- Що таке кібератака?
- Чому кількість кібератак зростає
- Чотири структурні фактори, що зумовлюють зростання кількості атак:
- Найпоширеніші типи кібератак
- 1. Шкідливе програмне забезпечення (Malware )
- 2. Програми-вимагачі (Ransomware)
- 3. Фішинг та цільовий фішинг
- 4. Атаки на ланцюг постачання (Supply Chain Attacks)
- 5. Розподілені атаки типу «відмова в обслуговуванні» (DDoS)
- 6. Атаки «Man-in-the-Middle» (MitM)
- 7. SQL-ін’єкції (SQLi)
- 8. Експлойти нульового дня
- 9. Атаки на основі облікових записів та даних
- 10. Соціальна інженерія
- Приклади кібератак у реальному світі
- Хто є ціллю атак?
- Як запобігти кібератакам: 10 основних кроків
- 1. Обов’язкове впровадження багатофакторної автентифікації (MFA) повсюдно
- 2. Управління оновленнями та вразливостями
- 3. Регулярне навчання з кіберобізнаності
- 4. Розгортання систем виявлення та реагування на кінцевих пристроях (EDR)
- 5. Впровадження сегментації мережі
- 6. Резервне копіювання даних і тестування відновлення
- 7. Дотримання принципу найменших привілеїв
- 8. Захист електронної пошти за допомогою систем розширеної фільтрації
- 9. Постійний моніторинг загроз
- 10. Проведення тестів на проникнення та комплексного оцінювання безпеки
- Як рішення Cynet допомагають захиститися від кібератак
Що таке кібератака?
Кібератака – це будь-яка навмисна спроба неавторизованого суб’єкта порушити конфіденційність, цілісність або доступність комп’ютерної системи, мережі чи даних. Кібератаки можуть бути спрямовані на приватних осіб, підприємства, уряди та критичну інфраструктуру. Їхні цілі варіюються від фінансової вигоди та шпигунства до дезорганізації роботи й саботажу.
Згідно зі звітом IBM «Cost of a Data Breach Report», середня вартість витоку даних у 2025 році сягнула 4,4 мільйона доларів. Оскільки частота інцидентів зростає з кожним роком, розуміння природи кібератак, механізмів їхньої дії та методів захисту є критично важливим для будь-якої організації.
Чому кількість кібератак зростає
Ландшафт загроз значно розширився під дією кількох взаємопов’язаних факторів, і зараз штучний інтелект посилює кожен із них.
Стрімке поширення дистанційної роботи збільшило кількість кінцевих точок, які організації мають захищати. Міграція до хмарної інфраструктури створила нові вразливості, пов’язані з обліковими записами та конфігурацією. Поява програм-вимагачів як послуги (RaaS) означає, що навіть технічно непідготовлені зловмисники можуть здійснювати атаки корпоративного рівня.
Сьогодні ШІ став потужним каталізатором. Зловмисники використовують генеративний ШІ та автоматизацію для прискорення розвідки, створення надзвичайно переконливих фішингових пасток, написання поліморфного шкідливого ПЗ та масштабування кампаній соціальної інженерії з безпрецедентною швидкістю та персоналізацією. Те, що раніше вимагало кваліфікованих фахівців і тижнів підготовки, тепер реалізується за лічені години.
Чотири структурні фактори, що зумовлюють зростання кількості атак:
1. Розширення поверхні атаки: Кожне хмарне робоче навантаження, віддалений пристрій, SaaS-додаток, API та стороння інтеграція є потенційною точкою входу. Типове підприємство зараз працює з сотнями хмарних сервісів, багато з яких перебувають поза зоною централізованого контролю. Інструменти пошуку на базі ШІ дозволяють зловмисникам безперервно сканувати та пріоритизувати вразливі цілі з машинною швидкістю.
2. Комерціалізація інструментів атаки: Пакети експлойтів, платформи для фішингових послуг, інструменти для підбору облікових даних та готове шкідливе ПЗ доступні на маркетплейсах дарквебу за кілька сотень доларів. ШІ знижує цей бар’єр ще більше, уможливлюючи автоматизовану розробку експлойтів, імітацію особистості за допомогою діпфейків та адаптивне шкідливе ПЗ, яке самостійно модифікується для обходу систем виявлення. Поріг необхідних навичок для запуску складних кампаній суттєво знизився.
