Огляд кіберзагроз та стратегій захисту в 2025 році: досвід CERT-UA

Ландшафт кіберзагроз у 2025 році

Від початку 2025 року CERT-UA фіксує в середньому близько 15 кіберінцидентів на день та відслідковує понад 150 кластерів кіберзагроз (UAC).

Основним джерелом кібератак залишається російська федерація. Окрім цього, спостерігається активність з Білорусі, Китаю, КНДР та, на жаль, з боку груп, що діють з тимчасово окупованих територій України.

Основні типи хакерської кіберактивності містять:

Шпигунство. Переважно російське, спрямоване на будь-які сфери, особливо військову, має найбільший вплив на ситуацію на фронті.

Саботаж. Кібертероризм, що впливає на кожного в Україні.

Фінансово вмотивовані злочини. Спрямовані на викрадення коштів.

Інші. Специфічні атаки, наприклад, на нотаріусів.

Деструктивні атаки

Деструктивні кібератаки продовжуються, хоча хакери й почали рідше хизуватися своїми «перемогами» в телеграм-каналах. Проте 26 травня 2025 року російський хакерський телеграм-канал «Солнцепьок» знову опублікував інформацію про нові деструктивні кібератаки, цього разу проти восьми українських інтернет-провайдерів. Нападники маскують свої справжні цілі під виглядом «боротьби з шахрайською діяльністю» з України, але CERT-UA вважає, що такі дії ворожих хакерів можуть бути розцінені як терористична атака. Серед постраждалих провайдерів – Interlink, ActiveNet, SvitNet, smn.com_ua, ГО «Горіх», Aries.od_ua, Corbina та D-lan.

Кібершпигунство

Шпигунство проти Сил оборони України є одним із пріоритетних напрямів для ворожих спецслужб в Україні.

UAC-0010 (Gamaredon/Primitive Bear/Aqua Blizzard)

Це одна з найбільших загроз, що одночасно інфікує тисячі комп'ютерів в Україні. Ланцюжок компрометації залишається відносно незмінним: фішингові електронні листи зі шкідливим вкладенням. Зловмисники активно використовують вбудовані інструменти Windows (mshta, PowerShell) та легітимні сервіси (Cloudflare Tunnels, Telegram, Telegra.ph тощо) для приховування своєї інфраструктури. Шкідливий код поширюється через USB-накопичувачі та документи Word, змушуючи користувачів несвідомо розповсюджувати його.

UAC-0184

Ця група спеціалізується на атаках виключно на військовослужбовців, використовуючи Remcos RAT для отримання доступу до компʼютера. Вони є професіоналами у соціальній інженерії, полюючи на своїх жертв та спілкуючись із ними тижнями перед надсиланням шкідливого ПЗ.

UAC-0200

Діяльність цієї групи схожа на UAC-0184, адже так само полягає в розповсюдженні програм для віддаленого керування (Remote Access Tool) через месенджер Signal і також націлена на представників Сил оборони України або ж підприємств ОПК. Проте вона менш персоналізована, тому охоплює більшу кількість потенційних жертв.

UAC-0218 / UAC-0219

Основна тактика цих груп – швидке викрадення даних. Вони розповсюджують стілери для ексфільтрації документів і не намагаються закріпитися в системі.

Фінансово вмотивовані атаки

UAC-0050 та UAC-0006. Ці угруповання є найактивнішими фінансово вмотивованими кластерами в Україні. Вони використовують цільовий фішинг для отримання віддаленого доступу до комп'ютерів бухгалтерів з метою створення нових або модифікації існуючих платіжних доручень для виведення коштів на свої рахунки.

Висновки. Кіберскладова є невід'ємною частиною сучасної війни. Тактики, техніки та процедури хакерів постійно змінюються, вимагаючи безперервного моніторингу, дослідження їхньої активності та обміну інформацією на міжнародному рівні. Кіберзахист – це колективний процес, неможливий без тісної співпраці. CERT-UA та Держспецзв’язку продовжують докладати максимум зусиль для захисту українського кіберпростору.

За інформацією Державної служби спеціального зв’язку та захисту інформації Україн