Google Cloud подчеркивает изменение тактики программ-вымогателей, нацеленных на системы резервного копирования
Как подробно описано в отчёте «Горизонты угроз в облаке» за второе полугодие 2025 года, исследователи Google обнаружили группы постоянных угроз повышенной сложности, включая UNC3944, UNC2165 и UNC4393, которые активно удаляют процедуры резервного копирования, повреждают сохранённые данные и изменяют права доступа пользователей с целью предотвращения восстановления данных. В отчете отмечается, что новая тактика значительно отличается от предыдущей: злоумышленники стремятся стереть все оставшиеся связи, чтобы ускорить выплату выкупа за счет устранения путей восстановления.
Ключевой тенденцией, отмеченной в отчете, является возрастающая сложность восстановления работоспособности систем после кибератак, поскольку злоумышленники теперь намеренно создают сценарии длительного простоя. Такая тактика приводит к каскадным сбоям в работе бизнеса, которые выводят из строя не только производственные среды, но и необходимые для восстановления инструменты и инфраструктуру.
В отчёте указывается, что компрометация учётных данных и изменение конфигурации остаются основными векторами первоначального доступа, задействованными в 47% и 29% случаев соответственно. Неудивительно, что утечка учётных данных остаётся актуальной проблемой: в отчёте подчёркивается необходимость улучшения безопасности идентификационных данных и управления состоянием.
Также отмечается продолжающееся злоупотребление облачными сервисами, такими как Google Drive, GitHub и Dropbox, для размещения вредоносных файлов-обманок. Было обнаружено, что злоумышленники распространяют вредоносные файлы, часто замаскированные под безобидные PDF-файлы, размещенные в облачных сервисах, но сами эти файлы запускают фоновую загрузку вредоносного ПО.
В заключение отчёта приводятся советы по снижению растущих угроз кибербезопасности: Google внедрила несколько обновлений в свою экосистему, включая процесс загрузки проверенных CRX-расширений браузера Chrome, запущенный в мае. Эта функция добавляет второй уровень аутентификации с использованием закрытых ключей разработчика для предотвращения вредоносных обновлений расширений браузера в случае кражи OAuth-токена или компрометации учётной записи.



