ИИ ускоряет кибератаки: данные крадут за 25 минут

По данным исследования Unit 42, опубликованного в отчёте Global Incident Response Report 2026, угрозы, связанные с нарушением безопасности идентичности, остаются в центре внимания специалистов по кибербезопасности. В 87% случаев, изученных экспертами, атакующие перемещались между различными системами, используя широкие разрешения и фрагментарную визуализацию.

В 2025 году компрометация идентичности стала ключевым фактором для 65% всех инцидентов. Среди основных методов, используемых злоумышленниками, были фишинг, украденные учетные данные, атаки методом перебора и внутренние угрозы. Эксперты отмечают, что в 90% расследований уязвимости идентичности сыграли существенную роль.

Самые распространённые векторы первоначального проникновения — фишинг и эксплуатация уязвимостей — составили по 22% случаев. Умышленное использование украденных учетных данных и атаки остались значимыми, составив 13% и 8% соответственно. Социальная инженерия, выходящая за рамки фишинга, также показала рост, достигнув 11%.

Увеличение рисков из-за SaaS и машинных идентичностей

Расширение использования SaaS, облачных инфраструктур и машинных идентичностей, как отмечает Sam Rubin, SVP консалтинга и анализа угроз в Unit 42, Palo Alto Networks, создало «огромную, неуправляемую тень», где каждая интеграция может стать новым, потенциально ненаблюдаемым путём в сеть.

Анализ более 680 000 облачных идентичностей показал, что 99% пользователей, ролей и сервисов обладают избыточными разрешениями. Это создаёт предсказуемые пути для повышения привилегий после получения первоначального доступа. OAuth-приложения и API-интеграции часто сохраняют широкие разрешения, даже если сотрудники увольняются или процессы меняются. Многие компании не отслеживают такие интеграции, что открывает дополнительные векторы атак.

Роль браузера как точки входа

Активность в браузере стала важным вектором для атак. В 48% расследований специалисты Unit 42 зафиксировали её влияние, что на 4% больше, чем в предыдущем году. Атаки часто начинались с посещения вредоносных сайтов через результаты поисковых систем, нажатия на спонсорские ссылки или загрузки модифицированных инструментов.

В одном из случаев пользователь, ищущий информацию о ресторане, был перенаправлен на поддельный сайт, где его попросили выполнить скопированный код. В другом случае внутренне распространённый поддельный административный инструмент привёл к размещению шифровальщика после запуска программного обеспечения привилегированным пользователем.

Эти примеры демонстрируют, как обыденный веб-трафик может стать отправной точкой для захвата памяти, кражи учетных данных и более масштабного компрометирования.

Ускорение атак с помощью ИИ

В 2025 году продолжилось ускорение времени проникновения, и искусственный интеллект сыграл в этом важную роль. Уголовные группы начали использовать ИИ для ускорения разведки, написания сообщений для социальной инженерии и генерации скриптов, применяемых при шифровальных атаках.

Время, необходимое для экспорта данных, сократилось. В 25% самых быстрых атаках 2025 года данные были украдены менее чем за 72 минуты, в то время как в 2024 году этот показатель составлял 285 минут. В отдельной симуляции атака с поддержкой ИИ достигла экспорта данных за 25 минут.

Злоумышленники также начали автоматизировать процесс вымогательства. Unit 42 зафиксировал, что в переговорах с жертвами злоумышленники использовали последовательный тон и ритм, что указывает на частичную автоматизацию или применение ИИ для составления сообщений.

Рост угроз из-за цепочек поставок

Риски, связанные с цепочками поставок, продолжают расти. Они выходят за рамки уязвимых пакетов программного обеспечения и охватывают SaaS-интеграции, инструменты удалённого управления и платформы поставщиков. В 23% случаев 2025 года данные SaaS-приложений оказывали влияние на инциденты, что на 5% больше, чем в 2024 году.

Инструменты удалённого управления остаются привлекательной целью. Специалисты Unit 42 установили, что 39% техник командно-контрольных каналов связаны с инструментами удалённого доступа. Распространение зависимостей в открытом исходном коде также увеличивает риски в конвейерах сборки. Более 60% уязвимостей в облачных приложениях находятся в транзитивных зависимостях. Злоумышленники внедряют вредоносный код в пакеты, которые выполняются во время установки, что даёт им доступ к среде сборки до её деплоя.

Изменения в тактике вымогательства

В 2025 году частота шифрования данных в инцидентах вымогательства снизилась до 78%, в то время как в предыдущие годы она превышала 90%. Кража данных осталась стабильной, составив более 50% случаев. Средние требования вымогателей выросли с $1,25 млн в 2024 году до $1,5 млн в 2025-м. Средние выплаты также увеличились — с $267 500 до $500 000. Организации, вступавшие в переговоры, смогли снизить сумму выплат на 61%.

