­­­­

06.10.2025

Статистичні дані про конфіденційність 

Ви знаєте, що порушення безпеки даних стали такими ж звичними, як ранкова кава? Останні статистичні дані свідчать, що ця тенденція не слабшає.Ось найцікавіше: лише минулого місяця було виявлено критичну вразливість Microsoft Teams (CVE-2025-53783). Простими словами, зловмисники могли б скористатися цією вразливістю, щоб запустити шкідливий код і потенційно отримати доступ до конфіденційних файлів, чатів або навіть цілих мереж. 

Чому це має вас турбувати? 

Тому що в таких ситуаціях стикаються питання конфіденційності даних, реальної безпеки та високого попиту на фахівців з кібербезпеки. А вміння пояснити, чому трапляються такі порушення, і як їх мінімізувати, допоможе вам виділитися в розмовах з професіоналами галузі або на співбесідах.Уявіть, що ви кажете: 

«Ось ризик, який ця вразливість становить для вашої організації, і що я б зробив, щоб його зменшити». 

«Ось як ці MFA та засоби контролю доступу можуть обмежити нашу вразливість та вплив». 

«Ось як це перетворюється на більш надійну систему безпеки підприємства». 

Це мова людини, яка не просто хоче зайнятися кібербезпекою, а вже мислить як професіонал. 

Можливо, це буде вашою першою темою для розмови на наступному заході з кібербезпеки або співбесіді. 

Статистичні дані про конфіденційність, які вам потрібно знати 

Уявіть, що ви п'єте ранкову каву, коли на вашому телефоні раптово з'являється сповіщення. 

«О, ще один витік даних», – думаєте ви! Але цього разу це був не просто черговий витік.Це був ваш улюблений додаток для покупок — той, якому ви довірили СВОЮ кредитну картку, домашню адресу та багаторічну історію покупок. 

Читаючи загальний лист із вибаченнями, ви не могли не замислитися: «Чому моє ім’я у списку викрадених даних клієнтів?» 

Але чому хтось у світі хоче отримати доступ до ВАШИХ даних? 

У сучасному світі дані – це наступна нафта! 

Можливо, ви нещодавно бачили заголовки на кшталт «Витік 16 мільярдів паролів Apple, Facebook, Google та інших – дійте негайно». 

Це не нове порушення безпеки, а радше збірка порушень із майже 30 баз даних із колекціями паролів користувачів, викрадених з часом. 

Тим не менш, ці заголовки слугують важливим нагадуванням про те, чому ваші дані – це наступна велика ціль, за якою полюють зловмисники!Давайте заглибимося в цифри, які показують, наскільки вразливим стало наше цифрове життя. 

Глобальний огляд: Конфіденційність даних у цифрову епоху 

До середини 2025 року приблизно 79% населення світу захищено комплексними законами про конфіденційність даних . 

Ці закони наголошують на згоді користувачів, прозорості обробки даних та підзвітності обробників і контролерів даних. 

Широке впровадження регуляторних баз сигналізує про зміну глобальних пріоритетів — визнання цифрових прав основоположними для інновацій, економічного зростання та національної безпеки. 

29.09.2025

Як завжди на моєму сайті нова стаття «Вартість сертифікації ISO 27001 пояснюється просто». Це продовження знайомства з ISO 27001 зверху вниз, та це те, що потрібно розуміти Вашому керівництву, коли отримання сертифікату ISO 27001 стане вимогою. 

Посилання на статтю:

 https://abcgroup.com.ua/vartist_siertifikatsiyi_iso_27001_poiasniuietsia_prosto 

26.09.2025 - провів ще раз вебінар на тему «Внутрішній аудит. Що перевірятиме зовнішній аудитор. Які помилки робить внутрішній аудитор"» 

Пару моментів, які були на вебінарі:

Перший, що робити якщо керівник ІБ не хоче писати документи? 

Відповідь тут проста – Ви виносите на засідання Комітету з ІБ, і представники бізнесу приймають рішення, зобов'язаний зробити або приймаємо цей ризик, найцікавіше хто буде власником цього ризику 😊 

Інша ситуація, велика організація, може собі дозволити найняти методистів (пишуть документи), внутрішній аудитор перевіряє працює процес чи ні, природно ні😊, конфлікт розростається, тепер в ньому три підрозділи. 

Перше, що я б порадив – це навчить, як правильно писати працюючі документи, а головне, звичайно ж, - це у кожного документа повинен бути власник і він же Виконавець, без цього Ви витратите багато часу і результат буде негативним, навіть не нульовий. 

У даній ситуації, сподіваюся аудитор підніме це питання на комітеті ІБ, а далі в ризики. Все просто 😊

 Які 10 найкращих інструментів штучного інтелекту для етичного хакінгу? 

Примітка. Сьогодні де кілька цікавих статей та порад як краще навчати захищатися. 

Скоріш за все, ці статті можливо використовувати як процес обізнаності. 

Одна з найпоширеніших рекомендацій щодо управління ризиками для людей полягає в тому, щоб користувачі наводили курсор на URL-посилання неочікуваних повідомлень, щоб перевірити, чи є відповідний DNS-домен легітимним для компанії-відправника.Будьте обережні, ця порада не завжди працює.Наприклад, один з моїх колег нещодавно отримав таке шахрайське повідомлення. (Фото вище)

Це шахрайське повідомлення від PayPal, у якому потенційні жертви просять оплатити неочікуваний рахунок. Вони сподіваються, що потенційні жертви вважатимуть повідомлення справжнім і зателефонують, щоб оскаржити платіж. Після цього вони або змусять потенційну жертву сплатити певну комісію, або надати їм інформацію про свою кредитну картку (для нібито повернення коштів), після чого з неї шахрайським чином стягується плата. PayPal вносить цю аферу до свого списку багатьох шахрайств PayPal .

На зображенні вище ви можете бачити, що електронний лист надіслано з адреси service@paypal.com. Він зі справжнього сервісу PayPal (тобто paypal.com). Якби він був не з paypal.com, однак в заголовку листа було зазначено, що він з paypal.com, ймовірно, був би автоматично відхилений перевірками DMARC або автоматично потрапив би до папок небажаної пошти або спаму мого колеги, а не до його папки "Вхідні". Електронний лист насправді надсилається поштовими серверами/службами, уповноваженими від імені PayPal та paypal.com надсилати електронні листи. 

Примітка: Коли такі шахрайські повідомлення часто надходять у вигляді SMS-повідомлень, DMARC не застосовується.  

15.09.2025

Як завжди на моєму сайті нова стаття «ISO 27001. 10 найпоширеніших помилок». 

Це продовження знайомства з ISO 27001 зверху вниз, та це те, що потрібно розуміти Вашому керівництву, коли отримання сертифікату ISO 27001 стане вимогою. 

