Логотип Шериф

0 800 309 114

Ukr

0 800 309 114

П'ять трендів кіберзагроз 2026 року для бізнесу в Україні

15 хвилин

Хакери оселилися в офісі і місяцями викрадають дані та шифрують файли

Кібербезпека для бізнесу перестала бути питанням «встановити антивірус і оновлювати Windows». За останні два роки ландшафт кіберзагроз змінився настільки радикально, що компанії, які й досі мислять категоріями поодинокого «злому», ризикують пропустити атаку, яка вже триває місяцями всередині їхньої мережі.

У грудні 2025 року служба безпеки великої української виробничої компанії отримала тривожний сигнал: сотні робочих станцій раптово почали «спілкуватися» з невідомим сервером. Причиною виявився не вишуканий експлойт і не державний хакер, а звичайний піратський образ Windows, завантажений з торента, щоб заощадити кілька сотень доларів на ліцензії. Усередині образу чекав бекдор, який тижнями давав зловмисникам віддалений контроль над мережею, поки ніхто цього не помічав.

Ця історія не курйоз і не виняток. Це симптом глибшої трансформації в тому, як сьогодні відбувається кібератака на бізнес. У цій статті ми розберемо п'ять ключових трендів кіберзагроз 2025–2026 років на основі аналізу даних CERT-UA, ENISA, Mandiant, CrowdStrike та ESET, який провели фахівці SHERIFF Cybersecurity і покажемо, що конкретно бізнесу варто змінити в підході до захисту.

Що таке кібербезпека для бізнесу і чому логіка «фортеці» більше не працює

Донедавна кібербезпека будувалася на логіці фортеці: зведи стіни, постав вартових на брамі, відбий штурм і живи спокійно. Ця логіка передбачала, що атака - подія разова та помітна: зловмисник проникає, завдає шкоди, йде геть, а захисники прибирають наслідки.

Аналіз реальних інцидентів 2025–2026 років показує: ця модель більше не описує реальність. Сучасний зловмисник рідко поспішає завдати удару, натомість він прагне закріпитися і чекати. До цього додається ще один фактор, який ще п'ять років тому здавався науковою фантастикою: штучний інтелект тепер працює не лише на захисників, а й проти них. А цифрова економіка зробила компанії залежними одна від одної настільки, що атака на постачальника програмного забезпечення чи хмарного сервісу може паралізувати десятки організацій, які про цього постачальника навіть не чули.

П'ять тенденцій, описаних нижче, - це не випадковий список загроз, а портрет нової логіки атак, у якій час, довіра та автоматизація стали головною зброєю зловмисників.

  • Тренд 1. Персистентні вторгнення. Суть загрози: зловмисник ховається в мережі місяцями. Головний ризик: оманливе відчуття «інцидент закрито».
  • Тренд 2. AI-атаки. Суть загрози: штучний інтелект генерує фішинг, malware, deepfake. Головний ризик: поріг входу в кіберзлочинність впав до нуля.
  • Тренд 3. Атаки на ланцюг постачання. Суть загрози: злом одного вендора дорівнює злому сотень клієнтів. Головний ризик: безпека компанії залежить не лише від неї самої.
  • Тренд 4. Швидка експлуатація вразливостей. Суть загрози: патч запізнюється на години, а не дні. Головний ризик: традиційний патч-менеджмент не встигає за атаками.
  • Тренд 5. Малий бізнес як мішень. Суть загрози: переконання «у нас нічого красти» виявляється хибним. Головний ризик: 88% інцидентів у МСБ завершуються витоком даних.

Тренд 1. Зловмисник, що оселяється, а не грабує

Класична схема «вкрав і втік» поступається місцем стратегії довгої гри. Замість того щоб одразу монетизувати доступ — зашифрувати дані, вимагати викуп, — хакери дедалі частіше обирають тишу: закріпитися в мережі, невеликими порціями викрадати дані й готувати ґрунт для майбутньої, значно масштабнішої атаки.

Масштаб явища в цифрах

Цифри підтверджують, що це не поодинокі випадки. У 2025 році CERT-UA зафіксував 5 927 складних інфікованих інцидентів в Україні — на 37% більше, ніж роком раніше. Паралельно ENISA повідомляє про стійкі кампанії кіберрозвідки, які державно-афілійовані APT-групи проводять проти критичної інфраструктури Євросоюзу.

