Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

П'ять змін у кіберзагрозах, які пливають на український бізнес

Дмитро Стрижов
Дмитро Стрижов Топ автор Засновник охоронного холдингу SHERIFF
3
18 хвилин читання

У грудні 2025 року служба безпеки великої української виробничої компанії отримала тривожний сигнал: сотні робочих станцій раптово почали «спілкуватися» з невідомим сервером. Причиною виявився не вишуканий експлойт і не державний хакер, а звичайний піратський образ Windows, завантажений з торенту, щоб заощадити кількасот доларів на ліцензії. Всередині образу чекав бекдор, який тижнями давав зловмисникам віддалений контроль над мережею, поки ніхто цього не помічав.

Ця історія не курйоз і не виняток. Це симптом значно глибшої трансформації, яка відбулася в ландшафті кіберзагроз за останні два роки. Компанії, що звикли вимірювати свою захищеність кількістю встановлених антивірусів і частотою оновлень, опинилися в світі, де правила гри змінилися радикально. Атакувальники більше не поспішають. Вони оселяються.

П'ять змін у кіберзагрозах, які пливають на український бізнес зображення 1 SHERIFF CYBER: хакер оселяється у вас в системі

Фортеця більше не рятує

Ще донедавна кібербезпека будувалася на логіці фортеці: зведи стіни, постав вартових на брамі, відбий штурм і живи спокійно. Ця логіка передбачала, що така подія разова та помітна: зловмисник проникає, завдає шкоди, йде геть, а захисники прибирають наслідки.

Аналіз реальних інцидентів 2025/26 років, проведений фахівцями SHERIFF Cybersecurity на основі даних CERT-UA, ENISA, Mandiant, CrowdStrike, ESET та інших галузевих джерел, показує: ця модель більше не описує реальність. Сучасний зловмисник рідко поспішає завдати удару. Натомість він прагне закріпитися і чекати.

До цього додається ще один фактор, який ще п'ять років тому здавався науковою фантастикою: штучний інтелект тепер працює не лише на захисників, а й проти них. А цифрова економіка зробила компанії залежними одна від одної настільки, що атака на постачальника програмного забезпечення чи хмарного сервісу може паралізувати десятки організацій, які про цього постачальника навіть не чули.

П'ять тенденцій, які описано нижче, — це не випадковий список загроз. Це портрет нової логіки атак, у якій час, довіра та автоматизація стали головною зброєю зловмисників.

Зловмисник, що оселяється, а не грабує

Класична схема «вкрав і втік» поступається місцем стратегії довгої гри. Замість того щоб одразу монетизувати доступ — зашифрувати дані, вимагати викуп, — хакери дедалі частіше обирають тишу: закріпитися в мережі, періодично викрадати дані малими порціями і готувати ґрунт для майбутньої, значно масштабнішої атаки.

П'ять змін у кіберзагрозах, які пливають на український бізнес зображення 2 SHERIFF CYBER: кіберзлочинці грають в довгу

Цифри підтверджують масштаб явища. У 2025 році CERT-UA зафіксував 5927 складних інфікованих інцидентів в Україні, на 37% більше, ніж роком раніше. Паралельно ENISA повідомляє про стійкі кампанії кіберрозвідки, які державно-афілійовані APT-групи проводять проти критичної інфраструктури Євросоюзу.Цифри підтверджують масштаб явища. У 2025 році CERT-UA зафіксував 5927 складних інфікованих інцидентів в Україні, на 37% більше, ніж роком раніше. Паралельно ENISA повідомляє про стійкі кампанії кіберрозвідки, які державно-афілійовані APT-групи проводять проти критичної інфраструктури Євросоюзу.

«Зловмисники дедалі частіше намагаються не просто щось викрасти, а зберегти можливість повторного входу… повертатися в системи через місяці після першого вторгнення», - констатує аналіз ANZIS.

Саме так розгорталася й історія з троянізованим інсталятором Windows, описана на початку цього матеріалу. Зловмисники могли перебувати в мережі компанії тижнями непомітно, без шифрування файлів і вимог викупу, доки нетиповий мережевий трафік не привернув увагу служби безпеки.

Технічно такі атаки спираються на компрометацію довірених джерел програмного забезпечення, виконання шкідливого коду через дії звичайного користувача, заплановані завдання та інʼєкцію в легітимні процеси, а команди й модулі зловмисники нерідко передають через звичайний DNS-трафік або хмарні API, які важко відрізнити від нормальної активності офісу.

Головна небезпека персистентних вторгнень — оманливе відчуття безпеки. Компанія може вважати інцидент закритим, тоді як зловмисник лишив собі «запасний вхід»: прихований обліковий запис, SSH-ключ або руткіт, що чекає активації. Без проактивного полювання на загрози (threat hunting) така прихована присутність здатна вилитися у повне шифрування інфраструктури вже за кілька місяців після «закриття» інциденту.

