Зростання кібератак у
Black Friday
Що відбувалося, поки всі полювали за знижками?
Поки мільйони людей по всьому світу шукали вигідні пропозиції у Black Friday, інша категорія “мисливців” працювала без вихідних та знижок. Кіберзлочинці використали ажіотаж навколо розпродажів як ідеальне прикриття для атак, шахрайських схем, зараження пристроїв та викрадення даних. Чим активніше користувачі вводять дані банківських карток, переходять за посиланнями та встановлюють застосунки, тим більше можливостей отримують зловмисники залишатися непоміченими.
Black Friday давно перестав бути просто днем вигідних покупок. Сьогодні це справжній стрес-тест для цифрової інфраструктури бізнесу, банківських сервісів та користувачів. Онлайн-магазини працюють на межі можливостей, маркетингові платформи запускають масові розсилки, а користувачі отримують десятки повідомлень щодня. Саме в цьому інформаційному шумі фальшиві сайти, шкідливі посилання та підробні повідомлення маскуються найкраще.
Фахівці компанії Softlist проаналізували найгучніші кібератаки, які супроводжували Black Friday цього року, та виявили тривожну тенденцію - атаки стали не лише масовішими, а й значно «тихішими». Якщо раніше зловмисники діяли грубо, то сьогодні вони вбудовуються у звичні сценарії користувача - чат-боти, календарі, повідомлення служб доставки, фейкові SMS від «державних органів».
Особливо небезпечними виявилися нові покоління шкідливого ПЗ, здатні обходити AI-виявлення, ботнети, що масово заражають IoT-пристрої, а також фішингові кампанії, замасковані під банківські та урядові структури. Йдеться вже не просто про злами, а про системну експлуатацію людської довіри та перевантажених інфраструктур.
Black Friday давно перестав бути просто днем вигідних покупок. Сьогодні це справжній стрес-тест для цифрової інфраструктури бізнесу, банківських сервісів та користувачів. Онлайн-магазини працюють на межі можливостей, маркетингові платформи запускають масові розсилки, а користувачі отримують десятки повідомлень щодня. Саме в цьому інформаційному шумі фальшиві сайти, шкідливі посилання та підробні повідомлення маскуються найкраще.
Фахівці компанії Softlist проаналізували найгучніші кібератаки, які супроводжували Black Friday цього року, та виявили тривожну тенденцію - атаки стали не лише масовішими, а й значно «тихішими». Якщо раніше зловмисники діяли грубо, то сьогодні вони вбудовуються у звичні сценарії користувача - чат-боти, календарі, повідомлення служб доставки, фейкові SMS від «державних органів».
Особливо небезпечними виявилися нові покоління шкідливого ПЗ, здатні обходити AI-виявлення, ботнети, що масово заражають IoT-пристрої, а також фішингові кампанії, замасковані під банківські та урядові структури. Йдеться вже не просто про злами, а про системну експлуатацію людської довіри та перевантажених інфраструктур.
Глобальна картина загроз під час Black Friday
Період Black Friday став не просто піковим навантаженням для онлайн-торгівлі, а й точкою максимального загострення в кіберпросторі. Фахівці Softlist зафіксували стрімке зростання активності шкідливих кампаній одночасно в кількох регіонах - від Європи та Азії до Близького Сходу та Північної Африки. Географія атак чітко демонструє еволюцію кіберзлочинності - це більше не локальні інциденти, а скоординовані глобальні операції.
Основними векторами атак стали фішинг і смішинг, розповсюдження шкідливого ПЗ, експлуатація старих протоколів аутентифікації та масові ботнет-атаки на інтернет-інфраструктуру. Особливу небезпеку становили кампанії, замасковані під легітимні сервіси доставки, держустанови, банківські повідомлення та великі маркетплейси. У період святкового ажіотажу користувачі значно рідше перевіряють джерело повідомлення та частіше переходять за посиланнями, на що й розраховують зловмисники.
Окрему тривогу у фахівців викликали IoT-мережі. Тисячі «розумних» пристроїв - маршрутизатори, камери відеоспостереження, побутова техніка - стали частиною ботнетів, які використовувалися для DDoS-атак, проксі-запитів та ретрансляції фішингових кампаній. Такі пристрої часто мають стандартні паролі, не отримують оновлень безпеки та стають ідеальними точками входу до корпоративних та домашніх мереж.
