Отчёты

Отчет KELA о состоянии киберпреступности 2026 года: 2,86 миллиарда украденных учетных данных и рост автономных атак с использованием ИИ

mm
Published
Updated

Киберпреступность больше не просто масштабируется, она эволюционирует на структурном уровне. Согласно Отчету о состоянии киберпреступности 2026 года: Новые угрозы и прогнозы компании KELA, злоумышленники смещают свой фокус от традиционных методов проникновения к злоупотреблению идентификацией, автоматизации с использованием ИИ и крупномасштабному эксплуатированию систем, основанных на доверии.

Отчет рисует мрачную картину 2025 года как точки поворота. Киберпреступники больше не взламывают сети, они входят в систему, часто используя украденные учетные данные, агенты ИИ и доверенные системы третьих сторон, чтобы полностью обойти защитные меры.

Рекордный год для киберпреступности

Масштаб киберпреступности в 2025 году достиг беспрецедентных уровней. KELA отслеживала 2,86 миллиарда скомпрометированных учетных данных во всем мире, охватывая вредоносное ПО типа инфостилер, базы данных утечек и подпольные рынки.

Эти учетные данные стали основным входным пунктом для злоумышленников. Вместо эксплуатации уязвимостей, злоумышленники все чаще полагаются на легитимный доступ, фактически делая модели безопасности, основанные на периметре, устаревшими.

В то же время вымогательское ПО резко возросло. В отчете было выявлено 7 549 жертв вымогательского ПО в 2025 году, что представляет собой увеличение на 45% по сравнению с предыдущим годом, причем более 53% жертв находились в Соединенных Штатах.

Этот рост обусловлен зрелостью киберпреступной экономики. Было 147 активных групп вымогательского ПО, включая примерно 80 новых участников, подчеркивающих, насколько низким является барьер для входа на этот рынок.

Эпидемия инфостилеров – движущая сила всего

В основе этого всплеска лежит рост вредоносного ПО типа инфостилер, которое теперь считается основой современной киберпреступности.

KELA обнаружила примерно 3,9 миллиона зараженных машин во всем мире в 2025 году, что привело к 347,5 миллионам учетных данных, полученных直接 из заражений вредоносным ПО.

Более широкая экосистема усиливает этот эффект значительно, с миллиардами учетных данных, циркулирующих на киберпреступных рынках. Эти учетные данные затем перепродаются группам вымогательского ПО, брокерам первоначального доступа и государственным актёрам.

Данные показывают критический сдвиг в целевой атаке. Более 75% скомпрометированных учетных данных связаны с высокоценными сервисами, такими как бизнес-платформы облачного хранения (19,6%), системы управления контентом (18,7%), сервисы электронной почты (15,3%) и системы аутентификации (12,9%).

Эта концентрация подчеркивает четкую стратегию: злоумышленники отдают приоритет платформам, которые позволяют осуществлять движение в стороны и полный компрометацию организации.

macOS больше не безопасен: рост на 7 000%

Одним из наиболее поразительных выводов является крах долгосрочных предположений о безопасности платформы.

Заражения macOS резко возросли с менее 1 000 случаев в 2024 году до более 70 000 в 2025 году, что представляет собой увеличение на 7 000%.

Этот взрыв обусловлен коммерциализацией вредоносного ПО в виде сервиса, особенно инструментами типа Atomic Stealer, которые позволяют даже низкоквалифицированным злоумышленникам нацеливаться на устройства Apple в крупном масштабе.

Последствия ясны: ни одна платформа больше не является внутренне безопасной. Злоумышленники следуют за ценностью, и экосистемы Apple теперь твердо находятся в их прицеле.

ИИ становится новой поверхностью атаки

Наиболее значительным сдвигом, описанным в отчете, является глубокая интеграция ИИ в жизненный цикл кибератак.

KELA выявляет переход от атак, поддерживаемых ИИ, к полностью автономным, агентно-управляемым операциям, где 80% до 90% задач могут быть выполнены с минимальным участием человека.

Ключевым понятием, возникающим из этого сдвига, является “вайб-хакинг“. Вместо взлома систем ИИ, злоумышленники манипулируют ими, представляя вредоносные действия как легитимные задачи. Это позволяет агентам ИИ выполнять вредоносные операции, не запуская защитных механизмов.

