Хакеры меняют тактику: итоги года на рынке кибербезопасности
Фото: Vladimir Andreev / URA.RU / Global Look Press
Как менялась тактика мошенников в уходящем году, каким образом они чаще всего проникают в компьютерные системы, кому больше помогает ИИ — хакерам или борцам с ними? Об основных трендах в области кибербезопасности в 2025 году и ожиданиях от 2026-го — рассказывает Денис Батранков, директор по развитию бизнеса группы компаний «Гарда».
Самое поразительное — в этом году мошенники стали меньше взламывать сети компаний: почти в 80% случаев они просто входят как обычные пользователи, с реальными паролями и логинами. Антивирусы не видят угрозы: «свой» же человек зашел.
Так вышло, во-первых, потому, что безопасники научились ловить вирусы: антивирусы поумнели, мониторинг действий стал лучше. И злоумышленники адаптировались: зачем писать сложный вредоносный код, если можно просто купить пароль?
Распахнутые двери
Анализ случаев кибермошенничества в 2025 году показал: есть четыре основные «двери», через которые злоумышленники сейчас проникают в корпоративные сети.
Первая — дыры в публичных сервисах, которые эксплуатируются примерно в трети атак. Тут все просто: после того, как где-то в мире нашли уязвимость в конкретном ПО, у компании, пользующейся им же, есть две недели на установку обновления. Не успели — извините: это как вывеска «добро пожаловать» для хакеров, потому что вредоносный софт для атаки уже в открытом доступе. Достаточно вспомнить историю с SAP в апреле 2025 года, когда за несколько недель было взломано множество серверов по всему миру. При этом у нас в России около двух тысяч организаций используют их продукты. Сколько из них успели обновиться? Вопрос открытый. Еще один фактор риска — неправильная настройка оборудования.
Вторая входная дверь — украденные учетные данные, которые используются в другой трети атак. На черном рынке сейчас крутится больше 16 млрд украденных записей — то есть по несколько штук на каждого человека. Связано это с тем, что идет рост применения инфостилеров — программ, которые незаметно для пользователя собирают пароли. Так что сегодня доступ в ИТ-системы практически любой компании можно просто купить. Стоить это будет от $100–50 000, в зависимости от размера бизнеса и отрасли. Чтобы пресекать подобные действия, бизнесу нужны специалисты, понимающие в OSINT.
Третий способ входа — социальная инженерия, которая оказывается результативной, по разным оценкам, в 25% или 50% случаев кибератак. Их глубокий анализ показывает, что голосовой фишинг вырос почти в пять раз.
Схема обычно такая: сначала электронную почту выбранного сотрудника компании заваливают спамом, потом звонит фейковая техподдержка с предложением помощи. Измученный человек соглашается поставить программу удаленного доступа. Все — через пару минут хакер внутри.
Новинка 2025 года — ClickFix. Пользователь заходит на сайт, видит надпись «подтвердите, что вы не робот», а там инструкция: нажмите такие-то клавиши, вставьте код. И человек сам, своими руками запускает вредоносное программное обеспечение. В мае-июне 2025 года в России таким образом пострадали минимум 30 компаний.
И совсем уж наглость: мошенники звонят в службу поддержки, представляются сотрудником, просят отключить двухфакторную аутентификацию — и им отключают. Потому что «коллега в командировке, телефон потерял, срочно надо».
Четвертая дверь — легитимные программы удаленного доступа. TeamViewer, AnyDesk — их же не блокируют, это нормальные рабочие инструменты. Вот хакеры и пользуются. Убедили поставить — и они уже внутри, ведь никакой защиты нет. И вот что важно понимать: это только вход. Среднее время от проникновения до начала движения по сети — 48 минут, а рекорд — 51 секунда. То есть у сотрудников служб информационной безопасности есть меньше часа, чтобы среагировать. Если реакция занимает дни, то уже поздно.
Что касается следующего года, то главный сдвиг будет в атаках на ИИ-агенты. Сейчас все внедряют автономные системы, и злоумышленники это видят. Зачем атаковать человека, если можно захватить агента? Одна грамотная prompt injection — и в инфраструктуре автономный инсайдер с полным доступом.
Еще ожидается волна атак на «облака». До сих пор это была, скорее, экзотика, но теперь злоумышленники накопили экспертизу, барьер входа снижается.
Изменились ли атаки на бизнес и граждан?