3. Соціальна інженерія на основі ШІ у великих масштабах: Генеративний ШІ дозволяє зловмисникам створювати граматично бездоганні, контекстно-залежні фішингові листи, адаптовані до конкретних галузей, керівників або навіть поточних ділових розмов. Клонування голосу та відеодіпфейки додають ще один рівень достовірності. Це кардинально підвищує показники переходів за посиланнями та успішність викрадення облікових даних.
4. Прибутковість кіберзлочинності: За прогнозами, до 2031 року світова кіберзлочинність завдаватиме світові збитків на суму понад 12 трильйонів доларів щорічно. Лише програми-вимагачі щороку генерують мільярди доларів викупу, фінансуючи дедалі складніші операції. ШІ підвищує операційну ефективність злочинних груп – від автоматизації відбору цілей до оптимізації стратегій ведення переговорів про викуп, що робить кіберзлочинність масштабованою та високорентабельною.
Найпоширеніші типи кібератак
Розуміння принципів роботи атак – це перший крок до організації ефективної оборони. Нижче наведено найпоширеніші категорії загроз, з якими сьогодні стикаються організації.
1. Шкідливе програмне забезпечення (Malware )
Що це таке: Шкідливе ПЗ – це загальний термін для будь-якої програми, призначеної для пошкодження, дезорганізації роботи або отримання несанкціонованого доступу до системи. Воно включає віруси, хробаки, трояни, шпигунські програми, рекламне програмне забезпечення (adware) та кейлогери.
Як це працює: Шкідливе ПЗ зазвичай потрапляє через фішингові листи, шкідливі завантаження, скомпрометовані USB-накопичувачі або приховані завантаження (drive-by downloads) із компрометованих вебсайтів. Після запуску воно може викрадати дані, відкривати бекдори , знищувати файли або підключати пристрій до ботнету.
Чому це важливо: Шкідливе ПЗ часто доставляється електронною поштою, що робить його поширеним вектором початкового зламу. Emotet – один із наймасовіших штамів шкідливого ПЗ, еволюціонував із банківського трояна у повнофункціональний дроппер, здатний розгортати інші сімейства шкідливого софту, включаючи програми-вимагачі.
Як захиститися: Розгортання систем протидії загрозам у кінцевих точках (EDR ), впровадження фільтрації електронної пошти та своєчасне оновлення всього ПЗ. Поведінковий аналіз є незамінним, оскільки антивіруси на основі сигнатур самостійно не здатні виявити сучасне поліморфне шкідливе ПЗ.
2. Програми-вимагачі (Ransomware)
Що це таке: Програма-вимагач – це тип шкідливого ПЗ, яке шифрує файли користувача та вимагає оплати (зазвичай у криптовалюті) в обмін на ключ дешифрування.
Як це працює: Більшість атак програм-вимагачів відбуваються за ланцюжком ураження цілі (kill chain). Зловмисник отримує початковий доступ (часто через фішинг або скомпрометовані облікові дані), здійснює розгалуження атаки для максимізації масштабів шифрування, ексфільтрує чутливі дані для шантажу, а потім безпосередньо запускає програму-вимагач. Сучасні програми-вимагачі використовують подвійне вимагання: вони шифрують файли і водночас погрожують опублікувати викрадені дані на «сайті витоків даних», якщо викуп не буде сплачено. Деякі групи перейшли до потрійного вимагання, погрожуючи також безпосередньо клієнтам або партнерам цілі.
Чому це важливо: Середня вартість атаки програми-вимагача на бізнес становить 5,08 мільйона доларів (IBM, 2025), враховуючи простій, викуп, витрати на відновлення та репутаційні збитки. Сфери охорони здоров’я, виробництва та освіти стають об’єктами атак найчастіше.
Відомі приклади: Ryuk, Clop, LockBit, BlackCat/ALPHV, REvil.
Як захиститися: Створення офлайн-копій та незмінних резервних копій є найефективнішим технічним засобом контролю. Необхідно поєднувати їх із сегментацією мережі для обмеження розгалуження атаки, управлінням привілейованим доступом (PAM) та цілодобовим моніторингом.