Що з цим робити? Базовий принцип — діяти так, ніби компрометація вже відбулася (assume breach), навіть якщо явних слідів атаки немає. Це означає: глибокий аналіз мережі після будь-якої підозрілої події, а не лише усунення видимого збитку; жорсткий контроль облікових записів і обов'язкову багатофакторну автентифікацію для адміністративного доступу й віддалених підключень; сегментацію мережі, яка не дає зловмиснику з одного зламаного ПК дістатися до виробничих систем чи баз даних; і повне очищення інфраструктури після інциденту — з переустановленням систем із перевіреного джерела, а не «косметичним» видаленням шкідливого файлу.

Той самий ШІ, тільки по інший бік барикад

Якщо персистентність про терпіння зловмисників, то другий тренд про їхню швидкість і масштаб. Генеративний штучний інтелект, який бізнес використовує для написання текстів і коду, відкрив дзеркальні можливості для кіберзлочинців.

Підписуйтеся на наші соцмережі

Дослідження SoSafe за 2025 рік дає тривожну картину: 87% компаній вже стикалися з кібератаками, згенерованими за допомогою ШІ, а 90% очікують, що таких атак ставатиме більше. Це не абстрактний прогноз, це визнання індустрією того, що сталося вже зараз.

Найпоказовіший приклад — PromptLock, виявлений фахівцями ESET у другій половині 2025 року. Це перший у світі ransomware-as-a-service, який у реальному часі генерує шкідливі скрипти за допомогою штучного інтелекту, фактично адаптуючись до середовища жертви на льоту. Паралельно зростає якість deepfake-підробок: ESET зафіксувала вибухове поширення інвестиційних шахрайств типу «Nomani», де зловмисники використовують підроблене відео керівників компаній для соціальної інженерії.

Економіка цього тренду пояснює його швидке поширення. Phishing-as-a-Service дозволяє розгортати високоякісні, персоналізовані фішингові кампанії практично без технічних навичок — поріг входу в кіберзлочинність впав до мінімуму. CrowdStrike та Check Point фіксують мультиперіодичні AI-фішингові операції з рівнем персоналізації, який ще кілька років тому вимагав би тижнів ручної підготовки.

П'ять змін у кіберзагрозах, які пливають на український бізнес зображення 3 SHERIFF CYBER: кіберзлочинність всюди

Парадокс у тому, що та сама технологія створює вразливість і всередині компаній, які її впроваджують. Неконтрольовані промпти співробітників, «тіньовий ШІ» (shadow AI) - використання сторонніх AI-сервісів без узгодження зі службою безпеки і слабкий моніторинг подібних інструментів формують нову, раніше неіснуючу поверхню атаки.

Відповідь бізнесу має бути симетричною. Антифішинговий захист сьогодні неможливий без власної AI-аналітики пошти, здатної розпізнавати згенеровані тексти та поведінкові аномалії. Багатофакторна автентифікація лишається останнім бар'єром навіть тоді, коли deepfake-дзвінок «керівника» виглядає переконливо. Окремий і дедалі важливіший пункт — політика управління штучним інтелектом усередині компанії: що співробітникам дозволено робити з ChatGPT та подібними сервісами, які дані можна туди вводити і хто за це несе відповідальність.

Зламати вашого постачальника

Третій тренд руйнує ілюзію, що безпека компанії визначається лише її власними зусиллями. Дедалі частіше зловмисники атакують не саму ціль, а її постачальників, хмарні сервіси та довірені інтеграції і через них дістаються десятків організацій одночасно.

Найпереконливіший приклад 2025 року — атака угруповання INC Ransom на платформу екстрених сповіщень OnSolve CodeRED у США. Зловмисники викрали приблизно 1,15 терабайта даних муніципалітетів і вивели з ладу саму систему сповіщень — інструмент, який у разі стихійного лиха чи надзвичайної ситуації безпосередньо рятує життя людей.

Розслідування SHERIFF CYBER виявило, що ключовими причинами стали елементарні помилки: паролі, які зберігалися у відкритому текстовому вигляді, та відсутність резервної інфраструктури для критичних функцій. Найбільш промовиста деталь — останній бекап системи датувався 31 березня 2025 року, тобто за вісім місяців до атаки. Це означало, що організація втратила не лише поточні дані, а й вісім місяців операційної історії.

Україна має власний показовий кейс. У лютому-березні 2024 року невідома APT-група розмістила шифрований бекдор на головному порталі ukr.net — ресурсі, якому довіряють мільйони користувачів. Як зазначають фахівці холдинг SHERIFF, аналізуючи подібні випадки, безпека компанії завжди прив'язана до безпеки її провайдерів: якщо вразливий вендор, атака на нього автоматично поширюється на всіх його клієнтів.

