Хакери місяцями «живуть» у вашій мережі непомітно: як працює кібератака і де вона зупиняється

За даними CERT-UA, у 2025 році в Україні зафіксовано 5927 кіберінцидентів, на 37% більше, ніж роком раніше. На жаль, більшість компаній дізнаються про атаки вже після того, як шкода завдана. Speka розповідає, як це відбувається насправді, за даними NordVPN, Microsoft Security і Softlist/CERT-UA.

Від розвідки до шифрування: 8 кроків однієї кібератаки

Модель cyber kill chain, розроблена Lockheed Martin у 2011 році, досі є актуальною. Вона розбиває типову атаку на послідовні етапи. Знаючи їх, захиститись можна на будь-якому з них — до того, як хакер дійде до фіналу.

1. Розвідка

Перш ніж зламати, зловмисники вивчають. Відкриті профілі LinkedIn, корпоративний сайт, публічні репозиторії коду, паролі з попередніх витоків — усе це дає карту компанії. Цей етап може тривати тижнями.

2. Підготовка зброї

На основі зібраних даних хакери обирають або доопрацьовують інструмент: модифікований троян, фішинговий лист під конкретного бухгалтера, експлойт під версію VPN компанії.

Підписуйтеся на наші соцмережі

3. Доставка до цілі

Найчастіше інструментом хакера стає фішинговий лист. Менеджер отримує PDF «від партнера», відкриває — і непомітний завантажувач уже в системі. Інші шляхи: вразливий RDP, скомпрометований підрядник, заражений USB.

4. Використання вразливості

Після першого проникнення зловмисник шукає більше: паролі адміністраторів у пам'яті процесів, незакриті уразливості сервера, доступ до баз даних.

5. Інсталяція

На заражені системи встановлюється бекдор — прихований канал зв'язку. Навіть якщо пароль зміниться, хакер повернеться через нього. Саме тут зловмисник «оселяється» в мережі — і це може тривати місяцями.

6. Lateral movement — рух мережею

Потрапивши в один комп'ютер, атакувальник переміщується далі — до серверів, систем резервного копіювання, фінансових баз. Антивірус цього не бачить: трафік виглядає як звичайна активність адміністратора.

7. Виконання мети

Тут настає кульмінація: крадіжка даних, шифрування файлів, знищення бекапів або саботаж систем. Шифрувальники свідомо б'ють по резервних копіях першими — щоб не було з чого відновитися.

8. Монетизація

Вимога викупу, продаж даних у даркнеті або просто знищення конкурента. Саме тут компанія вперше дізнається, що сталося — хоча зловмисник уже міг бути всередині тижні або місяці.

Чому більшість компаній дізнаються про кіберінцидент надто пізно

Головною проблемою є не відсутність антивірусів, а відсутність моніторингу поведінки. «Кібератака завжди на крок попереду, ніж кіберзахист», — підкреслюють практикуючі спеціалісти з кібербезпеки. Стандартні засоби захисту виявляють відомі загрози — але хакери адаптують інструменти під конкретну жертву. Новий варіант трояна антивірус просто не знає.

Ще одна системна вразливість — бекапи. Ransomware-атака у США вимкнула систему екстрених сповіщень, і відновлення відбувалось з копій восьмимісячної давності — тому що шифрувальник знищив свіжіші. Це класичний сценарій: компанія думає, що захищена, але захищена погано.

Ключ до ранньої зупинки атаки — скорочення «часу перебування» зловмисника в мережі. Для цього потрібен не просто антивірус, а поведінкова аналітика: якщо адміністратор о третій ночі починає копіювати базу клієнтів — система мусить це помітити.

Три ознаки, що атака вже йде

Незвична активність мережі або процесора в неробочий час. Нові облікові записи адміністраторів, яких ніхто не створював. Резервні копії, що раптово збільшились в обсязі або не запускаються — це сигнал шифрування, що вже почалося.