Новости | 20 января 2026

Киберугрозы 2025 года: Детальный анализ ландшафта атак и стратегический прогноз на 2026

Киберугрозы 2025 года: Детальный анализ ландшафта атак и стратегический прогноз на 2026

Резюме для руководителя

2025 год стал поворотным моментом в истории информационной безопасности, ознаменовавшись беспрецедентным скачком как в масштабах, так и в технологической изощренности киберугроз. Мы наблюдаем формирование «новой нормы», где количество инцидентов достигло показателя в 11 000 атак ежедневно по всему миру. Экономические последствия этих действий катастрофичны: совокупный глобальный ущерб прогнозируется на уровне $10,5 триллионов.

Фундаментальным изменением ландшафта стало массовое внедрение злоумышленниками генеративного искусственного интеллекта. Сегодня 89% фишинговых атак генерируются нейросетями, что делает их семантически и стилистически неразличимыми от легитимной деловой переписки.

Для организаций, оперирующих в периметре СНГ, ситуация остается критически острой. На долю России и сопредельных государств приходится от 14% до 18% всех успешных кибератак в мире, при этом 72% атак внутри региона целенаправленно фокусируются на российской инфраструктуре. Это требует от руководителей служб ИБ (CISO) не просто обновления технических средств защиты, а коренного пересмотра стратегии безопасности.

1. Топ-5 глобальных киберугроз 2025 года: Сравнительная метрика воздействия

Анализ инцидентов текущего года позволил выделить пять ключевых векторов атак, которые наносят наибольший финансовый и репутационный ущерб бизнесу и государственным структурам.

1.1. AI-Powered Phishing & Social Engineering (Фишинг и социальная инженерия на базе ИИ)

Традиционный фишинг, который мы знали ранее — с орфографическими ошибками, странным форматированием и нелепыми просьбами, — ушел в прошлое. На смену ему пришел Smart Phishing.

Аналогия для понимания:
Если раньше фишинговая рассылка напоминала «ковровую бомбардировку» типовыми листовками, то сегодня ИИ действует как снайпер-психолог. Нейросеть пишет письмо с безупречной грамматикой, используя собранную из открытых источников личную информацию жертвы (любимые рестораны, имена коллег, стиль общения начальника). Система обучается на тысячах реальных перехваченных писем конкретной компании и генерирует контент, который невозможно отличить от письма доверенного коллеги, за считанные минуты.

Ключевые показатели эффективности атак:

  • 83–89% всех фишинговых кампаний в 2025 году содержат контент, сгенерированный ИИ.
  • Зафиксирован феноменальный рост фишинга на 4 151% с момента публичного релиза ChatGPT в конце 2022 года.
  • Ежедневно отправляется 3,4 миллиарда вредоносных писем.
  • 30% организаций в 2024–2025 годах пострадали от голосовых дипфейков (vishing), когда ИИ подделывал голос руководителя.

Реальный кейс: Эволюция BEC (Business Email Compromise)
В 2025 году злоумышленники вывели компрометацию деловой переписки на новый уровень. Используя ИИ, они создавали идеальные копии писем от генеральных директоров с требованием срочного перевода средств. Средний ущерб от одной успешной атаки BEC теперь превышает $83 000.
Более того, атаки стали полностью автоматизированными: одна ИИ-система способна одновременно поддерживать диалог с сотней сотрудников в реальном времени, адаптируя тон, аргументацию и давление в зависимости от ответов жертвы.

1.2. Ransomware-as-a-Service (RaaS — Вымогательство как услуга)

Модель RaaS демократизировала киберпреступность, снизив порог входа до минимума. Теперь для проведения атаки не нужно быть хакером — достаточно быть «менеджером».

Аналогия для понимания:
RaaS работает по принципу франшизы или агрегатора такси. Исполнитель (аффилиат) не пишет вредоносный код сам. Он арендует доступ к готовому «оружию» у разработчиков, проводит атаку и платит «комиссию» в размере 20–30% от полученного выкупа. Это привело к тому, что атаки могут организовывать люди без глубоких технических знаний, просто покупая доступы на теневых форумах.

