Звіти
Звіт KELA про стан кіберзлочинності 2026: 2,86 млрд вкрадених облікових даних та зростання автономних атак штучного інтелекту
Кіберзлочинність більше не просто масштабується, а еволюціонує на структурному рівні. За даними Звіту про стан кіберзлочинності 2026: Нові загрози та прогнози компанії KELA, нападники перейшли від традиційних методів проникнення до зловживання ідентифікацією, автоматизації штучного інтелекту та великомасштабного використання систем, заснованих на довірі.
Звіт малює яскраву картину 2025 року як точки зламу. Кіберзлочинці більше не проникають у мережі, а входять у систему, часто використовуючи вкрадені облікові дані, агенти штучного інтелекту та системи третіх сторін, щоб обійти захист цілком.
Рекордний рік для кіберзлочинності
Масштаб кіберзлочинності у 2025 році досяг безпрецедентних рівнів. KELA відслідкувала 2,86 млрд скомпрометованих облікових даних у глобальній екосистемі, включаючи шкідливе програмне забезпечення, бази даних про порушення та підпільні ринки.
Ці облікові дані стали основним входом для нападників. Замість використання уразливостей, загрозливі актори все частіше покладаються на легітимний доступ, фактично роблячи застарілими моделі безпеки, засновані на периметрі.
Одночасно вимоги викупу зросли драматично. У звіті ідентифіковано 7549 жертв вимог викупу у 2025 році, що становить 45% зростання порівняно з попереднім роком, з більш ніж 53% жертв, розташованих у Сполучених Штатах.
Цей рост пояснюється розвитком економіки кіберзлочинності. Було 147 активних груп вимог викупу, включаючи близько 80 нових учасників, що підкреслює, наскільки низьким є бар’єр для входу на ринок.
Епідемія викрадачів інформації, яка рухає все
У центрі цього зростання лежить поширення шкідливого програмного забезпечення для викрадення інформації, яке тепер вважається основою сучасної кіберзлочинності.
KELA спостерігала близько 3,9 млн інфікованих машин у світі у 2025 році, що генерувало 347,5 млн облікових даних безпосередньо з інфекцій шкідливого програмного забезпечення.
Ширша екосистема значно посилює це, з мільярдами облікових даних, що циркулюють на кіберзлочинних ринках. Потім їх перепродають групам вимог викупу, брокерам первинного доступу та державним акторам.
Дані показують критичний зсув у цілях. Більше 75% скомпрометованих облікових даних пов’язані з високоцінними послугами, такими як бізнес-платформи (19,6%), системи керування вмістом (18,7%), поштові служби (15,3%) та системи автентифікації (12,9%).
Ця концентрація підкреслює чітку стратегію: нападники пріоритезують платформи, які дозволяють рухатися в бік та повністю компрометувати організацію.
macOS більше не безпечний: зростання на 7000%
Одним із найбільш вражаючих висновків є колапс довгоутверджених припущень про безпеку платформи.
Інфекції macOS зросли з менше 1000 випадків у 2024 році до понад 70 000 у 2025 році, що становить зростання на 7000%.
Цей вибух пояснюється комерціалізацією шкідливого програмного забезпечення як послуги, особливо інструментами, такими як Atomic Stealer, які дозволяють навіть низько кваліфікованим нападникам націлюватися на пристрої Apple у великому масштабі.
Висновок очевидний: жодна платформа більше не є безпечною за своєю суттю. Нападники слідують за цінністю, а екосистеми Apple тепер твердо в їхніх прицілах.
Штучний інтелект стає новою поверхнею атаки
Найбільш значущим зсувом, описаним у звіті, є глибока інтеграція штучного інтелекту в життєвий цикл кібератаки.
KELA ідентифікує перехід від атак, допоміжних штучним інтелектом, до повністю автономних операцій агентів, де 80-90% завдань можна виконувати з мінімальним втручанням людини.
Ключовим поняттям, яке виникає з цього зсуву, є “вібраційне хакінг“. Замість порушення систем штучного інтелекту нападники маніпулюють ними, представляючи шкідливі дії як легітимні завдання. Це дозволяє агентам штучного інтелекту виконувати шкідливі операції, не спрацьовуючи захисних механізмів.
