Звіт CERT-UA: з 2022 року кількість кіберінцидентів в Україні зросла майже втричі

Про еволюцію тактик противника та нові державні сервіси кіберзахисту розповів представник національної команди реагування на кіберінциденти CERT-UA Євген Бриксін під час Kyiv International Cyber Resilience Forum.

За його словами, число кіберінцидентів в Україні зросла майже втричі порівняно з 2022 роком. Це пов’язано як з покращенням рівня інформування про кібератаки, так і з безпосередньою активізацією ворожих хакерських угруповань. Сьогодні кібератаки проти української інфраструктури мають три ключові напрямки: кібершпигунство, фінансово мотивовані злочини та деструктивні операції — зокрема саботаж і знищення даних. Для ефективної протидії цим загрозам CERT-UA системно аналізує діяльність ворожих угруповань, класифікуючи їх за тактиками, техніками та процедурами.

Серед найбільш небезпечних груп фахівці відзначають:

• UAC-0010 (Gamaredon) — одне з найактивніших шпигунських угруповань. Щодня зловмисники можуть викрадати до 100 тисяч файлів із заражених пристроїв. Вони активно використовують легітимні інструменти Windows, що ускладнює виявлення. Інфраструктура управління надзвичайно динамічна: IP-адреси змінюються кожні 5–15 хвилин і можуть поширюватися через Telegram-канали, звідки автоматично підхоплюються шкідливими інструментами. У таких випадках стандартні антивірусні рішення часто безсилі.
• UAC-0001 (APT28) — відома надзвичайною швидкістю використання нових вразливостей. Зафіксовані випадки, коли шкідливі документи для експлуатації уразливостей у Microsoft Office створювалися вже наступного дня після їх офіційного розкриття. Це дозволяє атакувати системи, які ще не встигли встановити оновлення.
• Sandworm — група, що спеціалізується на руйнівних атаках проти енергетики, медіа, логістики та державного сектору. Водночас аналіз інцидентів свідчить: успішність їхніх операцій часто зумовлена базовими проблемами кібергігієни — незахищеним периметром, відкритими портами та серверами без належного контролю.

Нові методи фішингу

Фахівці також фіксують зміну підходів до фішингових атак. Замість традиційних електронних листів зловмисники дедалі частіше телефонують через месенджери (Signal, WhatsApp), видаючи себе за керівництво організацій. Є підстави вважати, що під час таких атак можуть використовуватися технології штучного інтелекту для імітації голосу.

Нові сервіси захисту від CERT-UA

Сьогодні CERT-UA не лише документує інциденти, а й надає повний цикл консультаційної та практичної підтримки. Серед основних напрямів роботи:

• автоматизований моніторинг відкритих портів і вразливих сервісів у відкритому доступі з попередженням власників до моменту їх експлуатації хакерами;
• автоматизація обміну індикаторами компрометації через MISP; для організацій без складних SIEM-рішень розроблено спеціальні конектори до популярних мережевих екранів для автоматичного оновлення правил блокування;
• поширення детальних рекомендацій із харднінгу — налаштування безпеки операційних систем, відключення зайвих легітимних утиліт та побудови правильної мережевої архітектури.

CERT-UA закликає державні установи та об’єкти критичної інфраструктури активно співпрацювати з національною системою кіберзахисту, щоб мінімізувати ризики та підвищити стійкість до сучасних кіберзагроз.

Нагадаємо, що конференції Kyiv International Cyber Resilience Forum відбулися змагання Collegiate Cyber Defense Competition (CCDC), де вперше ШІ-агенти змагалися з людьми.