Статистика угрозы:

  • Рост атак по модели RaaS составил 34% в первой половине 2025 года по сравнению с аналогичным периодом 2024 года.
  • Средняя сумма требуемого выкупа выросла с 2 млн в 2024 году до 3,2 млн в 2025 году.
  • На теневых рынках наблюдается взрывной рост предложений готовых наборов инструментов (toolkits) для шифрования.

Реальный кейс: Fox Infostealer & NetWalker
Ярким примером служит группировка NetWalker. Их ПО продается как полноценный SaaS-сервис с удобным веб-интерфейсом. Преступники оформляют подписку через портал, загружают шифровальщик, получают инструкцию по внедрению на серверы жертв и генерируют записку с требованием выкупа. Только за 2025 год исследователи обнаружили более 14 новых брендов RaaS, что демонстрирует невероятную адаптивность преступного сообщества: как только полиция ликвидирует одну группу, на её месте мгновенно появляются новые.

1.3. Классический Ransomware и эволюция вымогательства

Шифровальщики остаются доминирующей угрозой, но их тактика изменилась. Простое шифрование данных уже не гарантирует оплаты, поэтому хакеры перешли к тактике тотального давления.

Аналогия для понимания:
Представьте, что грабитель не просто запирает ваши ценности в сейфе, код от которого есть только у него. Он делает копии всех ваших документов, интимных фото и финансовых отчетов. Если вы отказываетесь платить за код от сейфа, он угрожает разослать эти копии вашим конкурентам, налоговой инспекции и журналистам. Это и есть двойное вымогательство.

Анатомия атаки:

  • Доля: Ransomware составляет 28% от всех инцидентов с вредоносным ПО.
  • Активность: В Q3 2025 года активно действовали 85 групп-вымогателей.
  • Двойная экстрекция (Double Extortion): Применяется в 70% случаев. Хакеры шифруют данные и угрожают их публикацией. Статистика показывает, что жертвы платят в 3,4 раза чаще и больше при такой тактике.
  • Тройная экстрекция (Triple Extortion): Новейший тренд, охватывающий 32% атак. Схема: Шифрование + Угроза слива данных + DDoS-атака на инфраструктуру жертвы для полного паралича бизнеса. Выплаты в таких случаях в 4,2 раза выше средних.

Реальный кейс: Возрождение LockBit 5.0
Группировка LockBit, доминировавшая на рынке в 2023 году (34% всех атак), была разгромлена международной полицейской операцией в начале 2024 года. Однако в сентябре 2025 года бренд вернулся с версией LockBit 5.0. Группировка продемонстрировала пугающую живучесть: в первые недели после возвращения было скомпрометировано более 15 крупных организаций (65% в США, остальные в Европе и Азии). LockBit 5.0 внедрила строжайшую операционную безопасность: уникальные учетные данные для каждого аффилиата и ведение переговоров исключительно через защищенные приватные порталы в Tor.

1.4. Supply Chain Attacks (Атаки на цепочку поставок)

Это наиболее опасный тип атак с точки зрения коэффициента успеха. Злоумышленники компрометируют доверенное ПО, которое жертва устанавливает добровольно.

Аналогия для понимания:
Вместо того чтобы штурмовать крепостные стены (взламывать периметр компании), хакеры отравляют колодец, из которого пьет весь город. Заражая обновление популярного программного обеспечения на этапе его разработки, они получают доступ ко всем клиентам вендора одновременно.

Показатели угрозы:

  • Хотя атаки на цепочки поставок составляют лишь 8% от общего числа, их результативность (success rate) достигает рекордных 92%. Для сравнения, прямые атаки успешны лишь в 28% случаев.
  • Исторические прецеденты (SolarWinds, MOVEit) показывают, что одна уязвимость может заразить тысячи организаций.