3. Фішинг та цільовий фішинг
Що це таке: Фішингові атаки використовують оманливі електронні листи, повідомлення або вебсайти, щоб змусити користувачів розкрити облікові дані, завантажити шкідливе ПЗ або переказати кошти. Цільовий фішинг (spear-phishing) – це персоналізований варіант атаки, який використовує конкретну інформацію про об’єкт атаки, щоб виглядати переконливіше.
Як це працює: Звичайна фішингова кампанія охоплює широку аудиторію – мільйони листів від імені банків, логістичних компаній або ІТ-відділів. Цільовий фішинг звужує коло до конкретних осіб (зазвичай керівників або працівників фінансових відділів) та містить особисті дані, зібрані з LinkedIn, соціальних мереж або попередніх витоків.
Чому це важливо: Фішинг залишається основним способом отримання початкового доступу. Центр розгляду скарг на кіберзлочини ФБР (IC3) стабільно класифікує фішинг як найпоширеніший вид кіберзлочинів. Компрометація корпоративної пошти (BEC), підкатегорія фішингу, щороку завдає організаціям мільярдних збитків.
Як захиститися: Використання багатофакторної автентифікації (MFA) для обмеження шкоди від викрадених облікових даних. Налаштування шлюзів безпеки електронної пошти з перевіркою URL-адрес та пісочницею (sandboxing) для виявлення шкідливих посилань. Проведення тренінгів із кіберобізнаності для зниження кількості кліків на симульованих фішингових тестах.
4. Атаки на ланцюг постачання (Supply Chain Attacks)
Що це таке: Атаки на ланцюг постачання компрометують ціль через стороннього постачальника, з яким вона працювала, механізм оновлення програмного забезпечення або open-source залежність замість прямої атаки на саму організацію.
Як це працює: Зловмисники проникають у середовище постачальника ПЗ або провайдера керованих послуг, впроваджують шкідливий код у легітимний продукт чи оновлення, а потім використовують цю довіру для одночасного поширення атаки на всіх клієнтів далі за ланцюжком.
Чому це важливо: Ці атаки належать до категорій, які найважче виявити, оскільки вони експлуатують довіру до перевіреного софту. Компрометація одного постачальника може одночасно зачепити тисячі організацій, що колосально збільшує як масштаб наслідків, так і вигоду для зловмисників.
Відомий приклад: Атака SolarWinds SUNBURST (2020) залишається наймасштабнішою атакою на ланцюг постачання в історії. Зловмисники скомпрометували пайплайн збірки SolarWinds і поширили троянізоване оновлення платформи Orion серед приблизно 18 000 організацій, включаючи федеральні агентства США. Бекдор зв’язувався з підконтрольними зловмисникам C2-серверами та залишався непоміченим протягом багатьох місяців.
Як захиститися: Перехід на архітектуру нульової довіри (Zero Trust), яка не довіряє автоматично софту від постачальників. Моніторинг аномальної поведінки з боку довірених процесів. Впровадження практики специфікації складу програмного забезпечення (SBOM) для відстеження сторонніх залежностей.
5. Розподілені атаки типу «відмова в обслуговуванні» (DDoS)
Що це таке: DDoS-атака перевантажує цільовий сервер, мережу або сервіс трафіком із багатьох джерел одночасно, вичерпуючи ресурси та роблячи його недоступним для чинних користувачів.
Як це працює: Зловмисники зазвичай використовують ботнет – мережу скомпрометованих пристроїв для генерації величезних обсягів трафіку. До основних типів DDoS-атак належать об’ємні атаки, спрямовані на вичерпання пропускної здатності; протокольні атаки (наприклад, TCP/SYN-флуд); а також атаки на прикладному рівні, зокрема HTTP-флуд, спрямований на конкретні функції.
Чому це важливо: DDoS-атаки можуть виводити з ладу сайти електронної комерції, фінансові сервіси, DNS-інфраструктуру та критичні послуги на години або навіть дні. Окрім прямих втрат доходу, їх дедалі частіше використовують як відволікаючий маневр, поки зловмисники здійснюють інше, більш цілеспрямоване проникнення.
Як захиститися: Використання сервісів захисту від DDoS (наприклад, Cloudflare або Akamai) для постійної фільтрації трафіку. Впровадження локальних рішень, що включають обмеження частоти запитів, формування трафіку та фільтрацію IP-адрес за репутацією. Плани реагування на інциденти мають враховувати DDoS як можливий спосіб відволікання уваги від іншої атаки.