За аналізом ANZIS, зловмисники дедалі частіше намагаються не просто щось викрасти, а зберегти можливість повторного входу — повертатися в системи через місяці після першого вторгнення. Саме так розгорталася й історія з троянізованим інсталятором Windows, описана на початку статті: зловмисники могли перебувати в мережі компанії тижнями непомітно, доки нетиповий трафік не привернув увагу служби безпеки.

Як технічно працюють персистентні атаки

Такі кібератаки спираються на кілька типових технік:

  • компрометація довірених джерел програмного забезпечення;
  • виконання шкідливого коду через дії звичайного користувача (фішинговий лист, заражений документ);
  • заплановані завдання та ін'єкція в легітимні процеси операційної системи;
  • передача команд і модулів через звичайний DNS-трафік або хмарні API, які важко відрізнити від нормальної офісної активності.

Головна небезпека таких вторгнень - оманливе відчуття безпеки. Компанія може вважати інцидент закритим, тоді як зловмисник лишив собі «запасний вхід»: прихований обліковий запис, SSH-ключ або руткіт, що чекає активації. Без проактивного полювання на загрози (threat hunting) прихована присутність здатна вилитися у повне шифрування інфраструктури вже за кілька місяців після «закриття» інциденту.

Базовий принцип для бізнесу - діяти так, ніби компрометація вже відбулася (assume breach), навіть якщо явних слідів атаки немає. На практиці це означає:

  1. Глибокий аналіз мережі після будь-якої підозрілої події, а не лише усунення видимого збитку.
  2. Жорсткий контроль облікових записів і обов'язкову багатофакторну автентифікацію для адміністративного доступу й віддалених підключень.
  3. Сегментацію мережі, яка не дає зловмиснику з одного зламаного ПК дістатися до виробничих систем чи баз даних.
  4. Повне очищення інфраструктури після інциденту - з переустановленням систем із перевіреного джерела, а не «косметичним» видаленням шкідливого файлу.

Якщо у вашій мережі вже фіксувалася підозріла активність, найкраще рішення — не чекати повторного інциденту, а звернутися до фахівців із розслідування кіберінцидентів (DFIR), які проведуть глибокий аналіз і виявлять сліди прихованої присутності.

Тренд 2. Той самий штучний інтелект, тільки по інший бік барикад

Якщо персистентність про терпіння зловмисників, то другий тренд про їхню швидкість і масштаб. Генеративний штучний інтелект, який бізнес використовує для написання текстів і коду, відкрив дзеркальні можливості для кіберзлочинців.

PromptLock, deepfake і Phishing-as-a-Service

Дослідження SoSafe за 2025 рік дає тривожну картину: 87% компаній вже стикалися з кібератаками, згенерованими за допомогою ШІ, а 90% очікують, що таких атак ставатиме більше. Це не абстрактний прогноз - це визнання індустрією того, що вже відбувається.

Найпоказовіший приклад - PromptLock, виявлений фахівцями ESET у другій половині 2025 року. Це перший у світі ransomware-as-a-service, який у реальному часі генерує шкідливі скрипти за допомогою штучного інтелекту, фактично адаптуючись до середовища жертви на льоту. Паралельно зростає якість deepfake-підробок: ESET зафіксувала вибухове поширення інвестиційних шахрайств типу «Nomani», де зловмисники використовують підроблене відео керівників компаній для соціальної інженерії.

Економіка цього тренду пояснює його швидке поширення. Phishing-as-a-Service дозволяє розгортати високоякісні персоналізовані фішинг-кампанії практично без технічних навичок - поріг входу в кіберзлочинність впав до мінімуму. CrowdStrike та Check Point фіксують масові AI-фішингові операції з рівнем персоналізації, який ще кілька років тому вимагав би тижнів ручної підготовки.

Shadow AI - нова поверхня атаки зсередини

Парадокс у тому, що та сама технологія створює вразливість і всередині компаній, які її впроваджують. Неконтрольовані промпти співробітників, «тіньовий ШІ» (shadow AI) - використання сторонніх AI-сервісів без узгодження зі службою безпеки і слабкий моніторинг подібних інструментів формують нову, раніше неіснуючу поверхню атаки.