Отчет также подчеркивает реальные случаи, когда системы ИИ были скомпрометированы через внедрение промптов и косвенную манипуляцию. В одном случае автономные агенты ИИ проводили разведку, разрабатывали код эксплуатации и выполняли атаки по нескольким целям с ограниченным человеческим надзором.

Это отмечает фундаментальное изменение. ИИ больше не является просто инструментом для злоумышленников, он является и оружием, и уязвимостью.

Вымогательское ПО эволюционирует в крупномасштабное вымогательство

Вымогательское ПО больше не является単ной тактикой, а полноценной бизнес-моделью.

Большинство атак теперь полагаются на двойное вымогательство, сочетая кражу данных с шифрованием. Однако атаки только с вымогательством также растут, когда злоумышленники пропускают шифрование и фокусируются на краже и монетизации конфиденциальных данных.

Экосистема высококонкурентна. Топ-группа, Qilin, заявила о более 1 100 жертвах, за ней следует Akira с 761 жертвой и Clop с 523 жертвами.

Эти группы все чаще полагаются на украденные учетные данные, а не на технические эксплуатации, часто покупая доступ у подпольных брокеров, чтобы ускорить атаки.

Экономическое воздействие ошеломляющее. Одно нарушение в Jaguar Land Rover привело к 2,5 миллиардам долларов экономического ущерба, включая остановку производства и нарушение цепочки поставок, затронувшее тысячи предприятий.

Хактивизм и геополитика усиливают киберугрозы

Киберпреступность все чаще переплетается с глобальным конфликтом.

Деятельность хактивистов возросла на 400% по сравнению с предыдущим годом, с более 3 500 атак DDoS и более 250 новых групп, появившихся в 2025 году.

Эти группы больше не ограничиваются только взломом веб-сайтов. Они нацеливаются на критическую инфраструктуру, технологии операций и промышленные системы, создавая реальные последствия.

В то же время государственные акторы используют кибероперации как основной инструмент геополитической стратегии. Кампании, связанные с Россией и Украиной, Израилем и Ираном, напряженностью между США и Китаем и Северной Кореей демонстрируют, как кибервойна теперь охватывает шпионаж, нарушения и финансовые операции.

Атаки на цепочку поставок и крах доверия

Другой определяющей тенденцией является рост атак на цепочку поставок.

Вместо того, чтобы нацеливаться на отдельные организации, злоумышленники компрометируют поставщиков, платформы SaaS и общую инфраструктуру, чтобы получить доступ к тысячам жертв вниз по цепочке.

В одном случае атака SaaS на SaaS позволила злоумышленникам перейти в среды Salesforce по нескольким компаниям, используя украденные токены OAuth, полностью обходя традиционные меры безопасности.

Это отражает более широкий сдвиг. Модель “доверия по умолчанию” становится обязательной, поскольку злоумышленники эксплуатируют отношения между системами, а не сами системы.

Эксплуатация нулевых дней и конец окна исправления

Отчет также подчеркивает индустриализацию эксплуатации уязвимостей.

В 2025 году 238 уязвимостей были добавлены в каталог известных эксплуатируемых уязвимостей CISA, по сравнению с 185 в предыдущем году.

Злоумышленники теперь монетизируют эксплуатации быстрее, чем когда-либо, часто в течение дней или даже часов после раскрытия. Подпольные рынки все чаще продают полностью вооруженные наборы для эксплуатации, а не просто код доказательства концепции, снижая барьер для массовой эксплуатации.

Новая реальность кибербезопасности

Выводы в отчете KELA о состоянии киберпреступности 2026 года: Новые угрозы и прогнозы делают одно ясным: кибербезопасность входит в новую эру.

Идентификация теперь является основной поверхностью атаки. ИИ является и инструментом, и уязвимостью. Отношения доверия между системами используются как оружие. И скорость атак ускоряется за пределы традиционных моделей защиты.

Организации, которые продолжают полагаться на устаревшие подходы к безопасности, все больше подвергаются риску. Сдвиг в сторону безопасности, основанной на идентификации, архитектур “zero-trust” и защит, осведомленных об ИИ, больше не является необязательным.

Для более глубокого анализа злоумышленников, методов атак и стратегических рекомендаций полный отчет, Отчет о состоянии киберпреступности 2026 года: Новые угрозы и прогнозы от KELA, предоставляет всесторонний взгляд на то, как ландшафт киберпреступности эволюционирует и куда он движется дальше.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.