6. Атаки «Man-in-the-Middle» (MitM)
Що це таке: Під час атак MitM зловмисник таємно перехоплює і, можливо, змінює комунікацію між двома сторонами, які вважають, що спілкуються безпосередньо одна з одною.
Як це працює: Поширені методи включають ARP-спуфінг (підміна записів у таблиці розпізнавання адрес локальної мережі), DNS-спуфінг (перенаправлення DNS-запитів), SSL-стріппінг (пониження з’єднання з HTTPS до HTTP) та створення фальшивих точок доступу Wi-Fi у громадських місцях.
Чому це важливо: Атаки MitM можуть перехоплювати сесійні токени, облікові дані та конфіденційні дані під час транспортування без відома цілі. Атаки на протокол SS7 на рівні телекомунікаційної інфраструктури є особливо складним варіантом – зловмисники експлуатують слабкі місця в застарілих сигнальних протоколах для перехоплення SMS-кодів двофакторної автентифікації.
Як захиститися: Впровадження HTTPS усюди разом із HSTS. Використання закріплення сертифікатів для мобільних застосунків. Забезпечення VPN для віддалених працівників. Поступова відмова від MFA на основі SMS на користь застосунків-автентифікаторів або апаратних ключів.
7. SQL-ін’єкції (SQLi)
Що це таке: SQL-ін’єкція – це атака ін’єкції коду, під час якої шкідливі SQL-запити вставляються в поле введення для маніпуляцій із базою даних на бекенді.
Як це працює: Якщо додаток передає введені користувачем дані безпосередньо в запит до бази даних без належної валідації, зловмисник може змінити логіку запиту. Це дозволяє отримати доступ до всіх записів у базі даних, обійти автентифікацію, змінити або видалити дані, а в деяких випадках – виконати команди операційної системи.
Чому це важливо: SQLi фігурує в OWASP Top 10 уже понад 15 років. Попри глибоке розуміння цієї вразливості, вона залишається однією з найпоширеніших причин витоків даних через те, що для її реалізації не потрібні спеціальні інструменти – достатньо браузера та знання методики.
Як захиститися: Використання параметризованих та підготованих запитів. Застосування принципу найменших привілеїв (PoLP) до облікових записів баз даних. Розгортання міжмережевого екрана застосунків (WAF) як додаткового рівня захисту.
8. Експлойти нульового дня
Що це таке: Експлойт нульового дня (zero-day exploit) націлений на вразливість у програмному чи апаратному забезпеченні, яка є невідомою для розробника (йдеться про «нуль днів» на попередження та відсутність готового патчу).
Як це працює: Зловмисники виявляють вразливості за допомогою дослідження безпеки, купують їх на ринку експлойтів або отримують через розвідувальні операції. Державні угруповання накопичують запаси невиявлених експлойтів нульового дня для використання в цільових кампаніях кібершпигунства.
Чому це важливо: Такі експлойти становлять особливу небезпеку, оскільки традиційні підходи до захисту, засновані на встановленні оновлень, є неефективними. Вартість цінних експлойтів нульового дня на легальних (урядових) та нелегальних ринках може сягати мільйонів доларів.
Як захиститися: Єдиною реалістичною стратегією є концепція багаторівневого захисту (defense-in-depth). Необхідно виходити з припущення, що будь-яке програмне забезпечення може бути скомпрометоване, і впроваджувати кілька механізмів контролю: сегментацію мережі, дозволений список програм, аналіз поведінки та можливості швидкого реагування.
9. Атаки на основі облікових записів та даних
Що це таке: Ці атаки спрямовані на облікові дані користувачів та системи акаунтів для отримання автентифікованого доступу без експлуатації технічних вразливостей – зловмисник просто здійснює вхід у систему.
Як це працює: Поширені методи включають атаки з підбором облікових даних (використання скомпрометованих пар логін/пароль на інших сервісах), розпилення паролів (підбір популярних паролів до багатьох облікових записів одночасно), брутфорс-атаки, а також атаки Pass-the-Hash / Pass-the-Ticket, які експлуатують вразливості протоколів автентифікації Windows.
Чому це важливо: Облікові дані є найбільш популярним товаром у дарквебі. Через наявність мільярдів скомпрометованих у минулому пар логінів та паролів, такі загрози як атаки з підбором облікових даних дозволяють досягати успіху в масштабах великих систем за мінімальних зусиль. Атаки за використання облікових записів також важче виявити, оскільки вони генерують нормальну на вигляд активність автентифікації.
