Прогнозы по развитию киберландшафта представили в Threat Zone 2026

Большинство атак 2025 года совершались ради шпионажа и хактивизма, но в долгосрочной перспективе финансовая выгода все равно останется ключевой мотивацией

5 февраля 2026 г.

Специалисты BI.ZONE Threat Intelligence при поддержке BI.ZONE TDR и BI.ZONE DFIR подготовили исследование ландшафта угроз Threat Zone 2026. В его основу легли результаты наблюдения за деятельностью более чем 100 кластеров активности, нацеленных на организации в России и других странах СНГ в 2025 году.

Впервые шпионаж и хактивизм стали целью более чем в половине атак

Доля атак, совершаемых ради шпионажа, выросла с 21% до 37%, а хактивизма — с 12% до 16%. На этом фоне доля атак с финансовой мотивацией продолжает снижаться. В 2023 году она составила 76%, в 2024-м — 67%, а в 2025-м — 47%. Однако в абсолютном выражении количество финансово мотивированных атак остается стабильно высоким.

В дальнейшем атаки с финансовой мотивацией продолжат превалировать в ландшафте угроз. Главная причина в том, что атаковать с целью получения выкупа можно организации из любой отрасли, поэтому злоумышленники получают широкий выбор возможных целей. Именно поэтому финансовая мотивация в дальнейшем прогнозируемо останется для злоумышленников основной.

Наиболее атакуемой отраслью по‑прежнему остается госсектор (14% всех кибератак). На втором месте — финансовая отрасль, хотя ее доля несколько снизилась (11% в 2025 году и 13% годом ранее). Третье место (по 10% атак) разделили транспортно‑логистическая отрасль и ритейл (включая электронную коммерцию).

Фишинг стали использовать чаще, а эксплуатировать уязвимости — реже

Доля целевых атак, начинающихся с фишингового письма, выросла до 64%. В 2024 году этот показатель составлял 57%. Вредоносные вложения в фишинговых письмах регулярно использовал для доступа в инфраструктуру компаний каждый четвертый кластер. Ожидается, что фишинг сохранит свою популярность у злоумышленников, но продолжит эволюционировать: злоумышленники все активнее будут использовать мессенджеры и социальные сети, а не только электронную почту.

Вторым по популярности у злоумышленников методом стало получение первоначального доступа через службы удаленного доступа (18% атак). Аутентификационный материал атакующие получали как посредством перебора паролей, так и с помощью стилеров. На третьем месте — получение доступа через компрометацию подрядчиков (9% атак).

А вот эксплуатировать уязвимости в публично доступных приложениях злоумышленники стали значительно реже, несмотря на то что в 2024 году этот метод получения первоначального доступа был одним из основных. В 2025 году доля таких случаев снизилась с 13% до 7%.

Telegram стал наиболее популярным у злоумышленников легитимным сервисом для передачи команд

При коммуникациях с командными серверами атакующие все еще активно используют стандартные протоколы, в том числе HTTP и HTTPS. Это часто позволяет им замаскировать свою активность под легитимный трафик.

Для связи со скомпрометированной инфраструктурой злоумышленники нередко использовали сразу несколько каналов, включая различные средства туннелирования, удаленного доступа, а также легитимные веб‑сервисы. Из последних наиболее популярным у кибермошенников стал Telegram.

Возможности автоматического обнаружения атаки снижаются

Злоумышленники активно используют легитимные инструменты и методы получения первоначального доступа, например учетные данные, полученные из утечек. Кроме того, сохраняется тренд на применение общедоступных инструментов — фреймворки эксплуатации и постэксплуатации. Однако злоумышленники все чаще стараются выбирать как можно менее известные и популярные из них, чтобы минимизировать вероятность обнаружения атаки. Популярное ВПО и инструменты также будут активно использоваться, но преимущественно в атаках на организации с низким уровнем киберзрелости.

Злоумышленники продолжат активно использовать легитимные инструменты и методы получения первоначального доступа, например данные учетных записей, полученные из утечек. Цель мошенников — свести к минимуму вероятность автоматического обнаружения их действий антивирусными средствами. Чтобы своевременно выявлять такие атаки, минимальный набор средств защиты должен включать решения классов EDR и PAM, а подход к выстраиванию кибербезопасности — быть комплексным и проактивным.

И конечно, вряд ли стоит ожидать, что количество кибератак на российские организации значительно снизится или они станут менее интенсивными. Наоборот, атаки могут стать чаще и сложнее из‑за доступности ИИ‑инструментов, которые помогают компенсировать недостаток знаний злоумышленникам с невысокой квалификацией.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

И атакующие, и защитники будут использовать ИИ все активнее

Пока что доля атак, в ходе которых злоумышленники использовали возможности искусственного интеллекта (например, для написания вредоносных сценариев), не превышает 1%. Однако наметившийся тренд на вепонизацию ИИ будет со временем только усиливаться, поскольку доступность таких инструментов позволяет злоумышленникам поддерживать высокий уровень автоматизации атак.

Одновременно с этим продолжит развиваться применение ИИ‑инструментов в сфере кибербезопасности. Например, в области мониторинга и реагирования внедрение ИИ поможет автоматизировать обработку инцидентов, тем самым снизив рутинную нагрузку на аналитиков SOC.