Исследование Threat Zone 2026: стали известны тенденции и прогнозы кибератак
фото: фрипик
За последние два года наблюдается значительная трансформация мотивационной структуры кибератак, что подтверждается данными отчета «Threat Zone 2026» от BI.ZONE. Доля инцидентов, мотивированных исключительно финансовой выгодой, снизилась с 76% в 2023 году до 47% в 2025 году. Однако этот факт не должен служить основанием для ослабления мер кибербезопасности. Злоумышленники переориентировались на менее очевидные цели, что свидетельствует о повышении их адаптивности и стратегического мышления.
Исследование BI.ZONE Threat Intelligence, BI.ZONE TDR и BI.ZONE DFIR, основанное на анализе активности более 100 хакерских групп, атакующих организации в России и странах СНГ в 2025 году, выявило ключевые тенденции в мотивации и методах кибератак.
Основные мотивы кибератак
В 2025 году наблюдается значительное увеличение числа атак, связанных со шпионажем (37% против 21% в предыдущем году) и хактивизмом (16% против 12%). Эти два мотива в совокупности составили более половины всех зарегистрированных инцидентов, что свидетельствует о смещении акцентов в стратегии киберпреступников.
Снижение доли атак с финансовым мотивом с 76% до 47% может быть обусловлено временным фактором или изменением тактики злоумышленников. Тем не менее, абсолютное количество таких атак остается значительным, что указывает на их высокую экономическую привлекательность. Эксперты предполагают, что в среднесрочной перспективе финансовый мотив вновь станет доминирующим, учитывая, что компании всех отраслей остаются уязвимыми для вымогательства, что расширяет возможности киберпреступников.
Наиболее уязвимые секторы экономики
Государственный сектор продолжает оставаться самой атакованной отраслью, на которую приходится 14% всех инцидентов. Это обусловлено его стратегической значимостью и большим объемом обрабатываемой информации. На втором месте по числу атак находится финансовый сектор с долей 11%, что связано с его высокой привлекательностью для киберпреступников из-за наличия значительных финансовых ресурсов и конфиденциальной информации.
Транспорт и ритейл, включая электронную коммерцию, занимают третье место с равным количеством атак (по 10%). Эти секторы характеризуются высокой степенью цифровизации и наличием значительных объемов данных, что делает их привлекательными целями для злоумышленников.
Эволюция методов кибератак
Фишинг продолжает оставаться основным методом атак, несмотря на предпринимаемые меры по его предотвращению. В 2025 году 64% целевых инцидентов начались с фишинговых писем (против 57% в 2024 году). Каждый четвертый злоумышленник использует вредоносные вложения, что свидетельствует о высокой эффективности данного метода. Ожидается, что в будущем фишинг будет распространяться на мессенджеры и социальные сети, что требует от организаций разработки комплексных стратегий защиты.
Удаленный доступ остается вторым по популярности методом (18% атак), что обусловлено ростом числа удаленных работников и увеличением числа корпоративных приложений, требующих удаленного доступа. Киберпреступники получают доступ к системам через подбор паролей и использование стиллеров для кражи учетных данных, что подчеркивает необходимость внедрения многофакторной аутентификации и регулярного обновления паролей.
Компрометация подрядчиков остается третьим по популярности методом (9% атак), что свидетельствует о недостаточной защищенности цепочек поставок и необходимости усиления контроля за подрядчиками.
Эксплуатация уязвимостей в публичных приложениях снизилась с 13% в 2024 году до 7% в 2025, что может быть связано с усилением мер по устранению уязвимостей и повышением осведомленности разработчиков о необходимости обеспечения безопасности.
Тактика злоумышленников
Киберпреступники демонстрируют высокую степень адаптивности, используя легитимные сетевые протоколы (HTTP/S) и различные каналы связи, включая туннелирование и публичные веб-сервисы. Это позволяет им оставаться незамеченными и эффективно осуществлять атаки. Наиболее популярным инструментом для управления атаками стал Telegram, что свидетельствует о его высокой эффективности и популярности среди киберпреступников.
Снижение эффективности автоматического обнаружения
Злоумышленники активно используют легитимные инструменты и данные из утечек для обхода автоматических систем обнаружения. Они также применяют малозаметные фреймворки и распространенное вредоносное программное обеспечение, что затрудняет их обнаружение. Это требует от организаций внедрения комплексных систем защиты, включающих в себя как автоматические, так и ручные методы обнаружения.
Роль искусственного интеллекта (ИИ) в кибератаках
ИИ играет все более значимую роль в кибератаках, хотя и используется пока менее чем в 1% атак. Современные ИИ-инструменты позволяют киберпреступникам автоматизировать атаки, что делает их более эффективными и менее заметными. Однако внедрение ИИ также создает новые вызовы для кибербезопасности, требуя от организаций разработки соответствующих стратегий защиты.
Со стороны защитников ИИ активно внедряется для мониторинга и реагирования на инциденты, что позволяет снизить нагрузку на аналитиков и ускорить обработку событий. Это способствует повышению эффективности кибербезопасности и снижению рисков.
Комментарий эксперта
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, подчеркнул: «Киберпреступники будут использовать легитимные инструменты и данные из утечек для обхода автоматических средств защиты. Для эффективного противодействия требуется наличие минимального набора решений класса EDR (Endpoint Detection and Response) и PAM (Privileged Access Management), а также комплексного проактивного подхода. Не следует ожидать снижения количества или сложности кибератак на российские организации. Напротив, внедрение ИИ может способствовать увеличению их числа, компенсируя недостаток квалификации у некоторых злоумышленников».
