SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga

Icon

SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga

2026 m. gegužę aiškiai vyravo tapatybės ir prisijungimo duomenų vagystės. Sukčiavimo (angl. phishing) kampanijos kaip ir dažniausiai – nukreiptos į „Microsoft 365“ bei kitas el. pašto paskyras, o pažangiausios jų realiu laiku apeina dvigubą autentifikaciją (AiTM). iš 10 įvykių per gegužės mėnesį buvo susiję būtent su prisijungimo duomenų rinkimu ar sesijų užgrobimu. Tą patį mėnesį Lietuvą sukrėtė didelio masto valstybės registrų nutekėjimas, kurio pagrindas, panašu, taip pat yra piktavalių užvaldyti teisėti prisijungimo duomenys. Tai geriausiai iliustruoja pagrindinę mėnesio žinią: šiandien įsilaužiama ne „laužiant duris“, o prisijungiant svetimais raktais. 

Sukčiavimas ir AiTM: vien MFA nepakanka 

Daugiausia gegužės įvykių buvo sukčiavimo el. laiškai, vedantys į prisijungimo duomenų rinkimo puslapius, dažniausiai imituojančius „Microsoft 365“ prisijungimą. Kelios kampanijos naudojo AiTM (angl. adversary-in-the-middle) techniką: aukai prisijungus, piktavalis realiu laiku perima komunikaciją ir pavagia sesijos tokeną (token), taip apeidamas net įjungtą MFA.  

Buvo stebimas ir prekės ženklų klastojimas: fiksavome bandymus apsimesti interneto paslaugų teikėju, siekiant pateikti netikras sąskaitas ir taip išvilioti pinigus, taip pat banko prisijungimo puslapių imitaciją per kompromituotą užsienio domeną, taikytą Lietuvos vartotojams. Atakuotojai vis dažniau slepiasi už teisėtų debesų paslaugų (pvz., „Cloudflare Workers“) ir nukreipimo grandinių, todėl tokius laiškus sunkiau atfiltruoti. Tendencija ne lokali: per pastaruosius metus AiTM atakų skaičius pasaulyje išaugo apie 146 %, o kovą Europolas sustabdė didelę „phishing-as-a-service“ platformą „Tycoon 2FA“. Išvada paprasta – MFA būtinas, bet to nepakanka: reikia taikyti atsparų sukčiavimui (angl. phishing-resistant) MFA ir stebėti sesijų panaudojimų anomalijas, indikuojančias galimą jų vagystę. 

ClickFix – „Lumma Stealer“ 

ClickFix atakos, dominavusios ir ankstesniais mėnesiais, gegužę išliko aktyvios. Aukai parodomas netikras CAPTCHA ar „klaidos“ puslapis, raginantis „patvirtinti“ arba „pataisyti“ prieigą – įklijuojant komandą į „Windows Run“ langelį. Taip paleidžiama PowerShell komanda, kuri „Lumma Stealer“ infostealerį įkrauna tiesiai į atmintį, nepaliekant failų pačiame diske. Per gegužę užfiksavome du tokius ClickFix „Lumma“ pavyzdžius. Kadangi kenkėjiškas kodas veikia atmintyje, signatūromis (angl. signature based) grįsta apsauga jį sunkiai aptinka, būtina elgsenos (angl. behavioral) analizė. 

Kryptingos atakos prieš Lietuvos taikinius 

Šalia masinio sukčiavimo matėme ir tikslingų bandymų įsilaužti veiksmų, fiksavome SSL/VPN prisijungimo bandymus naudojant lietuvišką naudotojų vardų sąrašą, kas rodo, kad atakuotojai iš anksto rinko informaciją apie konkrečią organizaciją. Stebėjome ir automatizuotus viešai pasiekiamų sistemų skenavimus bei bandymus išnaudoti pažeidžiamumus (pvz., SSRF), taip pat kenkėjiško kodo platinimą per suklastotus diegimo paketus ir CDN (pvz., „trojanizuotą JDownloader“, „DriverHub“ PUA). Skirtingi metodai, bet bendras vardiklis tas pats – pirminė prieiga per žmogų arba per neapsaugotą viešą paslaugą. 

Kas dar vyko 2026 m. gegužę?

Registrų centro atvejis
Registrų centro atvejis
Lietuvoje atskleistas vienas didžiausių pastarojo meto incidentų: iš valstybės registrų (nekilnojamojo turto ir juridinių asmenų) neteisėtai atsisiųsta daugiau nei 600 000 įrašų. Viešai teigiama, jog atakuotojai pasinaudojo pavogtais teisėtais prisijungimo duomenimis ir užklausas vykdė iš užsienio kelis mėnesius. Prezidentas G. Nausėda incidentą siejo su „priešiškomis valstybėmis“.
2025 m. Lietuvos nacionalinė kibernetinio saugumo būklė
2025 m. Lietuvos nacionalinė kibernetinio saugumo būklė
NKSC pristatė 2025 m. nacionalinę kibernetinio saugumo būklės ataskaitą: juridinių asmenų sistemų pažeidimų skaičius beveik padvigubėjo (nuo 155 iki 280). 2026 m. prognozuojama, kad dirbtinis intelektas atakas darys greitesnes ir įtikinamesnes, o tiekimo grandinė liks viena pagrindinių sisteminių silpnybių.

Žvilgsnis į ateitį 

Pagrindinės įžvalgos 

Pavogti teisėti prisijungimo duomenys išlieka vienu iš pagrindinių įsilaužimo vektorių. MFA būtina, tačiau AiTM ją apeina, todėl reikia atsparios sukčiavimui MFA, sesijų tokenų pernaudojimo bei neįprastų prisijungimų stebėsenos. 

Sukčiavimo laiškai vis dažniau ateina iš teisėtų, bet kompromituotų pašto dėžučių ar patikimų domenų ir slepiasi už debesų paslaugų, kurių tradiciniai pašto filtrai nefiksuoja. ClickFix ir infostealer tipo virusai veikia atmintyje, be failų, todėl signatūromis grįsta apsauga jų negaudo – reikia elgsenos ir konteksto analizės bei nuolatinio darbuotojų mokymo. 

Žvilgsnis į priekį 

Organizacijoms verta sutelkti dėmesį į: 

  • atsparios sukčiavimui (angl. phishing-resistant) MFA diegimą ir sesijų tokenų bei prisijungimų anomalijų stebėseną; 
  • teisėtų paskyrų užklausų apimties ribojimą ir auditą; 
  • ClickFix tipo atakų aptikimo gebėjimų stiprinimą (elgsenos analizė) ir darbuotojų mokymą atpažinti prekės ženklų klastojimą. 

Šaltiniai 

Nacionaline-kibernetinio-saugumo-ataskaita-2025.pdf

https://www.elastic.co/security-labs/tycoon-2fa-aitm-detection-engineering 

https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/ 

https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html 

https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/ 

 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.

Kitos naujienos ir istorijos

SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
SOCshare: Kibernetinio saugumo apžvalga 2025 m. lapkritį
SOCshare: Kibernetinio saugumo apžvalga 2025 m. lapkritį
SOCshare kibernetinio saugumo apžvalga: 2025 m. spalis 
SOCshare kibernetinio saugumo apžvalga: 2025 m. spalis