0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Пять способов взломать бизнес через облако. Аналитики описали главные угрозы ушедшего года

Recorded Future Insikt Group SageMaker Bedrock облачные угрозы вымогательское ПО учетные данные
Пять способов взломать бизнес через облако. Аналитики описали главные угрозы ушедшего года
Recorded Future Insikt Group SageMaker Bedrock облачные угрозы вымогательское ПО учетные данные

Сфера кибербезопасности столкнулась с вызовами нового уровня.

image

Команда Insikt Group, входящая в структуру Recorded Future*, опубликовала отчёт о ландшафте угроз для облачных сред в 2025 году. Аналитики фиксируют рост атак, в которых злоумышленники используют легитимные облачные сервисы, доверенные учётные записи и встроенные функции провайдеров вместо классического вредоносного ПО. Облако всё чаще становится не только целью, но и инструментом атаки.

Авторы выделяют пять ключевых направлений: эксплуатация уязвимостей и ошибок конфигурации, злоупотребление облачными сервисами, облачные программы-вымогатели, кража учётных данных и компрометация третьих сторон. Чаще всего первоначальный доступ получают через уязвимые или неправильно настроенные сервисы, опубликованные в интернете, а также через украденные пароли и токены. После проникновения атакующие двигаются по гибридной инфраструктуре, захватывают синхронизированные каталоги и роли с повышенными правами, чтобы получить контроль над всей облачной средой.

Отчёт показывает, что злоумышленники всё реже разворачивают большое количество исполняемых файлов. Вместо этого они используют штатные API и консоли управления для шифрования данных, удаления резервных копий, изменения ключей и массовой модификации хранилищ. В атаках с вымогательством они полагаются на встроенные механизмы шифрования, что усложняет обнаружение — активность выглядит как обычные административные действия. При этом традиционные программы-вымогатели уступают место новым схемам монетизации, не предполагающим шифрования данных жертвы.

Отдельный тренд — регистрация собственных облачных ресурсов для размещения инфраструктуры управления и вывода данных. Трафик к популярным SaaS-платформам часто маскируется под легитимный, поэтому каналы управления через календари или облачные хранилища сложнее отличить от повседневной работы. При этом классические DDoS-атаки против облаков теряют эффективность из-за развитых механизмов фильтрации у провайдеров.

В 2025 году усилился интерес к сервисам машинного обучения и большим языковым моделям. Злоумышленники используют скомпрометированные среды разработки и роли с избыточными правами для захвата Amazon SageMaker и Amazon Bedrock, подменяют конфигурации guardrail и источники данных, внедряют вредоносный код в цепочки CI/CD. Зафиксированы случаи, когда вредоносные программы обращались к LLM для динамической генерации команд, что усложняет сигнатурное выявление.

Компрометация поставщиков и SaaS-платформ остаётся одним из самых болезненных сценариев. Захват доверенных интеграций, OAuth-приложений или систем управления привилегиями позволяет атаковать сразу несколько клиентов через один канал. Аналитики подчёркивают, что по мере роста числа облачных сервисов увеличивается и поверхность атаки, а нехватка квалифицированных специалистов приводит к дрейфу конфигураций и появлению «слепых зон».

По оценке Insikt Group, кража данных остаётся главным итогом большинства инцидентов, однако всё чаще злоумышленники сочетают её с разрушительными действиями и шантажом. Чем дольше атакующий удерживает доступ, тем выше риск для всей облачной инфраструктуры. Облако из удобной среды для масштабирования бизнеса окончательно превратилось в поле постоянного противостояния, где успех зависит от контроля прав доступа, мониторинга и дисциплины конфигураций.

* Recorded Future признана нежелательной организацией в России.