Ще одним небезпечним трендом став перехід атак у так звану «сіру зону» - між легітимним сервісом та загрозою. Шкідливі файли маскуються під документи з акціями, запрошення в календарі, електронні чеки та рекламні листи. Деякі атаки не викликають негайних симптомів зараження, а місяцями працюють у фоновому режимі, збираючи облікові дані, доступи та фінансову інформацію.
На тлі масових фішингових кампаній та сплеску шкідливого ПЗ особливо небезпечним класом загроз залишаються ботнети. Вони не лише забезпечують технічну можливість для масштабних атак, а й стають фундаментом для цілих злочинних екосистем. Одним з найактивніших інструментів кіберзлочинців у період Black Friday став ShadowV2 - сучасний ботнет, націлений на масову експлуатацію IoT-пристроїв.
Основними векторами атак стали фішинг і смішинг, розповсюдження шкідливого ПЗ, експлуатація старих протоколів аутентифікації та масові ботнет-атаки на інтернет-інфраструктуру. Особливу небезпеку становили кампанії, замасковані під легітимні сервіси доставки, держустанови, банківські повідомлення та великі маркетплейси. У період святкового ажіотажу користувачі значно рідше перевіряють джерело повідомлення та частіше переходять за посиланнями, на що й розраховують зловмисники.
Окрему тривогу у фахівців викликали IoT-мережі. Тисячі «розумних» пристроїв - маршрутизатори, камери відеоспостереження, побутова техніка - стали частиною ботнетів, які використовувалися для DDoS-атак, проксі-запитів та ретрансляції фішингових кампаній. Такі пристрої часто мають стандартні паролі, не отримують оновлень безпеки та стають ідеальними точками входу до корпоративних та домашніх мереж.
Ще одним небезпечним трендом став перехід атак у так звану «сіру зону» - між легітимним сервісом та загрозою. Шкідливі файли маскуються під документи з акціями, запрошення в календарі, електронні чеки та рекламні листи. Деякі атаки не викликають негайних симптомів зараження, а місяцями працюють у фоновому режимі, збираючи облікові дані, доступи та фінансову інформацію.
На тлі масових фішингових кампаній та сплеску шкідливого ПЗ особливо небезпечним класом загроз залишаються ботнети. Вони не лише забезпечують технічну можливість для масштабних атак, а й стають фундаментом для цілих злочинних екосистем. Одним з найактивніших інструментів кіберзлочинців у період Black Friday став ShadowV2 - сучасний ботнет, націлений на масову експлуатацію IoT-пристроїв.
ShadowV2 Botnet: коли “розумні” пристрої стають зброєю
ShadowV2 - це не просто ще один ботнет на базі Mirai. Це наочний приклад того, як IoT-пристрої масово перетворюються на зброю в руках кіберзлочинців. За даними дослідників Fortinet, кампанія ShadowV2 була активна виключно під час глобального збою Amazon Web Services наприкінці жовтня 2025 року. Це дає підстави вважати, що йшлося не про випадкову хвилю атак, а про контрольований “тестовий запуск” перед масштабнішими операціями у майбутньому.
Фахівці Softlist розглядають цей інцидент як тривожний сигнал для всієї індустрії. Зловмисники свідомо обрали момент, коли інфраструктура ослаблена, а увага технічних команд зосереджена на відновленні сервісів. Саме в такі вікна хаосу відбувається максимально ефективне зараження пристроїв.
ShadowV2 заражає камери спостереження, маршрутизатори, мережеві шлюзи та інше IoT-обладнання, використовуючи відомі та нові вразливості в прошивках популярних виробників. Потрапивши в мережу, зловмисники автоматично встановлюють шкідливе ПЗ, яке перетворює пристрій на частину "зомбі-армії", готової до DDoS-атак у будь-який момент.
Справжня суть проблеми - в масштабі та непомітності. Власник зараженого пристрою зазвичай не помічає жодних змін у роботі, але його техніка вже бере участь у нападі на чужі бізнес-системи, платіжні сервіси чи торгові платформи. Кіберзлочинність більше не потребує потужних серверів - вона використовує холодильники, камери та роутери звичайних користувачів.
