Zero-click быстрее открывает вход атакующим

По данным Rapid7 за I квартал 2026 года, эксплуатация уязвимостей обогнала социальную инженерию как главный путь первичного доступа.

2026-05-26 GIGATAP Team #security
#threat-landscape#vulnerability-exploitation#zero-click

Эксплуатация уязвимостей обогнала социальную инженерию#

В Q1 2026 Threat Landscape Report компания Rapid7 фиксирует заметный сдвиг в первичном доступе: эксплуатация уязвимостей стала главным вектором и составила 38% от общего числа случаев в выводах отчета.

Это меняет задачу защиты. Обучение против фишинга и контроль учетных записей по-прежнему нужны, но они не остановят неаутентифицированный exploit, который бьет по открытому сервису. Rapid7 также пишет, что больше половины уязвимостей, которые эксплуатировали в квартале, были zero-click и доступны по сети. Проще говоря: без логина, без клика пользователя, без убедительного письма. Нужны только доступная инфраструктура и рабочий путь эксплуатации.

В отчете это подается как краткосрочный признак того, что атакующим проще масштабировать эксплуатацию уязвимостей с помощью AI, чем манипулировать поведением людей. Этот вывод стоит читать аккуратно. Он не означает, что AI — единственная причина или что социальная инженерия уходит в прошлое. Но он показывает, что экономика атак меняется. Если уязвимость публична, доступна извне и легко превращается в рабочую операцию, атакующие успевают начать раньше, чем многие организации заканчивают triage.

Rapid7 также отмечает, что активности по эксплуатации часто предшествовали всплески публичных обсуждений на форумах, в блогах и социальных платформах. Это полезный сигнал. Публичное внимание сжимает время между раскрытием, разговорами о proof-of-concept, сканированием и эксплуатацией. Видимость уязвимости еще не делает ее опасной, но расстояние между этими состояниями сокращается.

Zero-click меняет приоритеты патчей#

Zero-click уязвимости, доступные по сети, требуют другой модели срочности, чем обычные software-баги. Они ближе к периметру организации и требуют от атакующего меньше действий. Обход аутентификации, открытые контроллеры, пограничные устройства, VPN-системы и интерфейсы управления несут один и тот же базовый риск: если они доступны и эксплуатируемы, пользователь вообще не участвует в цепочке.

Здесь многие программы управления уязвимостями до сих пор отстают. Они ранжируют проблемы по severity, а затем отправляют тикеты на исправление в обычную очередь. Это плохо работает, когда уязвимость уже публично обсуждают, она затрагивает открытую инфраструктуру и не требует взаимодействия с пользователем. Важен не только вопрос «какой CVSS score?». Важен и другой: «доступно ли это из интернета, и уже ли атакующие начали движение?»

Вывод Rapid7 не доказывает, что каждой организации нужно немедленно патчить всё. Это невозможно. Но он поддерживает более узкое правило: неаутентифицированные пути, доступные из интернета, должны идти по ускоренной процедуре. Если система открыта наружу, критична для бизнеса, сложна в обновлении и часто попадает в фокус атакующих, компенсирующие меры не должны ждать квартального окна обслуживания.

Командам безопасности также не стоит слишком доверять инвентаризациям активов. Самая важная открытая система часто оказывается той, у которой нет понятного владельца: забытая админ-панель, старый VPN endpoint, контроллер, развернутый «для удобства», тестовая система, ставшая постоянной. Zero-click эксплуатация жестко наказывает устаревшие представления о том, что сейчас находится онлайн.

Геополитика добавила риск тихого закрепления#

Отчет Rapid7 также связывает активность в I квартале с геополитической напряженностью, особенно на Ближнем Востоке, где кибероперации все чаще выглядели синхронизированными с военной эскалацией. Источник описывает активность, связанную с иранским государством, против государственной инфраструктуры, финансовых сервисов и промышленных систем. Также отмечены российские и китайские кампании, сфокусированные на сборе разведданных, телекоммуникационной инфраструктуре и операциях длительного доступа.

Практический вывод не в том, что каждая компания напрямую становится целью государственного актора. Большинство — нет. Вывод в другом: побочные эффекты и брокеры доступа делают региональный конфликт значимым далеко за пределами непосредственного поля боя. Телеком, финансы, поставщики для государства, логистика, cloud service providers и промышленные операторы могут стать полезными целями из-за того, с кем и чем они связаны.

Сложнее всего защищаться от persistence. Сбои заметны. Долгий доступ специально строится так, чтобы его не видели. Если цель кампании — сбор разведданных или будущий рычаг давления, первый alert может выглядеть мелко: необычный вход, новая запланированная задача, странный tunnel, тихое изменение на edge device. Когда такие сигналы списывают на обычный шум, long dwell time становится нормой.