Реальный кейс: MOVEit & Clop Ransomware
В июне 2023 года группа Clop эксплуатировала уязвимость нулевого дня в системе MOVEit Transfer (корпоративный стандарт для безопасной передачи файлов). Используя SQL-инъекцию, они внедрили веб-оболочку LEMURLOOT. Это позволило им выкачать базы данных жертв еще до развертывания шифровальщика. Пострадали такие гиганты, как BBC и British Airways. В 2025 году отголоски этой тактики продолжают влиять на рынок — хакеры ищут «узкие места» в популярном софте для массового поражения.

1.5. Zero-Day Exploits (Эксплойты нулевого дня)

Атаки через уязвимости нулевого дня — это гонка, в которой у защитников нет форы.

Аналогия для понимания:
Вы — разработчик, который узнает о дыре в стене своего дома только тогда, когда видит в гостиной вора. У вас нет времени заделать дыру, потому что противник уже внутри. Zero-day — это уязвимость, о которой знают хакеры, но еще не знает вендор ПО.

Динамика 2025 года:

  • 75 уязвимостей нулевого дня активно эксплуатировались в дикой природе. Хотя количественно это меньше, чем в 2024 (97), качественный вектор сместился.
  • 44% всех 0-day нацелены на продукты корпоративного класса (Enterprise), против 37% годом ранее.
  • Более 60% атак направлены на сами средства безопасности: VPN-шлюзы, межсетевые экраны, системы аутентификации.
  • Скорость реакции критична: среднее время от раскрытия уязвимости до начала массовой эксплуатации сократилось с 32 дней до 5 дней.
  • 32% всех эксплойтов начинают применяться в течение 24 часов после публикации информации о баге.

Реальный кейс: JetBrains TeamCity
Злоумышленники, связанные с атакой на SolarWinds, в 2025 году использовали критическую уязвимость в JetBrains TeamCity. Ошибка аутентификации позволяла удаленно выполнять произвольный код и получать права администратора. Серверы TeamCity использовались как плацдарм для дальнейшего проникновения в среды разработки сотен технологических компаний.

2. Консолидированный рейтинг угроз: СНГ и Россия

2.1. Региональная специфика

Период с июля 2024 по сентябрь 2025 года показал, что регион СНГ находится в эпицентре киберпротивостояния. На Россию приходится 14–16% всех успешных мировых атак и 72% всех инцидентов внутри СНГ.

Рейтинг актуальных угроз для региона:

  • DDoS-атаки: Абсолютный лидер. Наблюдается рост более чем на 50% как в количестве атак, так и в мощности ботнетов. Основной источник — политически мотивированные хактивисты (например, IT Army of Ukraine).
  • Программы-вымогатели: Зафиксировано около 500 успешных крупных атак в России (рост в 1,5 раза по сравнению с 2023 годом). На арену вышли новые агрессивные группы: MorLock, Masque, Sauron.
  • APT-группировки (Advanced Persistent Threats): В регионе действуют 27 прогосударственных группировок (рост с 24 в 2024 году), 7 из которых выявлены впервые в 2025 году. Около 35% крупных компаний находятся под скрытым контролем APT.
  • Мобильные банковские трояны: Взрывной рост активности (подробнее ниже).
  • Утечки данных: Домены зоны .ru используются в 30,8% фишинговых кампаний. Основные цели: ритейл, госсектор, IT и здравоохранение.

2.2. Мобильные угрозы: Эпидемия банковских троянов

Смартфоны стали главной точкой входа для финансового мошенничества в регионе.

Аналогия:
Пользователь скачивает приложение, которое выглядит как «Сбербанк», «Тинькофф» или сервис доставки. При вводе логина и пароля троян перехватывает данные, параллельно запрашивая права на чтение SMS для обхода двухфакторной аутентификации.