Як захиститися: Обов’язкове впровадження MFA. Розгортання інструментів ITDR. Моніторинг ознак неможливого переміщення, входів у позаробочий час та аномальних шаблонів доступу. Регулярний аудит та ротація привілейованих облікових даних.
10. Соціальна інженерія
Що це таке: Соціальна інженерія передбачає маніпулювання людьми, а не системами, з використанням таких психологічних чинників, як авторитет, терміновість, страх та взаємовигоду, з метою змусити особу вчинити шкідливі дії.
Як це працює: Методики включають претекстинг (створення вигаданого сценарію для витягування інформації), вішинг (voice phishing), смішинг (SMS phishing), бейтинг (залишення шкідливих USB-накопичувачів у публічних місцях) та атаки типу «quid pro quo» (пропозиція чогось цінного в обмін на облікові дані або доступ).
Чому це важливо: Людський фактор залишається найслабшою ланкою в більшості програм безпеки. Навіть технічно складні атаки зазвичай розпочинаються з елементів соціальної інженерії для отримання початкового доступу. Створення діпфейків за допомогою штучного інтелекту робить голосові та відеоманіпуляції дедалі переконливішими.
Як захиститися: Основними методами захисту є регулярне навчання з кіберобізнаності, симуляції фішингу та вішингу, а також розвиток культури повідомлення про підозрілі інциденти. Технічні засоби контролю (MFA, перевірки через окремий канал зв’язку для критичних запитів) дозволяють обмежити масштаб наслідків у разі успішного застосування методів маніпуляції.
Приклади кібератак у реальному світі
Аналіз резонансних інцидентів демонструє, як різні типи атак поєднуються на практиці та які висновки можуть зробити фахівці із захисту.
MGM Resorts (2023) – Соціальна інженерія + програма-вимагач
Один із найяскравіших прикладів того, як один телефонний дзвінок може зупинити роботу компанії вартістю 33 мільярди доларів. Злам MGM Resorts розпочався не зі шкідливого програмного забезпечення чи експлойтів нульового дня, а з десятихвилинної розмови.
У вересні 2023 року група зловмисників Scattered Spider (UNC3944) ідентифікувала співробітника MGM у мережі LinkedIn, зателефонувала до IT help desk компанії під виглядом цього працівника та переконала службу підтримки скинути пароль до облікового запису. Цей вішинговий дзвінок надав зловмисникам доступ рівня адміністратора до середовищ Okta та Azure Active Directory компанії MGM. Після цього вони розгорнули програму-вимагач BlackCat/ALPHV на понад 100 гіпервізорів ESXi усередині мережі.
Операційні наслідки виявилися миттєвими та масштабними. Ігрові автомати на об’єктах у Лас-Вегасі відображали повідомлення про помилки. Електронні ключі від номерів перестали працювати. З ладу вийшли банкомати. Системи онлайн-бронювання та мобільний додаток MGM стали недоступними. На деяких локаціях персонал повернувся до виписування паперових квитанцій для фіксації виграшів у казино. Збій тривав близько десяти днів і призвів до фінансових втрат у розмірі приблизно 100 мільйонів доларів у третьому кварталі, включаючи близько 84 мільйонів доларів недоотриманого доходу та 10 мільйонів доларів одноразових витрат на усунення наслідків інциденту.
Злам також призвів до витоку персональних даних клієнтів, які здійснювали транзакції з MGM до березня 2019 року, включаючи імена, контактні дані, стать, дати народження, номери посвідчень водія, а для обмеженої кількості осіб – номери соціального страхування та паспортні дані.
Показово, що керівництво MGM відмовилося платити викуп. Водночас конкуруюча компанія Caesars Entertainment, яка зазнала атаки того самого угруповання того ж тижня, за наявною інформацією, виплатила близько 15 мільйонів доларів для запобігання публікації викрадених даних.
До 2025 року компанія MGM запустила програму врегулювання колективних позовів щодо цього інциденту та попереднього витоку 2019 року, а прокурори США оприлюднили кримінальні звинувачення проти п’яти ймовірних учасників угруповання Scattered Spider.