Посилання на статтю;

  https://abcgroup.com.ua/siertifikatsiia_iso_27001_10_naiposhirienishikh_pomilok 

Примітка.. У цій статті розповідається про деякі моменти, та стосується Ваших взаємодій та непорозумінь з бізнес-підрозділами, у тому числі й ІТ. Скажімо так, з мого досвіду я дуже часто зустрічав подібні ситуації. Як з цього вийти, Ви можете спробувати самостійно, але іноді конфлікт заходить так далеко, що це практично неможливо і тут є два виходи: взяти консультанта, щоб він провів зустріч з керівництвом і розповів, в чому справжня проблема, або прийняти рішення, ми не можемо впровадити СУІБ. В іншому випадку, проблеми будуть тільки збільшуватися, найчастіше наслідки, які я бачу, Ви або самі звільнитеся, або Вас звільнять за некомпетентність.

P.S. У п'ятницю проводив вебінар «Внутрішній аудит», де одним з моментів я розповідав про помилки, як їх краще вирішувати і чому відбувається непорозуміння між внутрішнім аудитором і керівниками інформаційної безпеки, що призводить, на мій погляд, до реальних проблем для побудови правильного захисту. Основна помилка, як Ви розумієте, – це те, що керівництво довіряє Вам менше, ніж аудитору, і це нормально, так як непорозуміння питань ІБ, викликає більш сумнівів, або що аудитор має «більше влади» і користується цим. Цікаво, що аудитори теж так міркують про керівників ІБ, а саме що керівники ІБ їх ігнорують. Тому було б непогано відвідувати такі вебінари, як цій, та намагатися вислухати обидві сторони. До речі ми всі помиляємося та ми не можемо знати все!

Від невдалого узгодження стратегії безпеки з бізнес-пріоритетами до виявлення порушення, керівники інформаційних систем та майбутні лідери у сфері безпеки можуть перешкодити своїм професійним амбіціям через низку помилок, яких можна уникнути. 

Є деякі погані моделі поведінки, які можуть призвести до неприємностей для керівників. 

Незаконні та неетичні дії є найбільш очевидними, і вони зазвичай роблять керівника непрацездатним. Більшість фахівців знають, що такої поведінки потрібно уникати, якщо вони хочуть продовжити свою кар'єру. 

Але є багато інших помилок, які можуть зупинити кар'єрний ріст, деякі з яких менш очевидні і тому їх важче уникнути, на думку керівників, кар'єрних коучів та консультантів для керівників. Крім того, існують проблеми або дії, характерні для керівництва у сфері безпеки, які можуть обмежити кар'єру.Нижче наведено 10 недоліків у роботі, які можуть зашкодити кар'єрі керівника служби безпеки. 

1. Нездатність узгодити безпеку з бізнес-пріоритетами 

Це одна з головних вимог до керівників служби безпеки зараз, і якщо її не виконати, вони опинляться на узбіччі.Безпека перетворилася з кінцевої мети на функцію, що сприяє розвитку бізнесу. Це означає, що стратегії безпеки, комунікації, планування та виконання мають бути узгоджені з бізнес-результатами. Якщо зусилля з безпеки не приносять значної рентабельності інвестицій, директори з інформаційної безпеки, ймовірно, роблять щось неправильно. Безпека не повинна функціонувати як центр витрат, і якщо ми діємо або звітуємо як такий, ми не виконуємо своїх обов’язків.Керівникам відділів інформаційної безпеки, які ще не узгоджують безпеку з бізнес-стратегією, потрібно «суттєво змінити свій менталітет». 

Почніть з прийняття того, що роль змінилася. Ми більше не є вартовими. Ми є тими, хто сприяє прогресу. 

2. Бути просто технарем, а не бізнес-менеджером 

Щоб узгодити безпеку зі стратегією підприємства, фахівці з безпеки також повинні бути бізнес-лідерами. 

Це залишається проблемою для багатьох керівників інформаційних систем, які все ще схильні просуватися по службі в організації безпеки, а не за напрямками бізнесу — кар’єрний ріст, який залишає багатьох без навичок пов’язувати ризики з доходами або вимірювати ефективність безпеки за допомогою бізнес-метрик . 

Тож їхня роль стає маргіналізованою, і їх сприймають як накладні витрати. 

CISO радять розвивати свої бізнес-навички, залучаючи професійних наставників поза межами кібербезпеки та отримуючи професійний досвід також поза межами безпеки. 

3. Зупиняючись на порозі «так» 

Керівники CISO загалом знають, що функція безпеки не може бути «відділом, якого ніхто не хоче». 

Але деякі також не доходять до повного «так», а це означає, що вони все ще завдають невдачі своїм організаціям таким чином, що це може зашкодити їхній кар’єрі. 

Для досягнення позитивної відповіді керівники CISO повинні розуміти толерантність організації до ризику, щоб вони могли належним чином збалансувати засоби контролю безпеки з потребою бізнесу в швидкості та простоті транзакцій. 

Керівники інформаційних систем, які хочуть просуватися по кар’єрних сходах, — це ті, хто може сказати: «Так, і дозвольте мені допомогти вам зробити це безпечно та надійно, а також з більшою стійкістю. 

4. Малювання червоних ліній 

Один із керівником відділу інформаційної безпеки, якось, дізнавшись від своїх колег по бізнесу про високоризикову ідею, сказав їм: «Це для мене червона лінія». 

Однак ми радимо так казати, оскільки це показує, що CISO насправді не зосереджений на потребах бізнесу. 

Керівники відділу інформаційної безпеки не можуть провести червону лінію та сказати: «Абсолютно ні», бо якщо це важливо для бізнесу, вони повинні знайти спосіб доставити це безпечно та надійно. В іншому випадку бізнес працюватиме в обхід вас.  

5. Занадто жорстке дотримання правил 

Так само, керівники інформаційних служб, які надто суворо дотримуються правил, завдають шкоди своїм організаціям та їхнім професійним перспективам. 

Нещодавно в одній організації виникла така ситуація, коли один із членів її команди спочатку відмовився дозволити працівникам використовувати сторонній застосунок, посилаючись на політику безпеки, яка забороняє такі застосунки.СISO разом зі своїм співробітником глибше занурилася в ситуацію, дізнавшись, що застосунок працюватиме лише на двох машинах протягом двох місяців і має вирішальне значення для бізнес-ініціативи. 

Вони вирішили зробити виняток із правила безпеки та впровадили засоби контролю, такі як створення сервісного запиту, щоб гарантувати видалення програми на очікувану дату завершення проекту, щоб піти на прорахований ризик від імені бізнесу. 

Це демонструє готовність служби безпеки бути рушійною силою бізнесу та гарантує, що CISO та команда безпеки розглядаються як партнери, а не як перешкоди, які потрібно обійти. 

6. Неправильне розуміння ШІ 

Оскільки штучний інтелект стає повсюдним, CISO необхідно краще розуміти цю технологію, щоб належним чином захистити її. В іншому випадку їх вважатимуть пережитками епохи до появи штучного інтелекту. 