Ключевой игрок: Mamont Trojan
Появившись в конце 2023 года, к первой половине 2025 года троян Mamont стал доминирующей угрозой, захватив 36,7% рынка мобильных атак.

  • Вектор заражения: Социальная инженерия («Смотри, это ты на фото?» или поддельные уведомления о посылках).
  • Динамика: В Q3 2025 года активность старой версии Mamont.da снизилась с 21,86% до 8,57% из-за успешных действий антивирусных аналитиков, однако новые мутации (Mamont.fz) моментально показали рост на 86%.
  • География: В то время как Mamont терроризирует СНГ, другой троян, Coper, сфокусирован на Турции (96,35% жертв), что говорит о четком географическом разделении сфер влияния киберпреступных групп.

3. Вирусная обстановка: Анализ вредоносного ПО

По данным телеметрии «Лаборатории Касперского», в 2025 году ежедневно обнаруживалось 500 000 новых вредоносных файлов — рост на 7% к прошлому году.

3.1. Типология и функции

Тип угрозыДоля рынкаФункцияДинамика роста (2024→2025)
Password Stealers~30%Кража учетных данных для первичного доступа (Initial Access)+59% глобально, +67% в СНГ
Spyware~20%Скрытое слежение, запись экрана, кейлоггинг+51% глобально, +68% в СНГ
Trojans-Bankers~15%Перехват финансовых данных и SMS+196% на мобильных устройствах
Backdoors~13%Обеспечение скрытого удаленного доступа+6% глобально, +25% в СНГ
Exploits~8%Автоматическое использование уязвимостей+10% в СНГ
Ransomware~28%Шифрование и шантаж+34% общего объема атак

3.2. Windows как главная мишень

Несмотря на рост популярности macOS и Linux, 48% всех пользователей Windows столкнулись с той или иной киберугрозой в 2025 году (для macOS этот показатель составил 29%). Причина прагматична: Windows остается стандартом де-факто в корпоративном секторе, где крутятся основные деньги.

4. Сравнительный анализ 2024 vs 2025: Вектор изменений

4.1. Угрозы с положительной динамикой роста

Наибольшую тревогу вызывает статистика по программам-вымогателям.

  • Количество атак: Рост с 3 219 (янв-сент 2024) до 4 701 (янв-сент 2025) — +46%.
  • Число жертв: Увеличилось с ~6 100 до 8 800+.
  • DDoS: Переход к гипер-объемным атакам. В Q2 2025 зафиксированы пиковые мощности 7.3 Tbps.
  • Атаки на API: Рост на 74% год к году. API стали «слабым звеном» в микросервисной архитектуре.

4.2. Принципиально новые угрозы 2025 года

  • AI-Driven Campaigns: Как упомянуто выше, 89% фишинга теперь генерируется ИИ.
  • Prompt Injection Attacks: Новая категория атак, направленная на манипуляцию самими языковыми моделями (LLM) для обхода их внутренних ограничений безопасности.
  • Harvest Now, Decrypt Later: Стратегия сбора зашифрованных данных с прицелом на их расшифровку квантовыми компьютерами в будущем.
  • Autonomous Ransomware: Появление полностью автономных червей-вымогателей, которые сами сканируют сеть, находят уязвимости и проводят атаку без участия оператора.

4.3. Снижение и трансформация

  • Browser-based Zero-days: Количество уязвимостей в браузерах снизилось на 1/3 благодаря внедрению технологий защиты памяти (например, MiraclePtr в Chrome) и hardening-у Safari.
  • Mobile OS Exploits: Прямые эксплойты для iOS/Android упали вдвое по сравнению с 2023 годом, но злоумышленники компенсировали это переходом на социальную инженерию и трояны-банкеры.
  • Alone Encryption: Одинарное шифрование практически исчезло, будучи полностью вытесненным схемами двойного и тройного вымогательства.

5. Стратегический прогноз: Горизонт 2026 года

5.1. Эра AI-Driven Attacks: От помощи к автономии

Прогноз неутешителен: использование ИИ в атаках перестанет быть инновацией и станет рутиной.

