48 часов — и майнер уже в системе. Google Cloud рассказал, как хакеры научились атаковать облака быстрее, чем компании успевают закрыть дыры

Согласно новому отчёту Google Cloud, хакеры начали взламывать облачные сервисы почти сразу после публикации уязвимостей. Если раньше между раскрытием проблемы и первыми атаками проходили недели, теперь злоумышленникам хватает нескольких дней.

Документ Cloud Threat Horizons Report H1 2026 показывает заметное изменение тактики атак. Во второй половине 2025 года злоумышленники всё чаще использовали уязвимости в стороннем программном обеспечении, установленном пользователями в облаке. Такие атаки составили 44,5% случаев первоначального доступа. Для сравнения: в начале года доля подобных инцидентов составляла всего 2,9%. Одновременно атаки через слабые или отсутствующие пароли снизились с 47,1% до 27,2%.

Сократилось и время между публикацией уязвимости и её активной эксплуатацией. В одном из случаев майнер XMRig начали распространять примерно через 48 часов после раскрытия критической ошибки React2Shell. По наблюдениям специалистов, злоумышленники всё чаще автоматизируют поиск и эксплуатацию уязвимых приложений, размещённых в облачных средах.

При этом основной целью атак остаётся кража данных. В 83% расследованных инцидентов злоумышленники получали доступ через компрометацию учётных записей, а в 73% случаев атакующие пытались похитить информацию. Часто для этого используют легитимные каналы доступа и инструменты, чтобы действовать незаметно и долго сохранять присутствие в инфраструктуре.

Заметно выросло число атак с использованием социальной инженерии по телефону. В таких схемах злоумышленники звонят сотрудникам компаний или службе поддержки и убеждают изменить параметры многофакторной аутентификации или выдать доступ к учётной записи. Подобные операции проводили, например, группировки UNC3944, UNC6040 и UNC5356.

Отдельную угрозу представляют инсайдеры. Анализ более тысячи судебных дел показал, что в 91% случаев внутренние нарушители похищали корпоративные данные. Раньше чаще использовали электронную почту или внешние носители, но теперь быстро растёт применение облачных хранилищ – как корпоративных, так и личных аккаунтов сервисов вроде Google Drive или Dropbox.

В отчёте описана и атака северокорейской группировки UNC4899 на криптовалютную компанию. Злоумышленники обманом убедили разработчика загрузить архив с вредоносным кодом, затем проникли в корпоративную сеть, получили доступ к кластеру Kubernetes и изменили настройки сервисов. В результате атакующие получили доступ к базе данных и вывели криптовалюту на несколько миллионов долларов.

Ещё один описанный инцидент показал, как атака на цепочку поставок программного обеспечения может привести к захвату облачной инфраструктуры. Вредоносный пакет QUIETVAULT в репозитории NPM похитил токен разработчика GitHub. Через систему непрерывной интеграции злоумышленники получили временные ключи доступа к облачной платформе и менее чем за 72 часа получили права администратора. После этого атакующие скачали данные из облачного хранилища и уничтожили часть инфраструктуры.

По прогнозу авторов отчёта, давление на облачную безопасность будет расти. На фоне геополитических конфликтов, крупных международных событий и новых требований регуляторов компании будут чаще сталкиваться с атаками на облачные сервисы, утечками данных и попытками саботажа журналов событий, которые используются при расследовании инцидентов.