Однак багато фахівців з безпеки досі ставляться до ШІ «як до типового технологічного інструменту, а не як до територій, де можна працювати».Штучний інтелект – це модифікатор місцевості. Він змінює ландшафт суперництва, цикли прийняття рішень і навіть природу «правди» всередині організацій. Фахівці, які продовжують ставитися до ШІ як до функції, неправильно тлумачитимуть своє середовище та пропонуватимуть рішення для класів загроз, яких більше не існує. Їхня логіка зникає в режимі реального часу.Кар’єри, які зазнають невдачі завтра, будуть знищені не лінню чи некомпетентністю, а оперуванням застарілими онтологіями. 

7. Недостатнє розуміння активів та взаємозалежностей 

Директори з інформаційної безпеки, які не мають чіткого уявлення про все, що вони повинні забезпечити, не досягнуть успіху на своїх посадах. Якщо у них немає прозорості, якщо вони не можуть говорити про ефективність контролю, то вони не матимуть довіри, а довіра до них серед керівництва зникне. 

Cьогодні видимість ширша, ніж будь-коли раніше, і ті керівники CISO, які не моделюють невидимі взаємозалежності, що існують майже в усіх організаціях сьогодні, приречені на провал. 

Якщо ви не бачите, як ваша логіка управління – технічна чи управлінська – взаємодіє з невидимими системами, регуляторними, культурними, економічними, ви не можете нею керувати. Ваша кар’єра стає крихкою не через брак навичок, а через брак синтетичного сприйняття. 

8. Залишатися собою 

Фахівці в кожній дисципліні частково досягають успіху, допомагаючи іншим виконувати їхню роботу, стаючи надійними партнерами для своїх колег та будуючи стосунки в усіх своїх організаціях. Деяким людям легко налагоджувати зв’язки, тоді як деякі посади вимагають такої співпраці, яка допомагає зміцнювати ці робочі зв’язки. 

Однак, хоча функція безпеки в багатьох організаціях не часто підпадає під жодну з цих категорій, побудова відносин не менш важлива як для успішних програм безпеки, так і для індивідуального кар'єрного зростання. 

Як наслідок, працівники служби безпеки повинні створювати більше власних можливостей. Ми пропонуємо повідомити колегам, що ви зацікавлені у спілкуванні: звертайтеся та ставте запитання; визнавайте успіхи інших; організовуйте зустрічі, щоб повчитися в інших. 

 «Ви обов’язково повинні робити це, якщо хочете мати вплив поза межами свого відділу». 

9. Бути скупим на свій час та увагу 

Безсумнівно, директори з інформаційної безпеки відчувають обмаль часу , але їм потрібно бути обережними, щоб не бути настільки зайнятими, щоб не приділити увагу тим, хто звертається до них із занепокоєннями. 

Ви не хочете відштовхувати когось різкою відповіддю, бо коли ви це робите, то втрачаєте цю людину назавжди; ви змушуєте її думати: «Я не хочу працювати з директором з інформаційної безпеки. 

У таких випадках люди працюватимуть в обхід функції безпеки та триматимуть занепокоєння та інформацію про прогалини в безпеці при собі. 

«Я знаю, що перший раз, коли я когось відмовляю, це останній раз, коли вони мені щось приносять; тому, якщо люди мені щось приносять, я приймаю це з вдячністю», - це гарна ідея спілкування!!! 

Звертаючи увагу навіть на незначні скарги чи занепокоєння, можна виявити значні проблеми безпеки, які, якщо їх не вирішувати, можуть погано позначитися на команді безпеки та її керівництві. Ось чому, якщо хтось звертається до вас із чимось, вам має бути цікаво, що вони вам пропонують. Це може розкрити деякі справді цікаві речі. 

10. Неправильне поводження з порушенням 

Директори з інформаційної безпеки не єдині, хто усвідомлює, що інцидент безпеки – це не питання «чи станеться», а «коли»; їхні колеги-керівники також тепер це знають. 

Отже, інцидент більше не є руйнівником кар'єри. 

Раніше вважалося, що порушення безпеки було чорною плямою для CISO, але сьогодні, це майже навпаки. Ми б воліли не наймати CISO, у якого ніколи не було порушення безпеки, бо ми б воліли, щоб він пережив порушення деінде, навчився на цьому, а потім прийшов у мою організацію з цим досвідом і кращим розумінням того, що потрібно для стійкості. 

Однак інцидент безпеки все одно може зруйнувати кар'єру CISO, якщо цей CISO не зможе відреагувати. 

Неправильне поводження з цим вб'є кар'єру. 

Керівники відділу інформаційної безпеки повинні мати добре відпрацьований план реагування на інциденти , щоб вони могли рішуче діяти, зупинити збитки та швидко перейти до відновлення. Їм потрібно спілкуватися спокійно та чітко. Їм потрібно контролювати ситуацію. 

Можливо, ваш термін роботи з цим роботодавцем все ще закінчується. Ми все ще бачимо, що CISO, у яких стався серйозний витік інформації, мають ще близько 18 місяців роботи у цій організації. Але це не обов’язково має зруйнувати вашу кар’єру.  

Як завжди, 

боріться у доброму бою! 

Станіслав Бичков 

Містер ISO 27001 

11.09.2025

Кіберризики керівництва у 2025 році 

Примітка. Чому мене зацікавила дана тема? Це дуже просто, одна компанія попросила зробити OSINT, мені подобається починати з можливості фішингової атаки, тому перший крок, це пошук електронної робочої адреси, результат – я знайшов тільки одну адресу і це, керівник вищої лавки!. Далі не буду розповідати, но результат очікуваний, як по мене. 

Отже, давно я не надсилав Вам статтю про фішинг, тому сьогодні одне з останніх досліджень, котра стосується керівництва. У поєднанні з новою статтею на моєму сайті «5 переваг впровадження ISO27001», я сподіваюся, Вам буде про що поговорити з Вашим керівництвом. 

До речі Ви зможете знайти статтю на моєму сайті в розділі ІSО 27001, «5 переваг впровадження ISO27001» або натисніть на посилання: 

 https://abcgroup.com.ua/5_pierievagh_vprovadzhiennia_iso27001 

І ще, додайте цій ризик до свого реєстру ризиків. Чому? Тому що на 99% Ваше керівництво не проходить навчання з питань інформаційної безпеки або тому що я повідомив, а Ви, після цього повинні оцінити і ця оцінка повинна бути десь відображена, як доказ 😊 

Удачі Вам, «продавці страху»! 😊 

Нагадую, в цю пятницю 15.09.2025р о14.00 я буду проводити вебінар на тему: 

Внутрішній аудит системи управління інформаційної безпеки згідно ISO 27001:2022. Як та що Ви повинні перевіряти та що зовнішній аудитор буде перевіряти у внутрішнього аудитора. 

 Як завжди буде цікаво, та Ви отримаєте інформацію, котру Вам ніхто (майже ніхто 😊) не розповість. 

Шановні колеги! 