Головний урок:
Соціальна інженерія дозволяє обійти будь-які технічні засоби захисту. Співробітник служби підтримки без належної підготовки в межах навчання з кіберобізнаності може фактично надати зловмиснику доступ до всієї корпоративної інфраструктури. Процедури перевірки особи для внесення критичних змін до облікових записів (включно з підтвердженням через окремий канал зв’язку) є обов’язковими. Налаштування MFA на платформах облікових записів на кшталт Okta мають бути захищені від методів психологічного маніпулювання, а не лише від підбору облікових даних.
Covenant Health (2025) – атака програми-вимагача на медичну організацію
Злам Covenant Health є класичним прикладом розвитку атак типу програм-вимагачів проти медичних установ. Цей випадок наочно демонструє, наскільки сильно первинні звіти про інциденти можуть применшувати реальний вплив на пацієнтів.
18 травня 2025 року зловмисники, представники групи Qilin яка пов’язана з програмами-вимагачами, отримали несанкціонований доступ до IT-середовища Covenant Health – католицької медичної мережі, що керує лікарнями та клініками у штатах Массачусетс, Мен, Нью-Гемпшир, Пенсильванія, Род-Айленд і Вермонт. Проникнення залишалося непоміченим протягом восьми днів. За цей час угруповання провело розвідку, здійснило приховане розгалуження атаки, підвищило привілеї та вивело приблизно 852 ГБ даних, що включали близько 1,35 мільйона файлів. Після цього було розгорнуто програму-вимагач для шифрування систем та дезорганізації роботи кількох закладів, зокрема лікарні St. Joseph Hospital та St. Mary’s Health System у штаті Мен.
Спочатку мережа Covenant Health повідомила регуляторні органи про злам у липні 2025 року, вказавши близько 7 900 постраждалих осіб. До 31 грудня 2025 року (після завершення форензичного розслідування) організація переглянула цю цифру, збільшивши її до 478 188 пацієнтів, що становить зростання майже на 6000% порівняно з початковими даними.
Компрометовані дані включали імена, адреси, дати народження, номери медичних карток, номери соціального страхування, інформацію про медичне страхування та деталі лікування (діагнози, дати надання послуг і типи медичної допомоги). Оскільки компанія Covenant не виплатила викуп, група Qilin опублікувала викрадену інформацію на своєму сайті витоку даних у дарквебі.
Головний урок:
Організації сфери охорони здоров’я стають цілями значно частіше через високу вартість медичних карток пацієнтів та через те, що зупинка операційних процесів створює максимальний тиск для виплати грошей. Злам Covenant також підкреслює системну проблему з термінами повідомлення про витік даних: розрив між первинним повідомленням та встановленням реального масштабу становив майже шість місяців, через що сотні тисяч людей не отримали вчасного сповіщення. Організаціям необхідно інвестувати у форензичні можливості та процеси реагування на інциденти, щоб швидше й точніше оцінювати масштаб компрометації.
Salesloft / Drift / Salesforce (2025) – атака на ланцюг постачання через інтеграцію SaaS
Злам Salesloft та Drift у серпні 2025 року став однією з найбільш масштабних атак на ланцюг постачання через інтеграцію SaaS в історії, яка через компрометацію однієї сторонньої інтеграції одночасно зачепила сотні організацій, серед яких Cloudflare, Google, Palo Alto Networks, Zscaler, HackerOne та Workday.
Атака, яку приписують UNC6395, розпочалася місяцями раніше. У період із березня по червень 2025 року зловмисники скомпрометували середовище GitHub компанії Salesloft, закріпилися в інфраструктурі інструменту Drift (інтелектуальний чат-агент, придбаний Salesloft у 2024 році) та викрали токени OAuth, які Drift використовував для підключення до клієнтських середовищ Salesforce CRM. Токени OAuth є довготривалими ідентифікаторами для автентифікації, які дозволяють одному додатку діяти від імені іншого без введення логіна й пароля, і, що вкрай важливо, вони не захищені за допомогою MFA.
З 8 по 18 серпня 2025 року угруповання UNC6395 використовувало викрадені токени для імітації додатка Drift і систематично запускало масові запити на експорт даних у середовищах Salesforce понад 700 організацій. Зловмисники виконували запити до об’єктів Salesforce, зокрема Accounts, Contacts, Cases, Users та Opportunities, виводячи великі обсяги комерційної інформації, вмісту звернень до служби підтримки та звітів про продажі. Після виведення інформації група здійснювала сканування масиву даних для пошуку прихованих секретів: ключів доступу AWS, токенів Snowflake, облікових даних VPN та ключів API з метою подальшого проникнення в інфраструктуру цілей та розширення масштабів атаки.