В новостях сегодня — обманутые бабушки, которым звонят «из банка» или которые продали квартиру якобы «в неясном состоянии разума». Создается ощущение, что атакуют только людей. Однако компаниям достается все больше — просто там об инцидентах принято молчать. При этом атаки все чаще нацелены на малый и средний бизнес, где софт для вымогательства денег используется почти в 9 из 10 взломов.
Согласно статистике, атаки через подрядчиков и поставщиков стали происходить вдвое чаще: было около 15% — стало 30%. Чаще всего под удар попадает госсектор: в первом полугодии на него пришелся 21% всех атак — это максимум за пять лет. Также в топе атакуемых индустрий: промышленность (13%) и финансы (около 8%).
В каждом третьем случае мошенники используют инфостилеры. В целом число попыток проникновения в ИТ-инфраструктуру организации с помощью паролей выросло в шесть раз.
При этом обывателю может казаться, что бизнес у хакеров отошел на второй план атак. Это происходит, во-первых, потому что телефонное мошенничество стало масштабируемым — помогают ИИ и автоматизация. Оно просто заметнее: каждый второй знает кого-то, кому звонили. Во-вторых, крупный бизнес подтянул защиту и реже светится в новостях. В-третьих, с граждан проще собирать деньги — не надо договариваться о выкупе, перевод уходит сразу.
ЦБ РФ насчитал 27,5 млрд рублей, украденных с банковских счетов за 2024 год. По оценкам «Сбера», по итогам 2025 года граждане могут потерять более 330 млрд рублей. Мошенники стали очень работящими.
2025 год в цифрах
Глобальный ущерб от киберпреступности — порядка $10,5 трлн в год. Фактически киберпреступность — третья «экономика» мира, уступающая только ВВП США и Китая.
Средняя стоимость утечки данных по миру ‒ около $4,4 млн, в Соединенных Штатах ‒ $10 млн (там своя специфика с судами и регуляторами, и потому кажется, что цифры завышаются намеренно). На восстановление после инцидента, в котором вымогают деньги, уходит примерно $5 млн, даже если не платить выкуп.
Что интересно, 64% жертв криптовымогательства в этом году отказались платить. Это хороший сигнал — бизнес учится. При этом среднее требование по выкупу выросло до $115 тыс.
И надо понимать, что это — лишь верхушка айсберга. Реальные цифры можно умножать на четыре для грубой оценки, ведь до полиции доходит информация менее чем о четверти киберпреступлений.
ИИ — помощник или враг?
На рынке кибербезопасности использование искусственного интеллекта приносит и вред, и пользу. Это классическая гонка вооружений: кто быстрее адаптируется — тот и выигрывает. Пока атакующие, если честно, чуть впереди.
Для примера: фишинговые письма, которые пишет ИИ, открывают больше половины получателей, а написанные людьми — 12%. Почему? Да потому что ИИ не делает тех примитивных ошибок, по которым мы раньше вычисляли мошенников. Он пишет грамотно, убедительно, персонализировано.
Дипфейки — это уже обыденность. Был случай, когда финансовому директору устроили видеозвонок с «генеральным». Все выглядело натурально: лицо, голос, манера говорить. Итогом стал перевод $25 млн. Вот результативность черного ИИ.
А в ноябре американская технологическая компания в сфере искусственного интеллекта Anthropic сообщила о первой, по сути, полностью автономной кибератаке. Их инструмент использовали для атаки на финансовые институты, и там почти не было человеческого участия: ИИ сам разведал, сам проник, сам все сделал. Это пока редкость, но направление понятное.
С другой стороны, защита тоже использует ИИ, и эффект заметный. Компании с нормальной ИИ-автоматизацией ловят взломы на 80 дней быстрее и экономят под $2 млн на инциденте. Среднее время обнаружения и сдерживания утечки в этом году составляет 241 день и является минимальным показателем за 9 лет. В этом заслуга именно автоматизации.
Что это значит на практике? ИИ снижает барьер входа для атакующих. Раньше нужно было владеть техническими навыками специалиста, теперь — необязательно. При этом ИИ дает и защитникам инструменты, которые раньше были недоступны.
Выигрывает тот, кто внедряет быстрее. Компания без ИИ-защиты сейчас — это как компания без антивируса лет 15 назад. Конечно, можно попытаться обойтись и так, но категорически не рекомендуется.
Еще по теме