ENISA називає це посиленням «кіберзалежностей»: зловмисники цілеспрямовано шукають ключові вузли цифрового ланцюга, щоб одним ударом досягти максимального масштабу. Логіка очевидна: навіщо зламувати сто компаній окремо, якщо можна зламати одного постачальника хмарних послуг, яким користуються всі сто.

Практичний висновок для бізнесу: аудит безпеки постачальників має стати такою ж рутинною процедурою, як перевірка фінансової звітності контрагента. Це означає вимагати від вендорів доказів процедур оновлення, захисту розробки та плану реагування на інциденти; мінімізувати довірчі звʼязки через ізоляцію віртуальних машин та обов'язкову MFA для облікових записів провайдерів; і, що особливо важливо після кейсу CodeRED, забезпечити незалежні резервні копії критичних сервісів із короткою точкою відновлення, в ідеалі не більше тижня.

Кілька годин і патч вже запізнився

Четвертий тренд стосується швидкості, з якою новостворені вразливості перетворюються на реальну зброю. Якщо раніше компанії мали дні або тижні на встановлення патча після оголошення про вразливість, то в 2025–2026 роках цей запас часу скоротився до годин.

Показовий приклад: критична вразливість підвищення привілеїв у ядрі Windows, CVE-2025-62215, виявлена у січні 2026 року. Вона дозволяла локальному зловмиснику отримати повний контроль на рівні системи і, за повідомленнями частини вендорів, вже активно експлуатувалася ще до офіційного виходу оновлень.

Браузери виявилися не менш вразливими: Google TAG оприлюднив сьому за рік нульову вразливість у Chrome, використану в цілеспрямованих шпигунських атаках. Цей факт сам по собі промовистий — кінцеві точки (браузери звичайних співробітників) стали такою ж привабливою мішенню для просунутих груп, як корпоративні сервери.

ENISA фіксує цю динаміку прямо: у багатьох випадках атаки стартують ще до того, як більшість організацій встигає встановити оновлення. Час експлуатації скоротився до годин і це означає, що традиційна модель «реагуємо на патч-вівторок» уже не встигає за реальністю.

В Україні цей тренд набуває особливого, тривожного відтінку. За даними CERT-UA, після вибухів на військових об'єктах у червні–жовтні 2025 року зловмисники почали використовувати нові вразливості систем промислової автоматизації (SCADA), маніпулюючи показниками сенсорів. Деталі цих атак залишаються здебільшого закритими, але сам факт ілюструє: нестабільне середовище створює додаткові можливості для появи нових векторів атаки.

Захист від цього тренду вимагає переходу від реактивного патч-менеджменту до проактивного. Це означає автоматизоване розгортання критичних оновлень без багатоденного очікування; регулярне сканування на вразливості з фокусом на ядро операційної системи, браузери та мережеве обладнання; відмову від застарілих систем на кшталт Windows 10 без підтримки; і обмеження привілеїв на рівні початкового доступу так, щоб навіть успішна експлуатація вразливості не давала миттєвого повного контролю.

«У нас нічого красти» — найдорожча помилка малого бізнесу

П'ятий тренд руйнує, мабуть, найпоширенішу ілюзію українського середнього й малого бізнесу: переконання, що масштаб компанії захищає її від уваги кіберзлочинців. Реальність протилежна.

Глобальна статистика невблаганна: у 2024 році понад третина малих і середніх підприємств постраждала від кібератак, причому 88% таких випадків завершилися витоком даних через ransomware — порівняно з 39% у великих компаніях. Малий бізнес не просто є мішенню, він страждає від наслідків непропорційно сильніше.

Найпоширеніший шлях проникнення — фішинг і крадіжка паролів: за даними Verizon DBIR, вони фігурують приблизно у 96% випадків зламу. До цього додаються невиправлені вразливості в поштових системах та CRM, а також цілеспрямована соціальна інженерія. У 2025 році ESET зафіксувала зростання кількості ransomware-атак у світі на 40% порівняно з минулим роком — переважно завдяки сімействам Akira та Qilin, які найчастіше стартують із фішингу або зламаного RDP-доступу.

Той самий кейс із піратським образом Windows, описаний на початку цієї статті, добре ілюструє ціну економії на безпеці: спроба заощадити приблизно 300 доларів на ліцензії могла обернутися втратами на десятки тисяч доларів і це лише тому, що інцидент вдалося зупинити до етапу шифрування даних.

Наслідки для малого бізнесу часто фатальні. За даними CrowdStrike, 75% малих компаній вважають, що масштабна атака стане для них критичною і це не перебільшення, а тверезий розрахунок: лише 7% малого та середнього бізнесу вважають свій бюджет на кібербезпеку достатнім. Відсутність резервних планів і фінансової «подушки» перетворює рядовий інцидент на питання виживання компанії.