Окрему загрозу становить той факт, що кіберзлочинці сьогодні змагаються не лише за нові жертви, а й за контроль над уже зараженими пристроями. Інший ботнет - RondoDox - використовує десятки експлойтів для того, щоб перехоплювати заражене IoT-обладнання у конкурентів та вбудовувати його у власні ботнет-мережі.
Це означає лише одне - IoT залишається найслабшою ланкою сучасної кібербезпеки. І ShadowV2 є яскравим доказом того, що атаки наступного покоління будуватимуться не навколо ПК та серверів, а навколо «розумного» середовища, яке досі майже не захищене належним чином. Але і банальний Фішинг вже не стоїть на місці, він статочно вийшов за межі «підроблених банківських листів». Зловмисники перейшли на значно небезпечніший рівень - масову імітацію державних сервісів, які користувачі апріорі вважають безпечними.
ShadowV2 заражає камери спостереження, маршрутизатори, мережеві шлюзи та інше IoT-обладнання, використовуючи відомі та нові вразливості в прошивках популярних виробників. Потрапивши в мережу, зловмисники автоматично встановлюють шкідливе ПЗ, яке перетворює пристрій на частину "зомбі-армії", готової до DDoS-атак у будь-який момент.
Справжня суть проблеми - в масштабі та непомітності. Власник зараженого пристрою зазвичай не помічає жодних змін у роботі, але його техніка вже бере участь у нападі на чужі бізнес-системи, платіжні сервіси чи торгові платформи. Кіберзлочинність більше не потребує потужних серверів - вона використовує холодильники, камери та роутери звичайних користувачів.
Окрему загрозу становить той факт, що кіберзлочинці сьогодні змагаються не лише за нові жертви, а й за контроль над уже зараженими пристроями. Інший ботнет - RondoDox - використовує десятки експлойтів для того, щоб перехоплювати заражене IoT-обладнання у конкурентів та вбудовувати його у власні ботнет-мережі.
Це означає лише одне - IoT залишається найслабшою ланкою сучасної кібербезпеки. І ShadowV2 є яскравим доказом того, що атаки наступного покоління будуватимуться не навколо ПК та серверів, а навколо «розумного» середовища, яке досі майже не захищене належним чином. Але і банальний Фішинг вже не стоїть на місці, він статочно вийшов за межі «підроблених банківських листів». Зловмисники перейшли на значно небезпечніший рівень - масову імітацію державних сервісів, які користувачі апріорі вважають безпечними.
Фішинг нового рівня: підробка державних сервісів
Показовий приклад - рішення влади Сінгапуру, яка зобов’язала Apple та Google блокувати повідомлення, що маскуються під листування від державних органів. Компаніям наказано впровадити фільтрацію в iMessage та Android Messages, а також заборонити використання імен та ідентифікаторів, які імітують державні домени. Це пряме визнання того факту, що технологічні платформи більше не здатні ігнорувати проблему фішингу на системному рівні.
Паралельно кіберзлочинці у складі так званої Smishing Triad розгорнули масштабну кампанію проти фінансового сектору та поштових служб Єгипту. Атаки здійснювались через фейкові домени, що видавали себе за Fawry, Egypt Post та Careem. За останніми даними, ця ж інфраструктура використовувалась і для атак в інших країнах, включаючи США, ОАЕ та європейські регіони.
Ключова загроза полягає не в самих SMS чи повідомленнях, а в індустріалізації фішингу. Платформи “фішинг як сервіс” дозволяють запускати атаки будь-кому без технічних знань. Google вже подала позов проти однієї з таких платформ, яка залучила понад мільйон користувачів у більш ніж 120 країнах. Шкідливі шаблони розповсюджуються через месенджери, готові сайт-двійники продаються як товар, а жертви стають статистикою.
Суть проблеми проста і небезпечна - користувач більше не може «на око» відрізнити справжнє повідомлення від підробки. Атаку сьогодні створюють не хакери-одинаки, а цілі екосистеми з маркетингом, підтримкою і готовими шаблонами обману. Саме тому фішинг більше не є питанням окремого інциденту - це стратегічна загроза цифровій довірі як такій.