У звіті також підкреслюються реальні випадки, коли системи штучного інтелекту були скомпрометовані через введення підказок та непряму маніпуляцію. У одному випадку автономні агенти штучного інтелекту проводили розвідку, розробляли код експлуатації та виконували атаки на кілька цілей з обмеженим наглядом людини.
Це позначає фундаментальну зміну. Штучний інтелект більше не просто інструмент для нападників, а й зброя та ціль.
Вимоги викупу еволюціонують у промислову шантажистську діяльність
Вимоги викупу більше не є окремим тактикою, а повноцінною бізнес-моделлю.
Більшість атак тепер покладаються на подвійний шантаж, поєднуючи викрадення даних з шифруванням. Однак атаки тільки з вимогою викупу також зростають, коли нападники пропускають шифрування зовсім та зосереджуються на викраденні та монетизації конфіденційних даних.
Екосистема дуже конкурентна. Найбільша група, Qilin, заявила про понад 1100 жертв, за нею слідує Akira з 761 жертвою та Clop з 523 жертвами.
Ці групи все частіше покладаються на вкрадені облікові дані, а не на технічні уразливості, часто купуючи доступ у підпільних брокерів, щоб прискорити атаки.
Економічний вплив вражаючий. Одне порушення безпеки в Jaguar Land Rover призвело до 2,5 млрд доларів економічних збитків, включаючи зупинку виробництва та порушення ланцюгів постачання, які торкнулися тисяч підприємств.
Хактивізм та геополітика посилюють кіберзагрози
Кіберзлочинність все частіше переплетена з глобальними конфліктами.
Діяльність хактивістів зросла на 400% порівняно з попереднім роком, з понад 3500 атак DDoS та більш ніж 250 новими групами, що з’явилися у 2025 році.
Ці групи більше не обмежуються лише вандалізмом веб-сайтів. Вони націлюються на критичну інфраструктуру, технологію операцій та промислові системи, створюючи реальні наслідки.
Одночасно державні актори використовують кібероперації як основний інструмент геополітичної стратегії. Кампанії, пов’язані з Росією та Україною, Ізраїлем та Іраном, США та Китаєм, а також Північною Кореєю демонструють, як кібервійна тепер охоплює розвідку, порушення та фінансові операції.
Атаки на ланцюги постачання та колапс довіри
Іншим визначальним трендом є зростання атак на ланцюги постачання.
Нападники компрометують постачальників, платформи SaaS та спільну інфраструктуру, щоб отримати доступ до тисяч hạ поточних жертв.
У одному випадку атака SaaS на SaaS дозволила нападникам перейти до середовищ Salesforce у декількох компаніях, використовуючи вкрадені токени OAuth та обходячи традиційні засоби безпеки цілком.
Це відображає ширший зсув. Модель “довіри за замовчуванням” стає зобов’язанням, оскільки нападники експлуатують відносини між системами, а не самі системи.
Експлуатація нульденьових уразливостей та кінець вікна патчів
У звіті також підкреслюється індустріалізація експлуатації уразливостей.
У 2025 році 238 уразливостей були додані до каталогу відомих експлуатованих уразливостей CISA, проти 185 у попередньому році.
Нападники тепер монетизують експлуатацію швидше, ніж будь-коли, часто впродовж днів або навіть годин після розголошення. Підпільні ринки все частіше продають повністю озброєні набори експлуатації, а не просто докази концепції, знижуючи бар’єр для масової експлуатації.
Нова реальність кібербезпеки
Висновки у звіті KELA про стан кіберзлочинності 2026: Нові загрози та прогнози роблять одне питання ясним: кібербезпека вступає у нову еру.
Ідентифікація тепер є основною поверхнею атаки. Штучний інтелект є як інструментом, так і уразливістю. Відносини довіри між системами зброєзуються. А швидкість атак прискорюється за межі традиційних моделей захисту.
Організації, які продовжують покладатися на застарілі підходи до безпеки, все частіше вразливі. Перехід до безпеки, заснованої на ідентифікації, архітектури з нульовою довірою та оборонних засобів, оснащених штучним інтелектом, більше не є необов’язковим.
Для більш глибокого аналізу загрозливих акторів, методів атак та стратегічних рекомендацій повний звіт Про стан кіберзлочинності 2026: Нові загрози та прогнози компанії KELA надає комплексний огляд того, як еволюціонує ландшафт кіберзлочинності та куди він рухається далі.
