| 0 |
|
Аналітичний відділ Cloudforce One оприлюднив результати першого в цьому році звіту Cloudflare Threat Report, який демонструє фундаментальну трансформацію стратегії кіберзлочинців. Компанія Cloudflare, що надає послуги доставки контенту, пом'якшення DDoS атак та захисту від кіберзагроз, обробляє понад 20% світового інтернет-трафіку, а її мережа щодня стає першою лінією захисту від понад 230 млрд загроз. Це дає фахівцям можливість бачити перші ознаки атак, виокремлювати закономірності та розробляти рекомендації щодо відповідних контрзаходів.
На основі наявної глобальної телеметрії аналітики Cloudflare роблять чіткий висновок: у 2026 році ми станемо свідками повної індустріалізації кіберзагроз, коли бар'єр для входу зникне, а «інтерактивний хак» стане масштабованою та автоматизованою моделлю.
Основним показником ризику в поточному році є MOE (Measure of Effectiveness, міра ефективності) – співвідношення зусиль зловмисника до оперативного результату. Доступність генеративного AI значно знижує бар'єр для входження на ринок ефективних операцій. Використовуючи хмарні технології, програмне забезпечення як послугу (SaaS) та AI-інфраструктуру зловмисники досягають рівня безперешкодного масштабування, який традиційні моделі ризику не в змозі охопити.
Своєю чергою державні хакери ставлять під загрозу стійкість критичної інфраструктури. Вони фокусуються на проникненні та укоріненні у телеком та енергетичні інфраструктури, урядових та ІТ-послугах. Таке стратегічне націлювання свідчить про свідомий перехід від шпигунства до підготовки майбутніх руйнівних подій.
Безпека корпоративних даних тепер визначається інтеграціями сторонніх розробників, а не традиційним периметром мережі. У 2026 році одне надмірно привілейоване з'єднання SaaS-to-SaaS може бути використане як зброя за допомогою AI для одночасного спричинення точних, багатокористувацьких порушень у всій екосистемі. Ця структурна вразливість перетворює «сполучну тканину» сучасних підприємств на основний засіб для широкомасштабних і автоматизованих операційних збоїв.
Зловмисники використовують легітимні хмарні екосистеми (SaaS, IaaS та PaaS) як зброю, щоб замаскувати зловмисні дії під штатні операції підприємства. У 2026 році використання надійних платформ для передачі зашифрованих команд перетворилося на стандартизований рівень заплутування в рамках ширших, багатоступеневих гібридних інфраструктур.
Зловмисники навчилися маскувати свою активність усередині екосистем Google Calendar, Dropbox та GitHub, роблячи шкідливий трафік майже невідрізним від повсякденної корпоративної діяльності. Показовим прикладом є діяльність угруповання FrumpyToad (Китай), яке використовує логіку сервісу Google Calendar для побудови командно-контрольних циклів. Хакери записують зашифровані команди безпосередньо в описи подій календаря, що дозволяє їм керувати атаками, залишаючись у межах довірених хмарних протоколів. Аналогічно, угруповання PatheticSlug (КНДР) використовує «щит репутації» таких сервісів, як Google Drive та Microsoft Teams, які системні адміністратори зазвичай не блокують для доставки шкідливого ПЗ.
Демократизація масштабованих хмарних ресурсів з високою пропускною здатністю дозволяє навіть зловмисникам низького рівня здійснювати складні атаки, що обходять традиційну фільтрацію вихідного трафіку.
Одним із найбільш зухвалих методів стало впровадження діпфейк-персон безпосередньо у штати західних компаній. Північнокорейські оперативники успішно використовують технології генеративного AI для створення фальшивих ідентичностей, які проходять віддалені співбесіди та отримують доступ до корпоративних ресурсів як легітимні IT-працівники. Це дозволяє здійснювати промислове шпигунство та виводити кошти безпосередньо зсередини організації.
Паралельно з цим спостерігається криза традиційних методів ідентифікації: викрадення активних сесійних токенів за допомогою інструментів на кшталт LummaC2 робить багатофакторну автентифікацію (MFA) неефективною, оскільки хакери переходять відразу до дій у вже авторизованому середовищі.
Також зловмисники використовують критичну сліпу зону, де поштові сервери не перевіряють ідентичність відправника після того, як повідомлення проходить через сторонній шлюз. Оскільки трафік надходить від «довіреного» ретранслятора, система помилково розглядає зовнішні підроблені повідомлення як внутрішні або безпечні. Це дозволяє ботам, що надають послуги фішингу, обходити стандартний захист і доставляти підроблені повідомлення від надійних брендів безпосередньо в поштові скриньки користувачів, зловживаючи фрагментованою аутентифікацією пошти.
Водночас масштаби інфраструктурних атак продовжують зростати: ботнети нового покоління, такі як Aisuru, регулярно генерують гіпероб'ємні DDoS-удари потужністю понад 31,4 Тбіт/с. Ці автономні атаки досягають піка за лічені секунди, фактично закриваючи вікно для втручання людини й створюючи надзвичайне навантаження на місцеву інфраструктуру.
У поєднанні з тим фактом, що 94% спроб входу в корпоративні системи сьогодні ініціюються ботами, а 63% логінів використовують уже скомпрометовані раніше дані, ситуація вимагає від захисників повного перегляду стратегій безпеки.
Європа є другим за популярністю регіоном, де знаходиться 22% жертв шифрувальників у світі. Регіон EMEA залишається основним театром деструктивних кібероперацій, пов'язаних з війною в Україні та зміною балансу сил у Східній Європі та на Близькому Сході.
Україна, яка є передовою лінією сучасної гібридної війни, є найактивнішим у світі театром руйнівних кібероперацій. Вона безперервно піддається атакам з боку державних суб'єктів з росії та білорусі з метою саботажу критичної інфраструктури та проведення психологічних операцій.
Російська кіберзагроза продовжує діяти за моделлю високої частоти та широкого націлювання. Такі групи, як NastyShrew, дотримуються своєї усталеної практики використання хмарних сервісів з високою репутацією для маскування інфраструктури C2 та застосування геофенсінгу для уникнення глобальних сканерів безпеки, підтримуючи постійний доступ до критичних систем України. Хакери рф продовжують підтримувати геополітичні цілі своєї держави, про що свідчать поточні фішинг-кампанії StainedShrew проти союзників НАТО та кампанії геолокації RottenShrew проти тактичних комунікаційних додатків, які використовуються українськими військовими, часто з тимчасовою кореляцією з російськими кінетичними військовими операціями.
Зокрема вони атакують акаунти месенджера Signal, які використовують українські військовослужбовці, імітуючи додаток «Кропива» (система наведення артилерії), щоб спонукати користувачів пов'язати свої акаунти Signal з інстанціями, контрольованими RottenShrew, надаючи зловмисникам повний доступ до комунікацій та метаданих.
Окрім програми «Кропива» хакери рф націлюються також на військову програму Delta, сайти, пов'язані з Teneta (технологічною компанією, що надає ЗСУ тактичні модеми та інші пристрої), програму цифрових державних послуг «Дія» та українську службу перетину кордону «єЧерга».
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