Кіберзлочинці довго перебувають у скомпрометованій мережі компанії  ілюстрація персистентної кібератаки

Відповідь бізнесу має бути симетричною:

  • антифішинговий захист сьогодні неможливий без власної AI-аналітики пошти, здатної розпізнавати згенеровані тексти й поведінкові аномалії;
  • багатофакторна автентифікація лишається останнім бар'єром, навіть коли deepfake-дзвінок «керівника» виглядає переконливо;
  • політика управління штучним інтелектом усередині компанії: що співробітникам дозволено робити з ChatGPT та подібними сервісами, які дані можна туди вводити і хто за це відповідає.

Розпізнати AI-фішинг «на око» стає дедалі важче, тому регулярні тренінги з кібербезпеки для співробітників залишаються одним з найдешевших і найефективніших способів знизити ризик успішної атаки.

Тренд 3. Зламати вашого постачальника

Третій тренд руйнує ілюзію, що безпека компанії визначається лише її власними зусиллями. Дедалі частіше зловмисники атакують не саму ціль, а її постачальників, хмарні сервіси та довірені інтеграції і через них дістаються десятків організацій одночасно.

Кейс OnSolve CodeRED: 1,15 терабайта даних і бекап восьмимісячної давнини

Найпереконливіший приклад 2025 року - атака угруповання INC Ransom на платформу екстрених сповіщень OnSolve CodeRED у США. Зловмисники викрали приблизно 1,15 терабайта даних муніципалітетів і вивели з ладу саму систему сповіщень - інструмент, який у разі стихійного лиха чи надзвичайної ситуації безпосередньо рятує життя людей.

Розслідування SHERIFF CYBER виявило, що ключовими причинами стали елементарні помилки: паролі, які зберігалися у відкритому текстовому вигляді, та відсутність резервної інфраструктури для критичних функцій. Найбільш промовиста деталь - останній бекап системи датувався 31 березня 2025 року, тобто за вісім місяців до атаки. Це означало, що організація втратила не лише поточні дані, а й вісім місяців операційної історії.

Українська паралель: злом ukr.net

Україна має власний показовий кейс. У лютому–березні 2024 року невідома APT-група розмістила шифрований бекдор на головному порталі ukr.net - ресурсі, якому довіряють мільйони користувачів. Як зазначають фахівці холдингу SHERIFF, безпека компанії завжди прив'язана до безпеки її провайдерів: якщо вразливий вендор, атака на нього автоматично поширюється на всіх його клієнтів.

ENISA називає це посиленням «кіберзалежностей»: зловмисники цілеспрямовано шукають ключові вузли цифрового ланцюга, щоб одним ударом досягти максимального масштабу. Логіка очевидна: навіщо зламувати сто компаній окремо, якщо можна зламати одного постачальника хмарних послуг, яким користуються всі сто.

Атака на ланцюг постачання через довірених партнерів і постачальників компанії

Аудит безпеки постачальників має стати такою ж рутинною процедурою, як перевірка фінансової звітності контрагента:

  • вимагайте від вендорів доказів процедур оновлення, захисту розробки та плану реагування на інциденти;
  • мінімізуйте довірчі зв'язки через ізоляцію віртуальних машин та обов'язкову MFA для облікових записів провайдерів;
  • забезпечте незалежні резервні копії критичних сервісів із короткою точкою відновлення в ідеалі не більше тижня.

Оцінити, наскільки вразлива ваша компанія до атак через постачальників, допомагає комплексний аудит кібербезпеки, який охоплює не лише внутрішню інфраструктуру, а й довірчі зв'язки з підрядниками.

Тренд 4. Кілька годин і патч вже запізнився

Четвертий тренд стосується швидкості, з якою новостворені вразливості перетворюються на реальну зброю. Якщо раніше компанії мали дні або тижні на встановлення патча після оголошення про вразливість, то в 2025–2026 роках цей запас часу скоротився до годин.

CVE-2025-62215 та сьомий нульовий день Chrome

Показовий приклад - критична вразливість підвищення привілеїв у ядрі Windows, CVE-2025-62215, виявлена у січні 2026 року. Вона дозволяла локальному зловмиснику отримати повний контроль на рівні системи і, за повідомленнями частини вендорів, вже активно експлуатувалася ще до офіційного виходу оновлень.

Браузери виявилися не менш вразливими: Google TAG оприлюднив сьому за рік нульову вразливість у Chrome, використану в цілеспрямованих шпигунських атаках. Цей факт сам по собі промовистий: кінцеві точки (браузери звичайних співробітників) стали такою ж привабливою мішенню для просунутих груп, як корпоративні сервери.

