В 2026 году хакеры будут чаще использовать легитимные инструменты для атак
3 мин
37
Специалисты BI.ZONE представили исследование Threat Zone 2026. Работа основана на анализе 100 кластеров, атаковавших компании России и СНГ в 2025 году. Как сообщили корреспонденту издания «Киберболоид» на пресс-конференции, посвящённой исследованию, в 2026 году легитимные инструменты и данные из утечек будут использовать активнее. Задача атакующих — минимизировать вероятность автоматического обнаружения.
По отчёту, ситуация изменилась. Шпионаж вырос с 21 до 37%, хактивизм — с 12 до 16%. Финансовая мотивация снижается. В 2023 году было 76%, в 2024-м — 67%, в 2025-м — 47%. Но в абсолютных цифрах атак за деньги осталось столько же. Общее число атак выросло за счёт других целей.
Финансовые атаки продолжат лидировать. Причина простая: атаковать за выкуп можно любую организацию, выбор целей широкий. Поэтому денежная мотивация сохранится.
Госсектор остаётся на первом месте — 14% всех атак. Финансы — на втором, хотя доля снизилась: 11% против 13% годом ранее. Третье место делят транспорт с логистикой и ретейл с электронной коммерцией — по 10%.
На втором месте — службы удалённого доступа, на которые приходится 18%. Пароли получали перебором или через стилеры. Компрометация подрядчиков расположилась на третьей позиции — 9%.
Эксплойты для публичных приложений стали менее популярны. В 2024 году это был основной вектор. В 2025 году доля упала с 13 до 7%.
Связь с командными серверами идёт через HTTP и HTTPS. Это позволяет маскироваться под легитимный трафик. Часто используют несколько каналов: туннели, удалённый доступ, легитимные веб-сервисы. Из последних лидирует Telegram.
Злоумышленники активно применяют легитимные инструменты и учётные данные из утечек. Цель — избежать автоматического обнаружения антивирусами. Общедоступные фреймворки эксплуатации используются, но выбирают менее известные. Популярное вредоносное ПО применяют в основном против компаний с низкой киберзрелостью.
Специалисты отметили, что количество атак на российские организации вряд ли снизится. Однако, вероятно, они будут чаще и сложнее. Причина — доступность ИИ-инструментов, которые помогают компенсировать недостаток знаний у атакующих с низкой квалификацией.
Пока ИИ в атаках используют менее чем в 1% случаев. Например, для написания вредоносных скриптов. Но тренд на использование ИИ будет усиливаться. Доступность таких инструментов поддерживает высокий уровень автоматизации атак.
Одновременно ИИ развивается в сфере защиты. В мониторинге и реагировании он помогает автоматизировать обработку инцидентов. Это снижает рутинную нагрузку на аналитиков SOC.
Фишинг стал популярнее. С 57% в 2024 году до 64% в 2025 году. Каждый четвёртый кластер регулярно использовал вредоносные вложения в письмах. Тренд сохранится, но метод меняется. Злоумышленники чаще используют мессенджеры и соцсети, не только почту.
На втором месте — службы удалённого доступа, на которые приходится 18%. Пароли получали перебором или через стилеры. Компрометация подрядчиков расположилась на третьей позиции — 9%. Эксплойты для публичных приложений стали менее популярны. В 2024 году это был основной вектор. В 2025 году доля упала с 13 до 7%.
Связь с командными серверами идёт через HTTP и HTTPS. Это позволяет маскироваться под легитимный трафик. Часто используют несколько каналов: туннели, удалённый доступ, легитимные веб-сервисы. Из последних лидирует Telegram. Злоумышленники активно применяют легитимные инструменты и учётные данные из утечек. Цель — избежать автоматического обнаружения антивирусами. Общедоступные фреймворки эксплуатации используются, но выбирают менее известные. Популярное вредоносное ПО применяют в основном против компаний с низкой киберзрелостью.
Специалисты отметили, что количество атак на российские организации вряд ли снизится. Однако, вероятно, они будут чаще и сложнее. Причина — доступность ИИ-инструментов, которые помогают компенсировать недостаток знаний у атакующих с низкой квалификацией. Пока ИИ в атаках используют менее чем в 1% случаев. Например, для написания вредоносных скриптов. Но тренд на использование ИИ будет усиливаться. Доступность таких инструментов поддерживает высокий уровень автоматизации атак.
Одновременно ИИ развивается в сфере защиты. В мониторинге и реагировании он помогает автоматизировать обработку инцидентов. Это снижает рутинную нагрузку на аналитиков SOC.
