данных в пользу получения долговременного несанкционированного доступа к системам. Об этом сообщает Правительственный квартал, пишет УНН.

Отказ от "Steal & Go" и возвращение к старым жертвам

В предыдущем полугодии хакеры активно использовали тактику "Steal & Go", которая предусматривала быстрое хищение данных без попыток закрепиться в системе. Однако сейчас они все чаще сосредотачиваются на сохранении возможности повторного входа в пораженную инфраструктуру.

Кроме того, фиксируются случаи возвращения хакеров к ранее скомпрометированным системам через некоторое время после первой атаки. Злоумышленники проверяют, остались ли в системах уязвимости, или до сих пор актуальны имеющиеся у злоумышленников пароли. Специалисты предупреждают: если при реагировании на инцидент только восстановить работу систем, но не устранить первопричины взлома, риск повторной атаки существенно возрастает.

Zero-click уязвимости и обход корпоративной защиты

Для проникновения в ИТ-инфраструктуры враг применяет новые методы:

• атаки без участия жертвы: группировка UAC-0250 осуществляла атаки с использованием zero-click уязвимостей в почтовом сервере Zimbra. Их эксплуатация позволяла хакерам незаметно похищать переписку и резервные коды многофакторной аутентификации без какого-либо взаимодействия со стороны пользователя;
• удар по личным почтам: чтобы обойти внедренные на корпоративных почтовых серверах средства киберзащиты, группировка UAC-0246 начала рассылать вредоносные письма непосредственно на личные ящики граждан.

Эксперты отмечают: базового восстановления работы после кибератаки уже недостаточно. Без полной и глубокой очистки систем, а также внедрения жестких превентивных мер безопасности учреждения остаются открытыми для повторных, часто более разрушительных ударов.