 Зважаючи на те, що існує відсутність інформації:

 як пройти зовнішній аудит СУІБ,  підготуватися до сертифікації і відповідати вимогам нового пункту 9.2. ISO 27001:2022

ТОВ «ЕЙ-БІ-СІ ГРУП» оголошує проведення вебінару на тему: 

 «Внутрішній аудит системи управління інформаційної безпеки згідно ISO 27001:2022. Як побудувати співпрацю керівника підрозділу ІБ та внутрішнього аудитора. Як Ви повинні перевіряти та що зовнішній аудитор буде перевіряти у внутрішнього аудитора.» 

 Доповідач: Бичков Станіслав, Директор компанії «ЕЙ-БІ-СІ ГРУП» 

31.08.2025

Від передбачення нових загроз до балансування між управлінням ризиками та сприянням розвитку бізнесу, керівники CISO стикаються з низкою складних викликів, які вимагають постійного осмислення та стратегічного впровадження. 

Зі зростанням статусу та відповідальності керівників інформаційної безпеки (CISO), вимоги до керівної посади у сфері безпеки стають дедалі вищими. Окрім необхідності постійно оцінювати свої системи безпеки, щоб визначити, які корективи внести для належного захисту своїх організацій, сучасні CISO повинні узгоджувати свої зусилля з бізнесом таким чином, щоб забезпечити досягнення ключових бізнес-цілей, а також вивести на перший план питання та компроміси щодо управління ризиками. 

Тут лідери думок пропонують 10 найактуальніших питань, на які керівники служб безпеки повинні відповісти в рамках своєї поточної стратегії безпеки та планів кар'єрного зростання. 

25.08.2025

Продовження історії з Microsoft 

Розширений освітній конкурс – попросіть своїх співробітників надіслати свої найкращі приклади фішингу, а потім зробить навчання по результатам конкурсу. 

Не забутьте додати свої приклади та нагородити трьох найкращих 😊 

 Як завжди, я додав нову статтю на свій сайт: «Різниці між ISO 27001 і SOC2» 

 Робота в ІБ – вимоги – реальні вимоги. 

 Примітка. Мене попросили взяти участь в інтерв'ю при прийнятті на роботу. Я думаю, тому що я запропонував безкоштовно, так як люди не можуть знайти кандидата вже три місяці. Начебто і рівень ЗП нормальний. 

Читаю їхні вимоги – 90% знання ISO 27001 в самому кінці, типу, «базові знання Домену і мережевих налаштувань». 

Інтерв'ю. 

Перше питання і всі інші стосуються ІТ. 

Думаю, може просто їм цікаво? 

Через півгодини, я питаю, навіщо Вам я? 

Вони зупинилися і кажуть, а ще Ви будете займатися фізичною безпекою, а ще ВСР, і наостанок «та іншими дрібницями». 

 Закінчується інтерв'ю, я, природно, нічого не встиг запитати, кажу їм 

– Вам необхідно змінити вимоги до кандидатів 

– перше знання та вимоги по ІТ питання і вміння практичного застосування. 

Все інше буде плюсом. 

І тоді Ви зможете знайти собі те, що Вам реально потрібно, а не супутні питання по ISO 27001. 

 Загальне. Я вже не один раз писав, що не варто шукати на середню і нижню ланку людей, зі знаннями для позиції CISO. Робіть спеціалізацію або прийміть факт, що чомусь доведеться доучувати або технічні питання (що, як на мене, набагато простіше, оскільки фахівців на цей рівень достатньо) або знання ISO 27001 (що набагато складніше, з огляду на брак правильних знань на ринку України). 

До речі я знаю декілька державних компаній, котрі вже пішли по цьому шляху і це на мій погляд дуже розумно. 

 Продовження історії з Microsoft. 

Примітка. Лише тиждень тому я писав, що з'явився прецедент відмови від технічної підтримки Microsoft в Індії, а значить виник ризик, і ось Вам реакція від Німеччини.«Мінцифри Німеччини тестує повну відмову від продуктів Microsoft заради цифрового суверенітету, — Bild«Ми будемо, де тільки можливо, робити ставку на європейські рішення і на Open Source, тобто пропозиції з відкритим вихідним кодом. Підвищення нашої цифрової незалежності — це процес, він не може відбутися одним натисканням кнопки». 

У міністерстві підтвердили, що почнуть тестувати Open Desk як альтернативу Microsoft Office. Це може означати поступову відмову від таких звичних інструментів, як Outlook, Word, Excel і PowerPoint. «Як відзначають аналітики, у ідеї є і політичний підтекст: використання американських програм несе ризики, особливо на тлі «зигзагоподібного курсу» адміністрації Дональда Трампа».

 37+ статистичних даних про шкідливе програмне забезпечення, які варто знати у 2025 році 

Примітка. Ця стаття більше схожа на методичний матеріал, тому рекомендую додати її до Вашого Плану навчання. Прокоментую один цікавий момент: один з видів програм-вимагачів здатний зашифрувати всю корпоративну мережу менш ніж за 15 хвилин. Тому замислюйтесь, чи варто навчати співробітників правилу: «Нічого не роби дзвони в ІБ». 

 І ще дуже цікаво: 

Помітна тенденція: 78% зростання кількості атак шкідливого програмного забезпечення без файлів з 2024 по 2025 рікДжон прибув до своєї маркетингової фірми, здавалося б, звичайного понеділкового ранку. Влаштувавшись за своїм столом, він натиснув на електронний лист, який, здавалося, був від давнього клієнта. Вкладення з позначкою «Оновлення Контракту.Версія2.docx» здавалося буденним.Через три кліки його екран на мить завис, перш ніж повернутися до нормального режиму. Він не звертав на це уваги і продовжував це робити протягом дня. Через 48 годин кожен комп’ютер у компанії зі 150 співробітників відображав одне й те саме повідомлення:«Ваші файли зашифровані. Для відновлення доступу потрібна оплата протягом 72 годин».Програма-вимагач непомітно поширювалася мережею, шифруючи дані клієнтів, фінансові записи та 4 роки творчої роботи. 

Викуп: 213 000 доларів у криптовалюті.Цей сценарій повторився понад 2000 разів у малому та середньому бізнесі лише у першому кварталі 2025 року. Винуватець? Варіант сімейства програм-вимагачів DarkSide, що постачається через, здавалося б, нешкідливий документ. 

 Ось таке обличчя шкідливого програмного забезпечення у 2025 році — складне, руйнівне та поширеніше, ніж будь-коли раніше. Ми заглиблюємося, щоб розглянути статистику щодо шкідливого програмного забезпечення, яка має змусити вас двічі подумати, перш ніж натискати на посилання у вашій поштовій скриньці. 

 Розуміння шкідливого програмного забезпечення: цифрова зброя 

Шкідливе програмне забезпечення — це програма або код, призначений для пошкодження, порушення роботи комп’ютерних систем або отримання несанкціонованого доступу до них. На відміну від легального програмного забезпечення, яке має на меті принести користь користувачам, шкідливе програмне забезпечення служить незаконним цілям крадіжки інформації, вимагання грошей, порушення роботи або встановлення прихованого контролю над системами. 