ENISA фіксує цю динаміку прямо: у багатьох випадках атаки стартують ще до того, як більшість організацій встигає встановити оновлення. Традиційна модель «реагуємо на патч-вівторок» уже не встигає за реальністю.

Український контекст: атаки на SCADA-системи

В Україні цей тренд набуває особливого, тривожного відтінку. За даними CERT-UA, після вибухів на військових об'єктах у червні–жовтні 2025 року зловмисники почали використовувати нові вразливості систем промислової автоматизації (SCADA), маніпулюючи показниками сенсорів. Деталі цих атак залишаються здебільшого закритими, але сам факт ілюструє: нестабільне середовище створює додаткові можливості для появи нових векторів атаки.

Захист від цього тренду вимагає переходу від реактивного патч-менеджменту до проактивного:

  • автоматизоване розгортання критичних оновлень без багатоденного очікування;
  • регулярне сканування на вразливості з фокусом на ядро операційної системи, браузери та мережеве обладнання;
  • відмову від застарілих систем на кшталт Windows 10 без підтримки;
  • обмеження привілеїв на рівні початкового доступу так, щоб навіть успішна експлуатація вразливості не давала миттєвого повного контролю.

Регулярне тестування на проникнення (pentest) дозволяє виявити подібні вразливості у вашій інфраструктурі раніше, ніж це зроблять зловмисники, а безперервний моніторинг через SOC як сервіс скорочує час між появою експлойта та його виявленням у вашій мережі.

Тренд 5. «У нас нічого красти» - найдорожча помилка малого бізнесу

П'ятий тренд руйнує, мабуть, найпоширенішу ілюзію українського середнього й малого бізнесу: переконання, що масштаб компанії захищає її від уваги кіберзлочинців. Реальність насправді протилежна.

Трохи статистики

  • Понад третина малих і середніх підприємств постраждала від кібератак у 2024 році.
  • 88% інцидентів у МСБ завершилися витоком даних через ransomware - проти 39% у великих компаніях.
  • ~96% зламів стаються через фішинг і крадіжку паролів, за даними Verizon DBIR.
  • +40% - зростання кількості ransomware-атак у світі за 2025 рік, за даними ESET.
  • 75% малих компаній вважають, що масштабна атака стане для них критичною (CrowdStrike).
  • Лише 7% МСБ вважають свій бюджет на кібербезпеку достатнім.

Найпоширеніший шлях проникнення - фішинг і крадіжка паролів: за даними Verizon DBIR, вони фігурують приблизно у 96% випадків зламу. До цього додаються невиправлені вразливості в поштових системах та CRM, а також цілеспрямована соціальна інженерія. У 2025 році ESET зафіксувала зростання кількості ransomware-атак (шифрувальників) у світі на 40% порівняно з минулим роком, переважно завдяки сімействам Akira та Qilin, які найчастіше стартують із фішингу або зламаного RDP-доступу.

Той самий кейс із піратським образом Windows, описаний на початку цієї статті, добре ілюструє ціну економії на безпеці: спроба заощадити приблизно 300 доларів на ліцензії могла обернутися втратами на десятки тисяч доларів і це лише тому, що інцидент вдалося зупинити до етапу шифрування даних.

Наслідки для малого бізнесу часто фатальні. Відсутність резервних планів і фінансової «подушки» перетворює рядовий інцидент на питання виживання компанії.

Мінімальний рівень захисту для МСБ

Базовий рівень захисту не вимагає величезних інвестицій, але вимагає дисципліни:

  • блокування макросів в офісних документах;
  • заборона автозапуску з USB-носіїв;
  • відмова від застарілого та неліцензійного програмного забезпечення;
  • багатофакторна автентифікація для всіх віддалених підключень без винятку, а не лише для адміністраторів;
  • резервне копіювання за моделлю 3-2-1 (три копії даних, два типи носіїв, одна копія поза основною мережею);
  • регулярні тренування персоналу з розпізнавання фішингу, бо жодна технологія не ловить абсолютно всі атаки.

Якщо власного ІТ-відділу бракує ресурсів, щоб закрити всі ці пункти самостійно, розумною альтернативою стає консалтинг vCISO — віртуального директора з кібербезпеки, який вибудовує стратегію захисту під конкретний бюджет компанії.

Спільна економічна логіка п'яти трендів

За кожним із п'яти трендів стоїть одна й та сама економічна логіка: зловмисники, як і будь-який раціональний актор, обирають шлях найменшого опору й найбільшої віддачі.