20 серпня компанія Salesforce відкликала всі токени OAuth Drift та видалила додаток Drift зі свого AppExchange. Форензичне розслідування Mandiant підтвердило, що злам було локалізовано в середовищі додатка Drift, а основна платформа Salesloft не зазнала компрометації з метою виведення даних.
Головний урок:
Ця атака не використовувала технічні вразливості в самій системі Salesforce – вона експлуатувала довіру. Завдяки імітації чинної популярної інтеграції, трафік зловмисників повністю змішувався зі звичайною API-активністю та обходив традиційні засоби кібербезпеки. Інцидент доводить, що токени OAuth необхідно розцінювати як критично важливі облікові дані. Інтеграції зі сторонніми SaaS потребують постійного моніторингу та періодичного перегляду прав доступу, а автоматична довіра організацій до підключених додатків є великою загрозою. У сучасній концепції побудови інфраструктури обліковий запис стає новим захисним периметром, де кожна інтеграція є потенційною точкою входу.
Хто є ціллю атак?
Жодна організація не має абсолютного імунітету проти кібератак, проте певні сектори та профілі діяльності зазнають нападів значно частіше.
Сфера охорони здоров’я користується попитом через високу вартість медичних карток (ціни на які на чорному ринку перевищують вартість фінансових даних), критичну важливість безперервної роботи систем (що створює важелі тиску для програм-вимагачів) та історичний брак фінансування програм кібербезпеки.
Фінансові послуги приваблюють зловмисників, які шукають безпосередній доступ до коштів і платіжних систем. Крім того, складність регуляторних вимог розширює потенційне поле для компрометації.
Об’єкти критичної інфраструктури (включаючи енергетику, водопостачання, транспорт, урядові установи та виробництво) стають цілями зловмисників, що фінансуються державою та прагнуть отримати геополітичні важелі впливу, а також угруповань програм-вимагачів, що експлуатують вразливості середовищ операційних технологій (OT).
Підприємства сегмента SMB часто зазнають атак саме тому, що сприймаються як легша здобич. Вони також можуть використовуватися як проміжний етап для проникнення у великі корпорації через зв’язки в межах ланцюга постачання.
Державні установи та оборонні структури стають цілями кібершпигунства, збору розвідувальних даних та стратегічної дезорганізації процесів.
Як запобігти кібератакам: 10 основних кроків
Дослідження послідовно доводять, що 80% витоків даних можна уникнути за допомогою базових практик безпеки. Наведені нижче заходи мають найвищий рівень окупності інвестицій для більшості організацій.
1. Обов’язкове впровадження багатофакторної автентифікації (MFA) повсюдно
MFA є одним із найефективніших заходів захисту від атак на основі облікових даних. Її необхідно впровадити для всіх облікових записів, особливо для віддаленого доступу (VPN), електронної пошти та привілейованих адміністративних акаунтів. Перевагу варто надавати застосункам-автентифікаторам або апаратним ключам замість SMS-кодів.
2. Управління оновленнями та вразливостями
Більшість успішних атак використовують уже відомі вразливості, а не експлойти нульового дня. Необхідно налагодити процес інсталяції критичних оновлень та патчів високого рівня важливості протягом 24–72 годин із моменту їх випуску. Використання інструментів сканування вразливостей забезпечує постійну видимість стану захищеності інфраструктури.
3. Регулярне навчання з кіберобізнаності
Навчання персоналу розпізнаванню методів фішингу, соціальної інженерії та інших технік психологічного маніпулювання. Доповнення теоретичних курсів практичними симуляціями фішингових кампаній дозволяє оцінити та підвищити реальний рівень обізнаності. Розвиток культури кібербезпеки є вимірюваним фактором загального захисту компанії.
4. Розгортання систем виявлення та реагування на кінцевих пристроях (EDR)
Звичайні антивірусні програми здатні виявляти лише відомі загрози. Інструменти EDR використовують поведінковий аналіз для фіксації аномальної активності навіть у випадках застосування невідомого раніше шкідливого ПЗ. Перевагу варто надавати платформам із функціями автоматизованого реагування для локалізації загроз до моменту їх поширення мережею.