У 2025 році організовані злочинні утворення та державні структури використовують складні форми шкідливого програмного забезпечення для завдання довготривалої шкоди з метою незаконного отримання фінансової вигоди.Ще більше занепокоєння викликає тихе проникнення, що робить виявлення практично неможливим за короткий проміжок часу. 

 Давайте поговоримо про шкідливе програмне забезпечення в цифрах та про те, як розвивався ландшафт загроз у 2025 році та пізніше. 

 Обсяг та зростанняЗагальна кількість виявлених шкідливих програм: у 2025 році існувало 1,2 мільярда унікальних шкідливих програм та потенційно небажаних програм (PUA), що на 20% більше, ніж у 2024 році. 

Нові варіанти шкідливого програмного забезпечення: Щодня виявляється понад 560 000 нових варіантів шкідливого програмного забезпечення .Ринок шкідливого програмного забезпечення з даркнету: в середньому 1000 установок шкідливого програмного забезпечення з даркнету, відомого як Maas (Malware as a Service, шкідливе програмне забезпечення як послуга), коштують 4500 доларів. 

Шкідливе програмне забезпечення, покращене штучним інтелектом: 37% нових зразків шкідливого програмного забезпечення мають ознаки використання методів оптимізації за допомогою штучного інтелекту/машинного навчання, що ще більше ускладнює виявлення та усунення наслідків для компаній. 

Співвідношення чистих та шкідливих файлів: на кожні 9 просканованих легітимних файлів фірми безпеки тепер виявляють 1 шкідливий файл.Вразлива ОС: ОС Android на 50% вразливіша до атак шкідливого програмного забезпечення порівняно з іншими операційними системами.Обсяг шкідливого програмного забезпечення продовжує експоненціальне зростання, причому 2025 рік став рекордним роком за всю історію спостережень. Зростання доступності платформ «шкідливе програмне забезпечення як послуга» дозволило кіберзлочинцям-початківцям здійснювати дуже успішні атаки. 

20.08.2025

Примітка. У даній статті описується трохи детальніше про атаку типу «фішинг». 

Є кілька цікавих моментів, які, можливо, будуть Вам корисні. 

 Фішинг через спеціальну розсилку (spear phishing) – це електронний лист, спрямований на певну особу або відділ в організації, який виглядає як надходження з надійного джерела. Насправді це спроба кіберзлочинців викрасти конфіденційну інформацію. 

 Як працює фішинг через розсилку? 

Вам може бути цікаво, що потрібно для здійснення атаки такого типу. Це не тривіальна справа, і її може зробити лише людина, навчена передовим методам хакерства. Спочатку ми розглянемо кроки, необхідні для здійснення атаки, а потім кроки для зменшення цієї загрози. 

Ми спробуємо максимально спростити технічні аспекти, але є кілька термінів, які вам, можливо, доведеться пошукати. 

11.08.2025

Примітка. 

Цікава статистика про програми вимагателі. Де кілька моментів, які мене зацікавили: 

Кількість банд вимагателів, стали скорочуватися, другий момент, різко зменшився відсоток можливості розшифрування, навіть якщо ви заплатите. При цьому очікувана тенденція, а саме зміна основної мети, - вкрасти дані і потім вимагати за нерозголошення, а не за класикою розшифрування даних. І як на мене, основний стимул це закони від держав (наприклад, GDPR) з величезними офіційним штрафами. Схема тут така хакер краде Ваші дані, а далі у Вас два варіанта, сплатити офіційний штраф у розмірі 5% від обороту за рік, (ми розуміємо, що довести до контролюючих органів факт викрадення, це майже нічого не коштує) або наприклад 1% або якусь фіксовану суму (в статі Ви цю суму побачити) 

«Епоха одного чи двох безперечних «лідерів» на ринку програм-вимагачів здається віддаленою» - і це погано, тому що раніше Ви могли дізнатися про методи та тактику всього 5 груп, на основі цього налаштувати захист і це знижувало Ваші ризики на 80%, то зараз це буде набагато трудніше.«Сума виплат визначається не розміром компанії чи сектором, а впливом інциденту на компанію» - я раніше я казав якщо Вас зламають, чикайте вимогу сплатити 5%,, зараз вже це не так. 

Поширені галузи для атак. На другому місці: Професійні послуги, включаючи юридичні, бухгалтерські та консалтингові фірми, - я часто кажу, що люба фінансова аудиторська в Україні майже на захищена і це тільки питання часу, коли за допомогою їх будуть вимагати гроші, через їх злам. Що треба зробити читайте ISO 27002:2022 , контролі: 5.19 – 5.23 

Тенденція в залежності від розміру компанії: що невеликі підприємства, яким може бракувати надійного захисту більших корпорацій, залишаються головними цілями для операцій програм-вимагачів. Раніше я казав, Ви маленькі Ви не цікави, однак зараз все навпаки і це на мій погляд закономірно, - великі компанії мають великі ресурси для захисту, їх стало дуже важко зламувати. 

 Отже. 

 Де які дослідники спостерігають за програмами-вимагачами з моменту їх появи в грудні 1989 року, коли був випущений перший троян AIDS Cop. Він блокував комп'ютери жертв і просив надіслати 300 доларів на поштову скриньку в Панамі. З того часу багато що змінилося. 

 Винахід криптовалют, зокрема біткойна, у січні 2009 року значною мірою спричинив вибухове зростання кількості програм-вимагачів до 2013 року. Саме тоді у світі з'явилося програмне забезпечення-вимагач CryptoLocker. З того часу банди програм-вимагачів заробляють багато мільярдів доларів на рік. 

Фаза «подвійного вимагання» програм-вимагачів, коли банди-вимагачі спочатку викрадали дані та облікові дані для входу, розпочалася в листопаді 2019 року. Зараз понад 90% програм-вимагачів викрадають дані. Сорок відсотків (40%) банд-вимагачів викрадають дані (без загрози шифрування) лише для отримання грошей. 

 У 2022 році спостерігався невеликий «рік спаду» платежів за програмами-вимагачами, і всі задавалися питанням, чи нарешті світ почав контролювати програми-вимагачі. Але це була аномалія одного року, і платежі за програмами-вимагачами були вищими, ніж будь-коли, у 2023 році. Але потім, згідно з Chainalysis, вони знову значно впали у 2024 році . 

Чи починаємо ми зменшувати кількість програм-вимагачів? Можливо. Було проведено десятки масштабних успішних заходів правоохоронних органів та санкцій проти угруповань, що займаються розповсюдженням програм-вимагачів, та їхніх членів. Разом це буквально розірвало багато груп вимагачів, що призвело до внутрішньої боротьби та розпаду в багатьох із решти груп. Чи призведе це до меншої кількості атак та нижчих виплат викупу у 2025 році? Побачимо. 

 Поки ми чекаємо, ось деякі помітні тенденції програм-вимагачів у 2025 році: 

•За останні кілька років банди програм-вимагачів використовують більше вразливостей програмного забезпечення та прошивок (соціальна інженерія все ще є методом початкового доступу номер один, але різниця вже невелика). Тому користайтеся каталогом відомих вразливостей, що використовувалися для експлуатації, від CISA, щоб переконатися, що у вас встановлено виправлення. 