Якщо фішинг б’є по довірі користувачів, то справжній удар по бізнесу завдають невидимі інструменти проникнення - приховане шкідливе програмне забезпечення. Саме воно залишається в системах місяцями, не подаючи жодних ознак компрометації, і дозволяє зловмисникам контролювати інфраструктуру зсередини.
Під час Black Friday також особливу активність проявили не масштабні вірусні кампанії, а високоточні атаки на сервери поштових систем, облікові записи та цифрові активи. Ці загрози не працюють «шумно» - вони обирають жертву, маскуються під легітимний трафік і діють максимально тихо.
Паралельно кіберзлочинці у складі так званої Smishing Triad розгорнули масштабну кампанію проти фінансового сектору та поштових служб Єгипту. Атаки здійснювались через фейкові домени, що видавали себе за Fawry, Egypt Post та Careem. За останніми даними, ця ж інфраструктура використовувалась і для атак в інших країнах, включаючи США, ОАЕ та європейські регіони.
Ключова загроза полягає не в самих SMS чи повідомленнях, а в індустріалізації фішингу. Платформи “фішинг як сервіс” дозволяють запускати атаки будь-кому без технічних знань. Google вже подала позов проти однієї з таких платформ, яка залучила понад мільйон користувачів у більш ніж 120 країнах. Шкідливі шаблони розповсюджуються через месенджери, готові сайт-двійники продаються як товар, а жертви стають статистикою.
Суть проблеми проста і небезпечна - користувач більше не може «на око» відрізнити справжнє повідомлення від підробки. Атаку сьогодні створюють не хакери-одинаки, а цілі екосистеми з маркетингом, підтримкою і готовими шаблонами обману. Саме тому фішинг більше не є питанням окремого інциденту - це стратегічна загроза цифровій довірі як такій.
Якщо фішинг б’є по довірі користувачів, то справжній удар по бізнесу завдають невидимі інструменти проникнення - приховане шкідливе програмне забезпечення. Саме воно залишається в системах місяцями, не подаючи жодних ознак компрометації, і дозволяє зловмисникам контролювати інфраструктуру зсередини.
Під час Black Friday також особливу активність проявили не масштабні вірусні кампанії, а високоточні атаки на сервери поштових систем, облікові записи та цифрові активи. Ці загрози не працюють «шумно» - вони обирають жертву, маскуються під легітимний трафік і діють максимально тихо.
Шкідливе ПЗ нового покоління: QuietEnvelope та
Xillen Stealer
Xillen Stealer
Під час Black Friday найбільш серйозні загрози виникали не на рівні користувацьких пристроїв, а всередині корпоративної інфраструктури. Саме в цей період аналітики компанії ESET оприлюднили інформацію про новий інструментарій атаки - QuietEnvelope - який демонструє еволюцію цільових атак на поштові системи.
QuietEnvelope: компрометація поштових серверів рівня інфраструктури
За даними ESET, QuietEnvelope був створений спеціально для атак на систему захисту MailGates поштових серверів OpenFind. Це не типовий шкідник, який розповсюджується через вкладення, а професійний інструмент для повного контролю над сервером.
Технічна реалізація свідчить про високий рівень підготовки зловмисників:
Фактично, зловмисники отримують багаторівневий доступ до сервера без порушення його працездатності. Критично небезпечним є те, що компрометована система зовні працює стабільно, водночас виконуються приховані команди, перехоплюється трафік і зчитуються файли.
Особливу тривогу викликає бекдор на рівні ядра, який реагує на спеціальний сигнатурний рядок у TCP-пакеті, що дозволяє віддалено виконувати команди. Подібні механізми свідчать не про масову злочинність, а про операції рівня кіберрозвідки.
Аналітики ESET також зафіксували у коді налагоджувальні рядки спрощеною китайською мовою, що може вказувати на участь державного угруповання або принаймні на окремих розробників із материкового Китаю.
За даними ESET, QuietEnvelope був створений спеціально для атак на систему захисту MailGates поштових серверів OpenFind. Це не типовий шкідник, який розповсюджується через вкладення, а професійний інструмент для повного контролю над сервером.