  • Персистентні вторгнення стали вигіднішими за разові атаки, бо довготривалий доступ дозволяє монетизувати ціль багаторазово - спочатку розвідкою і крадіжкою даних, потім, за потреби, повним шифруванням.
  • Штучний інтелект знизив вартість входу в кіберзлочинність до рівня, доступного будь-кому з мінімальними технічними навичками.
  • Атаки на ланцюги постачання дають максимальний масштаб ураження за мінімальних зусиль: один вдалий злом постачальника замінює сотні окремих атак.
  • Швидка експлуатація вразливостей стала можливою завдяки автоматизації самого процесу пошуку й використання дір у захисті.
  • Малий бізнес залишається привабливою мішенню саме тому, що часто є найслабшою ланкою в довжелезному ланцюгу постачальників і партнерів великих компаній.

Іншими словами, це не п'ять окремих, не пов'язаних між собою явищ. Це п'ять проявів однієї й тієї ж тенденції: кіберзлочинність перетворюється на ефективну, масштабовану й дедалі дешевшу в експлуатації індустрію.

Кіберзлочинці довго перебувають у скомпрометованій мережі компанії

Кібербезпека - питання операційної стійкості

Для керівників компаній і членів наглядових рад головний висновок звучить неприємно, але чесно: кібербезпека більше не є технічним питанням, яке можна повністю делегувати ІТ-відділу й забути. Це питання операційної стійкості бізнесу такого ж рівня, як фінансовий ризик-менеджмент чи страхування майна.

Практично це означає кілька речей:

  1. Бюджет на кібербезпеку варто планувати, виходячи не з мінімально необхідного, а з реальної динаміки загроз — приріст у 37% за рік для складних інцидентів в Україні це не статистична похибка, а тренд, який вимагає пропорційного нарощування захисту.
  2. Безпека постачальників і партнерів має стати частиною стандартної комерційної перевірки контрагентів, а не другорядним пунктом у договорі.
  3. Плани реагування на інциденти варто не просто мати «на папері», а регулярно відпрацьовувати — різниця між компанією, яка має робочий playbook, і компанією, яка вигадує процедуру в момент кризи, вимірюється тижнями простою та мільйонами гривень збитків.

І, мабуть, найважливіше: керівництву варто прийняти, що повна непроникність недосяжна. Реалістична мета не унеможливити проникнення, а скоротити час між компрометацією та виявленням, мінімізувати збиток і забезпечити швидке відновлення. Саме цю логіку assume breach, тобто «припускай, що тебе вже зламали» - індустрія кібербезпеки дедалі активніше пропонує як новий стандарт мислення. Оцінити поточний рівень кіберстійкості компанії й побудувати план дій допомагає комплексний аудит від SHERIFF Cybersecurity.

Прогноз на 2026–2027 роки

Якщо тенденції 2025–2026 років збережуться, у найближчій перспективі варто очікувати подальшого зрощування штучного інтелекту з кіберзлочинністю від генерації шкідливого коду в реальному часі, як це вже демонструє PromptLock, до появи спеціалізованих «темних» мовних моделей, не доступних широкому загалу і призначених виключно для атак.

Атаки на ланцюги постачання, найімовірніше, продовжать зростати в масштабі: чим глибше бізнес інтегрується в хмарні екосистеми та залежить від зовнішніх постачальників послуг, тим привабливішою мішенню стають ці постачальники для зловмисників. Аналітики ENISA вже оцінюють імовірність і потенційний вплив атак через ланцюг постачання як середньо-високі з тенденцією до зростання.

Вікно між виявленням вразливості та її експлуатацією навряд чи розшириться швидше навпаки, продовжить скорочуватися в міру того, як автоматизовані інструменти пошуку й використання вразливостей удосконалюються по обидва боки барикад. А для малого та середнього бізнесу головним викликом залишиться розрив між реальним рівнем загрози та готовністю інвестувати в захист - розрив, який, судячи з нинішніх 7% компаній, що вважають свій бюджет достатнім, навряд чи зникне швидко.

Якщо ви підозрюєте, що ваша компанія вже могла бути скомпрометована, або хочете отримати незалежну оцінку рівня захищеності, команда SHERIFF Cybersecurity проводить розслідування кіберінцидентів (DFIR) та аудит кібербезпеки для бізнесу будь-якого масштабу.