•Середній виплачений викуп (якщо його сплачували) становив трохи більше 500 тисяч доларів. Медіанний платіж був меншим за 250 тисяч доларів. 

•Менше жертв платять за програму-вимагач, ніж будь-коли раніше. Рівень платежів, який раніше становив близько 70% усіх жертв програм-вимагачів, тепер знизився до 25%, і це частина тривалої тенденції до зниження. 

•Банди з програм-вимагачів перетворюються на банди з витоків даних, зосереджуючись на компрометації великих обсягів даних (для отримання викупу або перепродажу). 

•Показники дешифрування, за яких усі зашифровані дані успішно відновлюються після атаки програми-вимагача та сплати викупу, знижуються (це рідкісна компанія, яка отримує всі свої дані назад) 

•Традиційні банди-вимагачі замінюються одинаками та державами 

 Програма - вимагач на основі штучного інтелекту вже на підході. Воно буде кращим, успішнішим та поширенішим, ніж те, що ми маємо сьогодні.Незалежно від статистики, кожна організація повинна мати план відновлення після програм-вимагачів та контрольний список відновлення

Організаційна структура груп зловмисників-вимагачів розвивається на наших очах. 

З наближенням річниці краху двох відомих груп розповсюджувачів програм-вимагачів (Lockbit та BlackCat/ALPHV) ми виявляємо, що екосистема програм-вимагачів така ж роздроблена та невизначена, як і в місяці після цих подій. Модель «програма-вимагач як послуга» (RaaS) залишається безповоротно заплямованою після того, як групи, які започаткували цю структуру, були викриті як такі, що сповнені внутрішніх чвар, обману, втраченої вигоди та порушення анонімності своїх афілійованих осіб. Спільні дії правоохоронних органів протягом останнього року систематично погіршували ресурси, від яких залежать учасники розповсюдження програм-вимагачів для своєї діяльності. У випадку внутрішніх загроз зусилля правоохоронних органів навіть призвели до ув'язнення низки зловмисників. Хоча певні групи зберігаються, а нові імена продовжують з'являтися та виходити зі сфери вимагання, епоха одного чи двох безперечних «лідерів» на ринку програм-вимагачів здається віддаленою. 

Станом на перший квартал 2025 року на ринку домінують: 

 (1) неафілійовані, самотні вимагачі, 

 (2) група нових брендів програм-вимагачів, які розмивають межі між традиційною фінансово мотивованою кіберзлочинністю, шпигунством та хактивізмом, та 

 (3) кілька груп вимагачів, що збереглися з минулої епохи, які досі дотримуються того, що ми вважаємо традиційним сценарієм боротьби з програмами-вимагачами. 

 Перший квартал 2025 року ознаменувався кількома різнорідними, але однаково показовими подіями. Безпосередньо перед Різдвом Clop представила свою останню кампанію з крадіжки даних, зосереджену на платформах керованої передачі файлів Cleo. Кампанія спочатку отримала певну популярність через характер експлойтів, але, схоже, їй бракувало очікуваного впливу та монетизації, які спостерігалися в попередніх кампаніях Clop, таких як MOVEit (2023) та Accellion (2021). 

 У лютому низка компаній отримала поштою фізичні повідомлення з вимогою викупу, які нібито надійшли від відомої групи вимагачів BianLian. Кампанію швидко ідентифікували як фантомне шахрайство, яке не було пов'язане зі справжньою групою вимагачів BianLian, але стало першим фантомним вимаганням такого роду, пов'язаним з програмами-вимагачами; ця подія ще раз підкреслює зростання кількості фантомних шахрайств, яке ми відстежуємо протягом останніх 2 років, оскільки коло жертв звузилося, а варіанти надійної та простої монетизації вимагання зменшилися. 

У березні один із учасників BreachForums оголосив про злам середовищ єдиного входу (SSO) Oracle Cloud, стверджуючи, що володіє кількома мільйонами файлів сховища ключів Java (JKS) та зашифрованими обліковими даними протоколу LDAP (Lightweight Directory Access Protocol). Хоча масштаб атаки привернув значну увагу, відповідальний за атаку зловмисник, здавалося, не був впевнений, як обробляти або монетизувати цю інформацію, про що свідчить те, як він звернувся за допомогою до своєї бази користувачів, щоб допомогти їм розшифрувати хешовані облікові дані, які вони викрали. Дещо незграбне оброблення оголошення про атаку нагадує торішній злом Snowflake, який також відбувався дуже публічно на форумі «BreachForums», а не в тихих та вузьких рамках інфраструктури переговорів щодо програм-вимагачів. 

Однак, мабуть, найважливішою подією кварталу сталася наприкінці лютого, коли раптово було оприлюднено безліч журналів чатів Black Basta Matrix , що безцеремонно ознаменувало закриття сумнозвісної групи. Black BASTA з'явилася одразу після краху банди вимагачів Conti на початку 2022 року та швидко завоювала частку ринку, відома своїми ефективними методами початкового доступу та руйнівними атаками на великі корпоративні цілі. Витік журналів демонструє внутрішнє спілкування між афілійованими особами Black Basta, яке відбувалося протягом дванадцяти місяців з вересня 2023 року по вересень 2024 року. Зміст пропонує повчальну інформацію про те, як група підходила до жертв, оцінювала ризики та орієнтувалася в делікатному регуляторному кліматі в надії уникнути санкцій. Багато тем, зазначених у журналах, підкреслюють зростаючі труднощі, з якими стикаються учасники боротьби з програмами-вимагачами, щоб підтримувати довговічність та стабільний прибуток. Ці настрої нещодавно висловила інша група полювання на велику дичину - Hunters International. За даними дослідників, керівництво Hunters повідомило афілійованих осіб наприкінці 2024 року про те, що операція незабаром закриється, посилаючись на те, що «розробка в напрямку програм-вимагачів стала безперспективною, низькоконверсійною та надзвичайно ризикованою». 

Стан справ із програмами-вимагачами у 2025 році здається невизначеним. Хоча атаки, безумовно, все ще відбуваються, і нові групи продовжують з'являтися щомісяця, добре налагоджена машина програм-вимагачів, яку створили ранні групи RaaS, страждає від ускладнень, які навряд чи вдасться вирішити. Ось лише деякі з них: 

•Інструменти дешифрування гірші, ніж будь-коли. Втрата постійного доступу до кваліфікованих розробників призвела до погано написаного коду шифрування, який неможливо повністю скасувати, як це було на ранніх етапах програм-вимагачів. Рівень атак, що призводять до виплат викупу, знижується вже багато років, і неможливість довіряти тому, що платіж призведе навіть до більш-менш пристойного інструменту дешифрування, ще більше посилює цей спад. 

•Занепокоєння щодо санкцій. Ризик санкцій є значним. Як видно з логів чату Black Basta, зловмисники добре усвідомлюють, що атака однієї неправильної цілі в невідповідний час може швидко призвести до небажаної перевірки з боку регуляторів. У разі санкцій вони зіткнуться з негайною втратою прибутку, ймовірним відтоком афілійованих осіб та тривалим простоєм, зважуючи всі за та проти спроби ребрендингу. 