Базовий рівень захисту для МСБ не вимагає величезних інвестицій, але вимагає дисципліни: блокування макросів в офісних документах, заборона автозапуску з USB-носіїв, відмова від застарілого та неліцензійного програмного забезпечення. Багатофакторна автентифікація має охоплювати не лише адміністраторів, а всі віддалені підключення без винятку. Резервне копіювання за моделлю 3-2-1: три копії даних, два типи носіїв, одна копія поза основною мережею, — лишається найдешевшою страховкою від катастрофи. І, нарешті, регулярні тренування персоналу з розпізнавання фішингу, бо жодна технологія не ловить абсолютно всі атаки.

П'ять змін у кіберзагрозах, які пливають на український бізнес зображення 4 SHERIFF CYBER: коли пізно не пізно

За всим стоїть проста економіка

За кожним із пʼяти трендів стоїть одна й та сама економічна логіка: зловмисники, як і будь-який раціональний актор, обирають шлях найменшого опору й найбільшої віддачі.

Персистентні вторгнення стали вигіднішими за разові атаки, бо довготривалий доступ дозволяє монетизувати ціль багаторазово — спочатку розвідкою і крадіжкою даних, потім, за потреби, повним шифруванням. Штучний інтелект знизив вартість входу в кіберзлочинність до рівня, доступного будь-кому з мінімальними технічними навичками. Атаки на ланцюги постачання дають максимальний масштаб ураження за мінімальних зусиль: один вдалий злом постачальника замінює сотні окремих атак. Швидка експлуатація вразливостей стала можливою завдяки автоматизації самого процесу пошуку й використання дір у захисті. А малий бізнес залишається привабливою мішенню саме тому, що часто є найслабшою ланкою в довжелезному ланцюгу постачальників і партнерів великих компаній.

Іншими словами, це не пʼять окремих, не повʼязаних між собою явищ. Це пʼять проявів однієї і тієї ж тенденції: кіберзлочинність перетворюється на ефективну, масштабовану й дедалі дешевшу в експлуатації індустрію.

Це більше не справа одного відділу

Для керівників компаній і членів наглядових рад головний висновок звучить неприємно, але чесно: кібербезпека більше не є технічним питанням, яке можна повністю делегувати ІТ-відділу й забути. Це питання операційної стійкості бізнесу такого ж рівня, як фінансовий ризик-менеджмент чи страхування майна.

Практично це означає кілька речей. По-перше, бюджет на кібербезпеку варто планувати, виходячи не з мінімально необхідного, а з реальної динаміки загроз — приріст у 37% за рік для складних інцидентів в Україні це не статистична похибка, а тренд, який вимагає пропорційного нарощування захисту. По-друге, безпека постачальників і партнерів має стати частиною стандартної комерційної перевірки контрагентів, а не другорядним пунктом у договорі. По-третє, плани реагування на інциденти варто не просто мати «на папері», а регулярно відпрацьовувати бо різниця між компанією, яка має робочий playbook і компанією, яка вигадує процедуру в момент кризи, вимірюється тижнями простою та мільйонами гривень збитків.

І, мабуть, найважливіше: керівництву варто прийняти, що повна непроникність недосяжна. Реалістична мета не унеможливити проникнення, а скоротити час між компрометацією та виявленням, мінімізувати збиток і забезпечити швидке відновлення. Саме цю логіку — assume breach, тобто «припускай, що тебе вже зламали» — індустрія кібербезпеки дедалі активніше пропонує як новий стандарт мислення.

Куди йдемо далі у 2026-2027 роках

Якщо тенденції 2025–2026 років збережуться, у найближчій перспективі варто очікувати подальшого зрощування штучного інтелекту з кіберзлочинністю — від генерації шкідливого коду в реальному часі, як це вже демонструє PromptLock, до появи спеціалізованих «темних» мовних моделей, не доступних широкому загалу і призначених виключно для атак.

Атаки на ланцюги постачання, найімовірніше, продовжать зростати в масштабі: чим глибше бізнес інтегрується в хмарні екосистеми та залежить від зовнішніх постачальників послуг, тим привабливішою мішенню стають ці постачальники для зловмисників. Аналітики ENISA вже оцінюють імовірність і потенційний вплив атак через ланцюг постачання як середньо-високі з тенденцією до зростання.

Вікно між виявленням вразливості та її експлуатацією навряд чи розшириться, швидше навпаки, продовжить скорочуватися в міру того, як автоматизовані інструменти пошуку й використання вразливостей удосконалюються по обидва боки барикад. А для малого та середнього бізнесу головним викликом залишиться розрив між реальним рівнем загрози та готовністю інвестувати в захист. Розрив, який, судячи з нинішніх 7% компаній, що вважають свій бюджет достатнім, навряд чи зникне швидко.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
3
Icon 0

Підписуйтеся на наші соцмережі