5. Впровадження сегментації мережі
Корпоративну мережу необхідно розподіляти на окремі зони з контрольованим доступом між ними. Це обмежує можливості для прихованого переміщення мережею після первинного зламу. Отримання зловмисником доступу до однієї робочої станції не повинно автоматично відкривати шлях до серверів, систем резервного копіювання або OT-середовищ.
6. Резервне копіювання даних і тестування відновлення
Організаціям варто дотримуватися правила резервного копіювання 3-2-1: створювати три копії даних на двох різних типах носіїв, причому одну копію зберігати віддалено або в незмінному форматі, наприклад в ізольованому середовищі або хмарному сховищі з можливістю лише додавання. Відновлення потрібно регулярно тестувати, оскільки неперевірені резервні копії не гарантують можливості швидкого повернення до роботи після інциденту.
7. Дотримання принципу найменших привілеїв
Користувачі та службові облікові записи повинні мати доступ лише до тих ресурсів, які є необхідними для виконання поточних обов’язків. Періодичний перегляд та обмеження прав доступу мають здійснюватися регулярно. Спеціалізовані рішення керування привілейованим доступом (PAM) автоматизують цей процес у масштабах великих компаній та забезпечують моніторинг сесій для акаунтів із високим рівнем ризику.
8. Захист електронної пошти за допомогою систем розширеної фільтрації
Використання шлюзів безпеки пошти з підтримкою функцій пісочниці URL, аналізу вкладень та захисту від імітації легітимних відправників. Коректні конфігурації протоколів DMARC, DKIM та SPF запобігають підробці корпоративного домену під час зовнішніх фішингових кампаній.
9. Постійний моніторинг загроз
Видимість процесів у середовищі в режимі реального часу є критично важливою для захисту. Системи управління інформацією та подіями безпеки (SIEM), сервіси керованого виявлення та реагування (MDR) або інтегровані платформи XDR дають змогу своєчасно виявляти загрози до того, як вони переростуть у масштабний інцидент.
10. Проведення тестів на проникнення та комплексного оцінювання безпеки
Періодичне залучення сторонніх експертів для проведення тестів на проникнення дозволяє виявити потенційні вразливості до того, як їх знайдуть кіберзлочинці. Поєднання таких тестів із практиками red team допомагає перевірити реальну здатність систем до виявлення та реагування, а не лише роботу превентивних засобів контролю.
Як рішення Cynet допомагають захиститися від кібератак
Єдина платформа XDR Cynet об’єднує ключові інструменти, необхідні організаціям для запобігання, виявлення та реагування на кібератаки. Це допомагає зменшити складність управління розрізненим набором засобів безпеки.
Безпека кінцевих точок (EDR/NGAV): Блокування відомого та невідомого шкідливого ПЗ за допомогою поведінкового аналізу на базі ШІ. Це допомагає запобігати атакам програм-вимагачів, безфайловим атакам та експлойтам нульового дня безпосередньо на рівні кінцевих точок.
Мережева безпека: Аналіз мережевого трафіку та виявлення аномалій для ідентифікації розгалуження атаки, ексфільтрації даних і комунікацій із C2-серверами в режимі реального часу.
Безпека облікових записів (ITDR): Виявлення фактів викрадення облікових даних, захоплення акаунтів та несанкціонованого підвищення привілеїв шляхом безперервного моніторингу процесів автентифікації та фіксації відхилень від норми.
Безпека SaaS і хмари (SSPM/CSPM): Виявлення помилок конфігурації, надлишкових прав доступу та ризикованих дій у хмарних робочих середовищах і SaaS-застосунках до того, як ці слабкі місця зможуть використати зловмисники.
24/7 MDR (CyOps): Команда аналітиків безпеки Cynet здійснює цілодобовий моніторинг цифрового середовища, сортує сповіщення, виконує пошук загроз та реагує на інциденти, що дозволяє розширити можливості штатної служби безпеки без потреби у збільшенні кількості працівників.
Автоматизоване реагування: готові та адаптивні сценарії реагування автоматично локалізують загрози – від ізоляції скомпрометованих кінцевих точок до блокування шкідливих IP-адрес. Це суттєво зменшує час, протягом якого зловмисники можуть діяти всередині середовища організації.