Восстановление через резервные копии оставалось важным фактором устойчивости. В 41% случаев жертвы восстановили системы из резервных копий. В 26% случаев атакующие повредили резервные копии, что увеличило время простоя и давление на процесс восстановления.

Рост угроз, связанных с компрометацией идентичности: за кем стоит риск?

Когда доступ становится уязвимостью

Компрометация идентичности — это не просто вопрос слабых паролей или фишинга. Это следствие масштабной трансформации цифровой среды, где каждая интеграция, каждый OAuth-токен и каждая роль в облаке могут стать точкой входа. 99% пользователей и сервисов имеют избыточные разрешения, что делает их уязвимыми. Это не ошибка, это симптом, который требует системного подхода к управлению доступом.

Самый важный риск — когда злоумышленники получают начальный доступ и используют широкие разрешения для перемещения по системе. Эксперты Unit 42 отмечают, что в 87% случаев атакующие используют именно этот путь. Это означает, что защита не должна ограничиваться только внешними угрозами — необходимо контролировать внутренние потоки доступа.

i

Создано специально для ASECTOR

Концептуальное изображение

Браузер как новая точка входа

Браузер стал не просто инструментом для работы, а воротами для атак. В 48% случаев он стал первым звеном цепочки проникновения. Люди, ищущие информацию, попадают на вредоносные сайты, и это не всегда связано с их невнимательностью. Это связано с тем, что цифровые потоки информации становятся слишком широкими, чтобы контролировать их.

Важный момент: В условиях, когда каждый клик может быть точкой входа, защита браузера перестаёт быть технической задачей — она становится вопросом архитектуры всей цифровой экосистемы. Особенно это актуально, если учитывать, что утечки в цепочках поставок могут привести к появлению вредоносных интеграций, которые пользователь не сможет отличить от легитимных [!].

ИИ как ускоритель атак

Искусственный интеллект не только меняет мир, но и ускоряет его разрушение. В 2025 году атаки стали быстрее, точнее и менее заметными. ИИ помогает злоумышленникам генерировать убедительные сообщения, автоматизировать переговоры и сократить время между проникновением и утечкой данных. Это не просто улучшение методов — это смена парадигмы.

Ключевой инсайт: ИИ не улучшает только технологии — он меняет экономику атак. То, что раньше требовало времени и ресурсов, теперь стало доступно массово. В 25% самых быстрых атаках 2025 года данные были украдены менее чем за 72 минуты, в то время как в 2024 году этот показатель составлял 285 минут. В отдельной симуляции атака с поддержкой ИИ достигла экспорта данных за 25 минут. Это требует новых подходов к защите, включая использование ИИ-инструментов для анализа угроз в реальном времени [!].

Цепочки поставок: новые мишени

Цепочки поставок перестали быть просто логистическими схемами. Они стали точками соприкосновения между компаниями, где каждый пакет, каждая интеграция и каждый SaaS-сервис могут быть эксплуатированы. 39% атак используют удалённые инструменты управления, а 60% уязвимостей в облаке — это транзитивные зависимости. Это как если бы в цепочку доставки включили бомбу, которую можно активировать, не касаясь самой коробки.

Важный риск: Публикация исходного кода, ключей или конфиденциальных данных в открытых репозиториях создает устойчивые угрозы безопасности. Даже удаление таких данных не исключает их сохранения в зеркалах и ветках репозиториев, что делает цепочки поставок особенно уязвимыми. Эти утечки становятся основой для злоумышленников, которые используют их для проникновения в корпоративные системы [!].

Переговоры с хакерами: новая реальность

Шифрование данных в атаках снизилось, но требования вымогателей выросли. Организации, которые вступают в переговоры, снижают сумму выплат, но это не означает, что они победили. Это значит, что они признали новую реальность: угроза стала неотъемлемой частью бизнеса.

Ключевой вывод: Увеличение сумм выкупа не отражает рост дохода хакеров — оно отражает рост стоимости простоя и потерь для бизнеса. В 26% случаев атакующие повреждают резервные копии, что увеличивает время простоя и давление на процесс восстановления. Это требует стратегического подхода к управлению киберрисками, включая инвестиции в резервирование и восстановление.

Стратегические изменения в условиях новых угроз

Цифровая безопасность перестала быть вопросом только IT-отделов. Она стала частью стратегии компании, где каждый сотрудник, каждая интеграция и каждый инструмент — это потенциальная точка атаки. Защита данных — это не только техническая задача, но и вопрос управления, где важно не только «закрыть дыры», но и понять, как они образуются.

Самый важный вывод: В условиях, когда угрозы становятся частью цифровой экосистемы, безопасность должна быть встроена не как реакция, а как основа архитектуры. Особенно это важно в свете роста автоматизации и ИИ, которые меняют роль CISO и требуют новых подходов к контролю угроз [!].