 •Занепокоєння OPSEC. Кібервимагання вже не таке анонімне. Національне агентство з боротьби зі злочинністю Великої Британії (NCA) підкреслило це під час операції «Кронос», коли вони опублікували особи ключових афілійованих осіб Lockbit. Виконавця кампанії Snowfake було ідентифіковано та заарештовано в жовтні. Численних членів групи Scattered Spider було взято під варту. Наслідком масштабування операцій груп RaaS для збільшення обсягу атак і прибутків стало ненавмисне збільшення їхнього особистого сліду, залишивши дослідникам і правоохоронним органам набагато більше навігації, ніж було на ранніх етапах. Ці постійні викриття підривають одну з найпривабливіших рис кіберзлочинності (її обіцянку анонімності), що змінить співвідношення ризику та винагороди для існуючих та потенційних афілійованих осіб. 

•Порушення роботи критично важливих ресурсів. Моделі RaaS мають залежності. Без надійного хостингу, відмивання грошей, брокерів даних тощо підприємство перестає ефективно функціонувати. Враховуючи постійні порушення всього вищезазначеного, ми очікуємо, що афілійовані особи зростатимуть з небажанням приєднуватися до бізнес-моделі, ланцюг поставок якої перебуває під постійною загрозою порушення. 

Ці обставини витіснили багатьох гравців зі старого ринку програм-вимагачів. Залишилася лише клаптикова суміш кочових операторів-одинаків, пов'язаних з державою, які експериментують у сфері кібервимагання, та скорочуваний контингент афілійованих осіб з програмами-вимагачами, які стикаються з дедалі більшими перешкодами у збереженні своєї невеликої частки ринку. У минулі роки ми визначали стан програм-вимагачів за тими атаками, які були найбільш публічними або руйнівними; на початку 2025 року дані, що визначають перший квартал, являють собою суміш дивних/незграбних подій та несподіваного занепаду кількох провідних на ринку груп-вимагачів. Хоча кібервимагання поки що залишиться, воно дуже мало схоже на той клімат вимагання, з яким ми мали справу протягом останніх 5+ років. Існують зрозумілі припущення того, чи процвітатимуть програми-вимагачі, якщо міжнародна напруженість почне спадати. Однак ті групи-вимагачі, які процвітали б за цих умов, стикаються з багатьма іншими викликами, та незрозуміло, чи такі умови насправді дозволять їм процвітати. 

Трохи статистики 

Середній та медіанний виплат викупу у першому кварталі 2025 року 

Середня сума викупу 552 777 доларів США що -0,2% порівняно з 4 кварталом 2024 року 

Середній медіанний викуп - 200 000 доларів США +80% порівняно з 4 кварталом 2024 року 

Медіанний платіж викупу у першому кварталі зріс до 200 000 доларів США, що на 80% більше, ніж у четвертому кварталі, але точно відповідає медіанному платежу за третій квартал 2024 року (також 200 000 доларів США), тобто повністю перебуває в очікуваних межах. 

Середній платіж у розмірі 552 777 доларів США був майже ідентичним середньому значенню, зафіксованому в четвертому кварталі. Як і очікувалося, найвищі платежі були зумовлені врегулюваннями, мотивованими розшифруванням, щоб пом'якшити переривання бізнесу за відсутності дійсних резервних копій. Лише близько третини платежів були зумовлені бажанням приховати розголошення викрадених даних. Незважаючи на модель полювання на велику дичину, яка передбачає, що більші компанії платитимуть більші викупи, дані Coveware показують, що витрати визначає не розмір компанії чи сектор, а вплив інциденту. 

 Ставки виплат викупу у першому кварталі 2025 року 

Частка компаній, які вирішили сплатити викуп, або для отримання ключів розшифровки, або для того, щоб зловмисник не публікував викрадені дані на своєму сайті витоку, дещо зросла у першому кварталі 2025 року. Зазначимо, що показники виплат викупу коливалися в межах 25-35% протягом останніх 6 кварталів. 

Частка організацій, які вирішили сплатити викуп ВИКЛЮЧНО для того, щоб спробувати перешкодити зловмиснику оприлюднити викрадені дані, дещо знизилася у першому кварталі 2025 року, але залишилася в межах норми. 

Наприкінці першого кварталу 2025 року Akira та RansomHub були єдиними брендовими групами, які мали двозначну частку ринку. Однак на момент написання статті ми спостерігаємо за раптовим зникненням RansomHub після того, як їхня інфраструктура відключилася приблизно 2 квітня 2025 року. Хоча збій стався після нещодавніх повідомлень, які пов'язують RansomHub із санкційним підприємством, відомим як Evil Corp, залишається незрозумілим, чи було це фактором, що сприяв зникненню групи. Оскільки це подія, що розвивається, ми залишимо подальші припущення для пізнішого звіту. 

Найголовніше, що ми виявили, що неафілійовані самотні вимагачі («актори-вовки») продовжують займати значну частину наших даних. Читачі можуть пам’ятати, що це також було важливою знахідкою у звіті Coveware за другий квартал 2024 року , яку ми пояснили різкою недовірою, що виникла в афілійованій спільноті після викриття недобросовісної практики цих груп та їхньої вразливості перед правоохоронними органами. На той час було неясно, чи було це сприйняття тимчасовим, але з огляду на дванадцять місяців ретроспективного аналізу та те, що «самотні вовки» все ще діють у стабільному обсязі, здається, що вплив був більш постійним. 

 Найпоширеніші вектори початкових атак програм-вимагачів у першому кварталі 2025 року 

Протягом першого кварталу 2025 року учасники атак з використанням програм-вимагачів все частіше використовували відомі CVE, як початковий метод входу для своїх атак. 

 Серед найбільш цілеспрямованих були: 

•CVE-2025-0282 : Критична вразливість переповнення буфера на основі стека в пристроях Ivanti Connect Secure VPN, що дозволяє неавтентифіковане віддалене виконання коду. 

•CVE-2025-23006 : Вразливість десеріалізації в пристроях SonicWall SMA1000, що дозволяє неавтентифікованим зловмисникам виконувати довільні команди ОС через інтерфейс керування. 

•CVE-2025-22457 : Вразливість переповнення буфера в пристроях Ivanti Connect Secure VPN, яка використовується для розгортання шкідливого програмного забезпечення. 

•CVE-2024-41713 та CVE-2024-55550 : вразливості, що дозволяють переміщати дані через систему Mitel MiCollab, що активно використовуються для отримання несанкціонованого доступу. 

•CVE-2024-0012 : Вразливість в PAN-OS мережі Palo Alto Networks, що призводить до несанкціонованого доступу та потенційного порушення безпеки системи. 