Технічна реалізація свідчить про високий рівень підготовки зловмисників:
- Perl-скрипти для керування розгортанням
- бекдор у вигляді модуля ядра Linux
- модуль для веб-сервера Apache
- ін’єкція шкідливого коду в SMTР-процес
Фактично, зловмисники отримують багаторівневий доступ до сервера без порушення його працездатності. Критично небезпечним є те, що компрометована система зовні працює стабільно, водночас виконуються приховані команди, перехоплюється трафік і зчитуються файли.
Особливу тривогу викликає бекдор на рівні ядра, який реагує на спеціальний сигнатурний рядок у TCP-пакеті, що дозволяє віддалено виконувати команди. Подібні механізми свідчать не про масову злочинність, а про операції рівня кіберрозвідки.
Аналітики ESET також зафіксували у коді налагоджувальні рядки спрощеною китайською мовою, що може вказувати на участь державного угруповання або принаймні на окремих розробників із материкового Китаю.
Xillen Stealer: імітація користувача для обходу захисту
Паралельно з QuietEnvelope активність демонструє оновлений Xillen Stealer - інфостілер, який отримав функціонал для обходу систем захисту на основі штучного інтелекту.
Його ключова особливість - маскування під легітимне ПЗ. Шкідник змінює споживання ресурсів процесора і пам’яті таким чином, щоб виглядати як звичайний застосунок, уникаючи виявлення.
Основні цілі:
Новим і найбільш небезпечним елементом є використання механізмів аналізу “цінності жертви”. Вбудовані алгоритми дозволяють автоматично визначати, чи містить система активи високої вартості - фінансову інформацію, доступи до бізнес-сервісів або криптогаманці.
Орієнтація на країни з розвиненою фінансовою інфраструктурою свідчить про чітке розуміння цінності даних і стратегічний підхід до крадіжки.
Паралельно з QuietEnvelope активність демонструє оновлений Xillen Stealer - інфостілер, який отримав функціонал для обходу систем захисту на основі штучного інтелекту.
Його ключова особливість - маскування під легітимне ПЗ. Шкідник змінює споживання ресурсів процесора і пам’яті таким чином, щоб виглядати як звичайний застосунок, уникаючи виявлення.
Основні цілі:
- облікові дані
- криптовалюта
- хмарні сервіси
- менеджери паролів
- корпоративні поштові скриньки
Новим і найбільш небезпечним елементом є використання механізмів аналізу “цінності жертви”. Вбудовані алгоритми дозволяють автоматично визначати, чи містить система активи високої вартості - фінансову інформацію, доступи до бізнес-сервісів або криптогаманці.
Орієнтація на країни з розвиненою фінансовою інфраструктурою свідчить про чітке розуміння цінності даних і стратегічний підхід до крадіжки.
Вразливості замість знижок: атаки на корпоративну інфраструктуру
Поки користувачі вводили дані карток на сайтах зі «знижками», професійні хакерські угруповання працювали з іншого боку - через експлуатацію уразливостей у корпоративних системах. В цей було зафіксовано цільові атаки на Windows-інфраструктуру, де ключовими інструментами стали експлойти, а не фішингові листи.
Кампанія угруповання Water Gamayun показала інший підхід - компрометація може починатися з цілком звичайного пошуку в інтернеті.
Атака стартувала тоді, коли користувач вводив у Bing слово belay. Серед результатів пошуку він бачив сайт belaysolutions[.]com, який на вигляд не викликав жодних підозр. Але насправді ресурс уже було скомпрометовано. У коді сторінки працював шкідливий JavaScript, який без повідомлення і видимих ознак перенаправляв відвідувача на інший домен - belaysolutions[.]link.
Саме там користувачу пропонували завантажити файл, що виглядав як звичайний PDF-документ. Всередині ж знаходився архів із подвійним розширенням, який запускав перший етап атаки. З цього моменту в хід ішла уразливість MSC EvilTwin (CVE-2025-26633) - дефект у механізмі обробки оснасток Microsoft Management Console.
Замість роботи з файлом система фактично запускала експлойт, який впроваджував код безпосередньо у процес mmc.exe. Це дозволяло атакуючим завантажувати власні компоненти замість штатних системних модулів Windows. За рахунок цього шкідливий код виконувався з довірою операційної системи, минаючи стандартні механізми перевірки.