Для организаций, которые находятся в регионах повышенного риска или связаны с ними, это аргумент в пользу более плотного мониторинга периметра, удаленного доступа, identity-инфраструктуры и телеком-зависимостей. Речь не о панике, а о скоупинге. Геополитический риск должен влиять на то, какие активы получают больше логирования, более быстрые патчи и меньшую терпимость к необъяснимым изменениям.

Ransomware все чаще сводится к краже данных#

Rapid7 выделяет продолжающийся сдвиг к «pure extortion»: данные крадут и давят на жертву, не обязательно разворачивая ransomware payload. Это не новое явление, но отчет показывает, что направление остается сильным.

Компромисс понятен. Шифрование шумит. Оно может ломать системы, запускать incident response и повышать операционный риск для атакующего. Кража данных может быть быстрее, тише и все равно давить на жертву, если та боится регуляторных последствий, потери клиентов или публикации чувствительных файлов. В сочетании с zero-click первичным доступом модель становится еще эффективнее: скомпрометировать открытую систему, добраться до ценных данных, exfiltrate, затем угрожать.

Это ослабляет привычную модель готовности к ransomware. Backups по-прежнему нужны, но они не решают extortion, основанный на конфиденциальности. Компания может восстановить каждый сервер и все равно столкнуться с болезненной утечкой. Центр тяжести защиты смещается к сокращению путей доступа, сегментации чувствительных данных, мониторингу аномальных transfer patterns и пониманию, где лежит критичная информация.

Меняются и tabletop exercises. Вопроса «сможем ли мы восстановиться?» уже мало. Командам нужны ответы на более жесткие вопросы: к каким данным был доступ, какие юридические обязательства сработали, как быстро можно определить затронутых клиентов или партнеров и какие доказательства поддерживают публичное заявление? В случаях pure extortion само отсутствие ясности становится давлением.

Давление правоохранителей реально, но это не финал#

В отчете упомянуты действия правоохранителей в I квартале, которые нарушили работу криминальной инфраструктуры, включая изъятие RAMP и LeakBase. По оценке Rapid7, эти операции создали давление на киберпреступные группы, подтолкнули часть активности к более мелким децентрализованным сообществам и усилили внутреннее недоверие.

Это победа, но не чистая развязка. Takedown может разрушить доверие, сжечь инфраструктуру и повысить издержки. Но он редко уничтожает рынок. Криминальные операторы адаптируются: уходят на небольшие форумы, в приватные каналы, группы по приглашениям или временную инфраструктуру. Это может сделать их менее эффективными, но одновременно сложнее наблюдаемыми извне.

Правильное прочтение здесь сбалансированное, но не нейтральное. Операции правоохранителей важны. Они могут замедлять акторов, раскрывать личности и вынуждать их ошибаться. Но защитникам не стоит воспринимать изъятие marketplace как снижение краткосрочного риска. Вытесненным акторам все еще нужны деньги, у них все еще есть украденные учетные данные, и они все еще ищут открытые системы.

Что проверить командам безопасности сейчас#

Выводы Rapid7 за I квартал указывают на несколько практических проверок, которые полезнее широких предупреждений.

  • Найдите системы, доступные из интернета и позволяющие удаленное управление, аутентификацию, маршрутизацию, VPN-доступ, передачу файлов или централизованный контроль.
  • Разделяйте «critical severity» и «активно эксплуатируемо и доступно извне». Вторая категория требует более быстрого процесса.
  • Следите за публичным вниманием к уязвимостям как за операционным сигналом, а не фоновым шумом.
  • Относитесь к zero-click и неаутентифицированным edge-уязвимостям как к состоянию рядом с incident, пока они не закрыты патчем или mitigation.
  • Пересмотрите ransomware-планирование с учетом кражи данных, а не только шифрования и восстановления.
  • Мониторьте persistence на периметровых устройствах и identity-системах, особенно если организация имеет региональную или отраслевую экспозицию к геополитическим кампаниям.

Главная мысль отчета Rapid7 не в том, что атакующие стали умнее в абстрактном смысле. Она конкретнее: они выбирают более короткие пути. Публичное знание об уязвимости быстро превращается в эксплуатацию. Открытые системы снижают потребность в социальной инженерии. Кража данных снижает потребность в шумном развертывании ransomware. State-aligned кампании могут тихо сидеть там, где разрушительные действия были бы слишком заметны.

Реактивная защита слабее всего против такой комбинации. Лучше работает более узкая и быстрая позиция: знать, что открыто наружу, понимать, какие flaws реально доступны, знать, где лежат чувствительные данные, и действовать до того, как публичное внимание превратится в активную эксплуатацию.