Ці вразливості часто використовувалися групами програм-вимагачів, які часто застосовували різні тактики, такі як фішингові кампанії та експлуатація невиправлених систем для отримання початкового доступу. Агентство з кібербезпеки та безпеки інфраструктури (CISA) включило ці CVE до свого каталогу відомих використаних вразливостей, підкреслюючи критичну необхідність своєчасного встановлення виправлень та оновлень системи для зменшення ризику атак програм-вимагачів. 

 Найпоширеніші тактики, методи та процедури, що використовувалися суб'єктами загроз у першому кварталі 2025 року 

Викрадення даних [ TA0010 ]: Починаючи з 2025 року, викрадення даних зберегло своє лідируюче місце з четвертого кварталу 2024 року, з'являючись у 71% випадків (зниження з 87% у четвертому кварталі). Це постійна ознака того, що крадіжка даних є основною метою більшості зловмисників, а не лише передвісником атак на основі шифрування. У першому кварталі зловмисники віддавали перевагу використанню MEGASync, Rclone та WinSCP. Також спостерігалося зростання зловживання тимчасовими сервісами обміну файлами, такими як file.io, bashupload.com або easyupload.io, для вивантаження викрадених даних. 

 Латеральне переміщення [ TA0008 ]: Бокове переміщення спостерігалося у 67% випадків у першому кварталі, що підтверджує, що воно все ще є ключовим етапом атаки, оскільки зловмисники продовжують зосереджуватися на впливі на весь домен. Поширені методи включають використання внутрішнього протоколу віддаленого робочого столу (RDP) для переходу з хоста на хост, а також PsExec та захищеної оболонки (SSH). Зокрема, OpenSSH та PuTTy використовувалися зловмисниками-вимагачами для атаки на віртуалізовану інфраструктуру, особливо на хости VMware ESXi, для безпосереднього розгортання програм-вимагачів на рівні гіпервізора. 

 Ухилення від захисту [ TA0005] : Ухилення від захисту спостерігалося у 60% випадків у першому кварталі, що свідчить про зростаючу необхідність зловмисників вимикати або обходити антивірусні рішення або рішення для виявлення та реагування на кінцеві точки (EDR) для успішного розгортання програм-вимагачів. Методи, що використовуються для ухилення від захисту, включають видалення/вимкнення програмного забезпечення або служб безпеки, очищення журналів подій Windows або використання користувацьких, обфускованих скриптів, щоб уникнути виявлення. Також було помічено, що зловмисники використовували методи "Принеси свій власний вразливий драйвер" (BYOVD) для втручання в легітимно підписані, але вразливі драйвери, з метою вимкнення захисту або підвищення привілеїв. Ці методи вказують на те, що ухилення від захисту тепер є стандартною передумовою для успішного виконання програм-вимагачів. 

 Вплив [ TA0040 ]: Вплив залишається в першій п'ятірці, де програми-вимагачі, знищення даних або втручання в інфраструктуру спостерігалися у 58% випадків (порівняно з 45% у четвертому кварталі). Однак цей рейтинг недооцінює його справжнє значення, оскільки підтверджене шифрування програмами-вимагачами мало місце у 91% наших випадків у першому кварталі. Ця активність була зосереджена на середовищах VMware ESXi, де зловмисники блокували адміністраторів від консолі ESXi шляхом підробки пароля, що ускладнювало виявлення та відновлення. У багатьох випадках жертви були змушені перевстановлювати ESXi, щоб відновити доступ до сховищ даних, ненавмисно знищуючи артефакти експертизи в процесі. Це також посилюється низькими показниками виплат викупу, оскільки організації часто не приділяють пріоритету зусиллям експертизи, коли платежі не здійснюються. 

Командування та управління [ TA0011 ]: Командування та управління (C2) спостерігалося у 51% наших випадків, що посилює залежність зловмисників від інфраструктури постійного доступу для організації атак. Багато зловмисників досі використовують легітимні інструменти віддаленого моніторингу та управління (RMM), такі як AnyDesk, SimpleHelp та Atera, щоб залишатися непоміченими. Організації повинні розширити свої можливості моніторингу, щоб виявляти незвичайну активність, пов'язану з цими інструментами, а також іншими інструментами RMM, і враховувати як засоби контролю за програмами, так і мережеві засоби для зменшення ризиків, пов'язаних з несанкціонованим використанням легітимного програмного забезпечення. 

 Найбільш поширені галузі, що постраждали від програм-вимагачів у першому кварталі 2025 року 

Атаки програм-вимагачів у першому кварталі 2025 року опортуністичне вплинули на кілька конкретних галузей, причому охорона здоров'я, професійні послуги та державний сектор зазнали найвищих показників інцидентів. На організації охорони здоров'я припадало 15,4% усіх випадків програм-вимагачів, що відображає постійну вразливість сектору через критично важливі операції та часто застарілу інфраструктуру. Професійні послуги, включаючи юридичні, бухгалтерські та консалтингові фірми, становили 14,4% інцидентів, що підкреслює високу цінність конфіденційних даних клієнтів для зловмисників. Тим часом державний сектор, включаючи державні установи та освітні заклади, становив 12,5% від загальної кількості атак програм-вимагачів, що підкреслює постійний ризик для важливих державних послуг. 

Розмір організацій, на які вплинуло програмне забезпечення-вимагач у першому кварталі 2025 року 

Середній розмір компанії 228 співробітників і це -20% порівняно з 4 кварталом 2024 року 

У першому кварталі 2025 року атаки програм-вимагачів непропорційно сильно вплинули на малі та середні організації. Середній розмір організації-жертви становив лише 228 співробітників, що підтверджує той факт, що групи програм-вимагачів з найбільшою часткою ринку, як правило, впливають на ці малі та середні компанії з обмеженими ресурсами кібербезпеки. Організації з 11–100 співробітниками становили найбільшу частку жертв, на які припадало 35,6% атак, тоді як компанії зі 101–1000 співробітниками становили 32,7% інцидентів. Ця тенденція підкреслює, що невеликі підприємства, яким може бракувати надійного захисту більших корпорацій, залишаються головними цілями для операцій програм-вимагачів. 

Хоча малі та середні компанії зазнали основного впливу програм-вимагачів протягом останніх кількох кварталів, ми підозрюємо, що ринок великих підприємств знову посилиться, якщо ми продовжимо спостерігати тенденцію, коли державні структури з Китаю та Північної Кореї входять у сферу вимагання (де історично домінували російські групи). Лише за останні шість місяців дослідники виявили зв'язки між північнокорейськими державними структурами та не однією, а двома групами-вимагачами: PLAY та Qilin . Якщо ця тенденція збережеться, і спонсорована державою злочинність почне використовувати програми-вимагачі або для безпосереднього фінансування своїх режимів, або як прикриття для приховування своїх справжніх мотивів вторгнення, ми можемо побачити перше помітне збільшення атак, які дійсно спрямовані на компанії певного розміру та галузевої вертикалі. Це буде різким відходом від суто опортуністичного характеру атак програм-вимагачів, який існує протягом останніх 10+ років. 

 Як завжди, боріться у доброму бою! 

 Станіслав Бичков 

Містер ISO 27001