  • Agentic AI: Ожидается появление ИИ-агентов, действующих с правами пользователя системы. Они смогут выполнять сложные многоступенчатые операции (разведка, повышение привилегий, эксфильтрация) полностью автономно.
  • Автоматизация переговоров: ИИ будет использоваться не только для взлома, но и для ведения переговоров о выкупе с жертвами, анализируя их финансовое состояние.
  • Последствия: Время от появления уязвимости до атаки (Time-to-Exploit) сократится до нескольких часов.

5.2. Квантовая угроза и постквантовая криптография

2026 год многими экспертами объявляется «Годом Квантовой Безопасности» (Year of Quantum Security).

  • Рынок квантовых вычислений превысит $5 млрд.
  • Угроза «Harvest now, decrypt later» становится реальной. Хакеры уже сегодня скачивают терабайты зашифрованного трафика (VPN, HTTPS), чтобы расшифровать его через 3–5 лет.
  • 60–73% экспертов в Северной Америке уверены, что квантовые компьютеры взломают текущие алгоритмы шифрования в обозримом будущем.
  • Масштаб проблемы: Для взлома ключа RSA-2048 требуется компьютер с 8 195 кубитами. Разработчики квантового железа планируют достичь 100 000+ кубитов к 2030 году.
  • Решение: Внедрение NIST-утвержденных алгоритмов постквантовой криптографии (PQC), таких как Kyber и Dilithium, станет обязательным требованием для критических систем уже в 2026–2027 годах.

5.3. Геополитика: Киберпространство как театр военных действий

DDoS-атаки, APT-кампании и саботаж цепочек поставок останутся основным инструментом межгосударственных конфликтов.

  • Горячие точки: Индия-Пакистан (рост ботнетов), Россия-Украина (IT Army как топ-угроза), Израиль-Иран.
  • Смещение целей: Атаки переключаются с госсектора на критическую инфраструктуру жизнеобеспечения: логистику, высокотехнологичное производство, «умный» транспорт и спутниковые коммуникации.

5.4. Облака и идентичность — новое поле битвы

Понятие «безопасного периметра» окончательно исчезнет.

  • Token Theft vs Phishing: Кража токенов сессий и API-ключей станет более популярным вектором, чем кража паролей. Это позволяет обходить MFA.
  • Misconfigurations: Ошибки конфигурации облаков (открытые S3 бакеты, избыточные права IAM) останутся главной причиной утечек.
  • Shadow IT: Использование сотрудниками несанкционированных AI-инструментов создаст огромные дыры в корпоративной защите.

Заключение

2025 год наглядно продемонстрировал эволюцию киберпреступности от разрозненных хакерских групп к индустриализированным, высокотехнологичным синдикатам. Искусственный интеллект снизил порог входа в киберпреступность, вооружив новичков инструментами профессионалов. Традиционные методы защиты — спам-фильтры, классические антивирусы и базовая двухфакторная аутентификация — де-факто устарели.

На горизонте 2026 года перед нами встают три экзистенциальные угрозы:

  • Полная автономизация атак через Agentic AI.
  • Квантовый апокалипсис шифрования.
  • Геополитическая кибервойна масштабов холодной войны.

Для выживания в этой среде организациям необходимо переходить к парадигме Zero Trust (Нулевого доверия), начинать миграцию на постквантовую криптографию (PQC) уже сегодня и инвестировать в постоянное обучение персонала. В мире 2026 года киберугроза — это не форс-мажор, а постоянное состояние окружающей среды.

Новости-ИБ

Как вам статья?

По теме

Похожих статей не найдено.

Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Анатомия цифрового вымогательства: Разбор архитектуры Ransomware на языке Python

Детальный технический разбор логики работы программ-вымогателей (Ransomware) на Python: от поиска файлов и генерации ключей до шифрования AES-256

20 января 2026