У результаті через mmc.exe активувалися приховані сценарії PowerShell, які завантажували додаткові інструменти, розпаковували другий етап зараження та ініціалізували встановлення лоадера. Паралельно користувачу відкривався фальшивий PDF-файл - виключно як візуальна «димова завіса».
Важливий нюанс - на цьому етапі антивірус або EDR часто нічого не фіксують як явну загрозу. Усі дії відбуваються через легітимні системні процеси Windows. Саме це робить подібні атаки надзвичайно складними для виявлення на ранній стадії.
Кампанія угруповання Water Gamayun показала інший підхід - компрометація може починатися з цілком звичайного пошуку в інтернеті.
Атака стартувала тоді, коли користувач вводив у Bing слово belay. Серед результатів пошуку він бачив сайт belaysolutions[.]com, який на вигляд не викликав жодних підозр. Але насправді ресурс уже було скомпрометовано. У коді сторінки працював шкідливий JavaScript, який без повідомлення і видимих ознак перенаправляв відвідувача на інший домен - belaysolutions[.]link.
Саме там користувачу пропонували завантажити файл, що виглядав як звичайний PDF-документ. Всередині ж знаходився архів із подвійним розширенням, який запускав перший етап атаки. З цього моменту в хід ішла уразливість MSC EvilTwin (CVE-2025-26633) - дефект у механізмі обробки оснасток Microsoft Management Console.
Замість роботи з файлом система фактично запускала експлойт, який впроваджував код безпосередньо у процес mmc.exe. Це дозволяло атакуючим завантажувати власні компоненти замість штатних системних модулів Windows. За рахунок цього шкідливий код виконувався з довірою операційної системи, минаючи стандартні механізми перевірки.
У результаті через mmc.exe активувалися приховані сценарії PowerShell, які завантажували додаткові інструменти, розпаковували другий етап зараження та ініціалізували встановлення лоадера. Паралельно користувачу відкривався фальшивий PDF-файл - виключно як візуальна «димова завіса».
Важливий нюанс - на цьому етапі антивірус або EDR часто нічого не фіксують як явну загрозу. Усі дії відбуваються через легітимні системні процеси Windows. Саме це робить подібні атаки надзвичайно складними для виявлення на ранній стадії.
Зловживання NTLM: стара технологія як сучасна загроза
Поки одні угруповання експлуатують нові уразливості Windows, інші роблять ставку на те, що роками вважалося «тимчасовим рішенням» - протокол NTLM. Попри заяви Microsoft про поступову відмову від нього, NTLM досі широко використовується в корпоративних мережах і залишається однією з найслабших ланок безпеки.
Під час Black Friday аналітики зафіксували декілька хвиль експлуатації уразливостей Windows, спрямованих на викрадення NTLM-хешів. Ці атаки не були хаотичними - кожна з них мала чітко сформовану ціль і виконувалася через відомі, але недостатньо захищені механізми автентифікації.
Зокрема, фіксувалася активність груп BlindEagle та Head Mare, які використовували одну з уразливостей для витоку облікових даних. Інша вразливість була задіяна у фішингових кампаніях із доставкою Warzone RAT, орієнтованих на російський сегмент. Окремий інцидент зафіксували у фінансовому секторі Узбекистану - там зловмисники використали дефект Windows для перевірки своїх привілеїв і подальшої розвідки мережі.
Після проникнення оператори атаки діяли за класичним сценарієм професійної компрометації: досліджували систему, намагалися закріпитися, виконували дамп пам’яті процесу LSASS і перевіряли можливість переміщення між хостами. Попри те що подальше розповсюдження атаки було зупинено, сам факт проникнення продемонстрував, як легко NTLM дозволяє перейти з одного пристрою на інший. І тут проблема не в окремих уразливостях - проблема в самому існуванні протоколу в сучасній інфраструктурі. Кожна нова знайдена діра дозволяє вдосконалювати техніки підміни облікових даних, підвищення привілеїв та бічного переміщення в мережі. У підсумку NTLM сьогодні - це не просто пережиток минулого. Це активна точка входу для атак, яка залишається відкритою у тисячах компаній по всьому світу.
