Количество кибератак на Украину сократилось на 4% — служба реагирования CERT-UA

Общая картина: кибератаки как часть конфликта

В отчете «Кіберзагрози: Україна, ІІ півріччя 2025» украинская служба реагирования на киберинциденты CERT-UA (команда реагирования на компьютерные чрезвычайные события Украины) рассматривает кибератаки как элемент текущего конфликта, а не как отдельные ИБ-инциденты. Подчеркивается, что киберпространство используется для решения прикладных задач — прежде всего получения разведданных, а также влияния на работу государственных систем.

Помимо этого в отчете отмечается, что активность атакующих носит системный характер. Речь идет о группах, которые украинская сторона связывает с Россией и описывает через отдельные кластеры (UAC-XXXX). Эти группы действуют не эпизодически, а ведут длительные кампании, постоянно меняя и комбинируя техники. В таких условиях защита требует не точечных мер, а постоянной готовности к изменению тактики.

Динамика инцидентов и общий уровень угроз

Количество киберинцидентов во втором полугодии 2025 года немного снизилось — примерно на 4% по сравнению с предыдущим периодом, следует из отчета CERT-UA . Критических инцидентов не зафиксировано, сократилось и число инцидентов высокого уровня.

При этом давление не ослабло: интенсивность атак осталась на прежнем уровне. Снижение показателей в документе связывается с адаптацией защиты и ростом устойчивости систем.

Основные цели атак

Основными целями атак остаются сектор безопасности и обороны, государственные органы и объекты инфраструктуры, включая энергетику .

Доля атак на сектор безопасности и обороны остается одной из самых значимых, при этом реальные показатели могут быть выше: часть инцидентов обрабатывается внутри профильных подразделений и не попадает в общую статистику.

Одновременно растет доля атак на местные органы власти и государственные организации, что указывает на расширение фокуса — воздействие оказывается не только на центральный, но и на региональный уровень.

Смена модели атак: от разовых взломов к закреплению

Атаки смещаются от быстрых сценариев к длительной работе внутри инфраструктуры. Если ранее широко использовались стилеры по модели «украл – ушел», то теперь усиливается акцент на закреплении и сохранении доступа .

Для этого используются легитимные сервисы удаленного доступа и развивается первоначальная компрометация, отмечают авторы отчета. Характерной практикой становятся попытки возвращения в ранее скомпрометированные системы, которые в ряде случаев оказываются успешными.

Методы атак и основные типы инцидентов

Наибольшую долю составляют инциденты, связанные с компрометацией учетных записей и систем — до 36% и 31% соответственно во втором полугодии . Существенной остается и доля фишинга — около 21%, а также атак с распространением вредоносного ПО.

Одновременно наблюдается разнонаправленная динамика: количество рассылок вредоносных программ увеличилось, тогда как число успешных заражений снизилось. Авторы отчета связывают это с ростом осведомленности пользователей и улучшением механизмов защиты.

Новые и заметные угрозы

Появляются новые кластеры атак и расширяется набор используемых техник. Среди заметных сценариев — zero-click атаки на почтовые серверы (в том числе Zimbra и Roundcube), позволяющие выполнять код без участия пользователя и получать доступ к переписке, учетным данным и служебной информации.

Распространены атаки с использованием программ-вымогателей: в качестве точки входа часто используются открытые административные интерфейсы, прежде всего RDP, а перед шифрованием данных удаляются теневые копии, чтобы усложнить восстановление.

Кибершпионаж ведется через фишинговые рассылки, поддельные сайты и вредоносные архивы: жертву убеждают открыть файл или перейти по ссылке, после чего в системе закрепляется вредоносное ПО и начинается скрытый сбор данных. В ряде случаев применяются комбинированные инструменты, совмещающие кражу данных и удаленное управление системой.

Техники и уязвимости

Активно используются как уязвимости, так и штатные возможности систем для скрытого выполнения кода .

Одной из наиболее распространенных стала уязвимость WinRAR (CVE-2025-8088), позволяющая записывать файлы вне выбранной директории при распаковке архива. Это используется для размещения вредоносных файлов, в том числе в автозагрузке.

Применяется механизм Alternate Data Streams (ADS) — функция файловой системы Windows, позволяющая скрывать вредоносный код внутри файлов и каталогов. Используются и VHD-файлы: вредоносная нагрузка размещается внутри виртуальных дисков и выполняется после их подключения, что усложняет обнаружение.

Эволюция социальной инженерии

Классический фишинг теряет эффективность, на его место приходят более сложные сценарии взаимодействия с жертвой.

Используются легитимные аккаунты, украинские номера телефонов, общение переносится в мессенджеры, включая аудио- и видеосвязь. Сообщения становятся персонализированными с учетом контекста конкретной организации или человека. После установления контакта жертве направляются вредоносные файлы или ссылки, что позволяет повысить доверие и увеличить вероятность успешной атаки.

Итог

Речь идет не столько о наборе техник, сколько о модели атак: длительная работа внутри инфраструктуры с закреплением и попытками повторного доступа . При этом защита адаптируется, что отражается в снижении числа инцидентов. Ключевой момент — риск не исчезает после атаки: доступ может использоваться повторно, а сама компрометация растягивается во времени.

Отчет «Кіберзагрози: Україна, ІІ півріччя 2025» доступен по ссылке.