Під час Black Friday аналітики зафіксували декілька хвиль експлуатації уразливостей Windows, спрямованих на викрадення NTLM-хешів. Ці атаки не були хаотичними - кожна з них мала чітко сформовану ціль і виконувалася через відомі, але недостатньо захищені механізми автентифікації.
Зокрема, фіксувалася активність груп BlindEagle та Head Mare, які використовували одну з уразливостей для витоку облікових даних. Інша вразливість була задіяна у фішингових кампаніях із доставкою Warzone RAT, орієнтованих на російський сегмент. Окремий інцидент зафіксували у фінансовому секторі Узбекистану - там зловмисники використали дефект Windows для перевірки своїх привілеїв і подальшої розвідки мережі.
Після проникнення оператори атаки діяли за класичним сценарієм професійної компрометації: досліджували систему, намагалися закріпитися, виконували дамп пам’яті процесу LSASS і перевіряли можливість переміщення між хостами. Попри те що подальше розповсюдження атаки було зупинено, сам факт проникнення продемонстрував, як легко NTLM дозволяє перейти з одного пристрою на інший. І тут проблема не в окремих уразливостях - проблема в самому існуванні протоколу в сучасній інфраструктурі. Кожна нова знайдена діра дозволяє вдосконалювати техніки підміни облікових даних, підвищення привілеїв та бічного переміщення в мережі. У підсумку NTLM сьогодні - це не просто пережиток минулого. Це активна точка входу для атак, яка залишається відкритою у тисячах компаній по всьому світу.
На підставі наведеного можна зробити такі висновки
Black Friday вкотре довів: сучасні кіберзагрози не мають нічого спільного з випадковістю. Хакерські кампанії ведуться системно, продумано та з використанням найслабших місць цифрової інфраструктури - від поштових серверів і протоколів автентифікації до стандартних механізмів операційної системи.
Ми бачимо чітку тенденцію - атаки стають менш помітними, але значно небезпечнішими. Кібершпигунство, крадіжка облікових даних, компрометація інфраструктури - це більше не сценарії з підручників, а щоденна реальність для бізнесу будь-якого масштабу.
Саме тому кібербезпека сьогодні - це не набір інструментів, а комплексна стратегія. Захист периметра, контроль внутрішніх процесів, аналіз поведінкових аномалій і швидке реагування на інциденти - усе це має працювати як єдина система.
Наша компанія має власну лабораторію з інформаційної безпеки, де проводиться аналіз сучасних загроз, тестування рішень та імітація реальних атак. За потреби ми допомагаємо бізнесу побудувати ефективний периметр захисту, підібрати оптимальні рішення, провести демонстрацію можливостей систем безпеки та надати професійну консультацію.
Якщо ви розглядаєте кібербезпеку як ризик, а не як формальність - зверніться до фахівців. Ми допоможемо побудувати захист, який працює не на папері, а в реальності.
Ми бачимо чітку тенденцію - атаки стають менш помітними, але значно небезпечнішими. Кібершпигунство, крадіжка облікових даних, компрометація інфраструктури - це більше не сценарії з підручників, а щоденна реальність для бізнесу будь-якого масштабу.
Саме тому кібербезпека сьогодні - це не набір інструментів, а комплексна стратегія. Захист периметра, контроль внутрішніх процесів, аналіз поведінкових аномалій і швидке реагування на інциденти - усе це має працювати як єдина система.
Наша компанія має власну лабораторію з інформаційної безпеки, де проводиться аналіз сучасних загроз, тестування рішень та імітація реальних атак. За потреби ми допомагаємо бізнесу побудувати ефективний периметр захисту, підібрати оптимальні рішення, провести демонстрацію можливостей систем безпеки та надати професійну консультацію.
Якщо ви розглядаєте кібербезпеку як ризик, а не як формальність - зверніться до фахівців. Ми допоможемо побудувати захист, який працює не на папері, а в реальності.
Хочете бути впевнені, що компанія надійно захищена від сучасних атак?
зробіть перший крок вже сьогодні - зв’яжіться з нами, і ми підберемо для вас найкращий варіант захисту.