Доля финансово мотивированных кибератак за два года упала с 76% до 47%, но это не повод расслабляться. Согласно данным отчета «Threat Zone 2026» от аналитиков BI.ZONE, злоумышленники просто переключились на новые, менее очевидные цели. Понимание этой динамики — ключ к построению актуальной и экономически оправданной системы защиты на будущий год.
Исследование, подготовленное экспертами BI.ZONE Threat Intelligence при участии специалистов BI.ZONE TDR и BI.ZONE DFIR, основано на мониторинге активности более 100 хакерских группировок, нацеленных на организации в России и странах СНГ в 2025 году.
Основные мотивы кибератак
В 2025 году зафиксирован значительный рост атак, мотивированных шпионажем (до 37% против 21% ранее) и хактивизмом (до 16% против 12%). Впервые вместе они составили более половины всех инцидентов.
Доля финансово мотивированных атак продолжила снижаться: с 76% в 2023 году до 47% в 2025. Однако в абсолютных цифрах их количество остается высоким. Эксперты прогнозируют, что в долгосрочной перспективе финансовые мотивы вновь станут преобладающими, поскольку вымогательству подвержены компании из любых отраслей, что предоставляет злоумышленникам широкий выбор целей.
Самые уязвимые сектора экономики
Государственный сектор остается наиболее атакуемой отраслью (14% всех атак). Финансовый сектор занимает второе место, хотя его доля немного снизилась (11% в 2025 году). Третье место делят транспортно-логистическая отрасль и ритейл (включая e-commerce), на каждую из которых пришлось по 10% атак.
Эволюция методов кибератак
Фишинг усиливает позиции: 64% целевых атак в 2025 году начались с фишингового письма (против 57% в 2024). Каждый четвертый хакерский кластер использовал вредоносные вложения. Ожидается, что фишинг будет эволюционировать, смещаясь в мессенджеры и социальные сети.
● Службы удаленного доступа — второй по популярности метод (18% атак). Доступ получали как подбором паролей, так и с помощью стилеров, ворующих учетные данные.
● Компрометация подрядчиков — на третьем месте (9% атак).
● Эксплуатация уязвимостей в публичных приложениях резко снизилась: с 13% в 2024 году до 7% в 2025.
Тактика злоумышленников
Для скрытного взаимодействия с зараженными системами киберпреступники активно используют легитимные протоколы (HTTP/S) и разнообразные каналы связи, включая средства туннелирования и публичные веб-сервисы. Среди последних наибольшей популярностью стал Telegram — его чаще всего применяли для передачи команд.
Снижение эффективности автоматического обнаружения
Чтобы остаться незамеченными, злоумышленники используют:
● Легитимные инструменты и учетные данные из утечек.
● Малозаметные общедоступные фреймворки для эксплуатации.
● Популярное вредоносное ПО (ВПО) — преимущественно против организаций с низким уровнем киберзащиты.
Роль искусственного интеллекта (ИИ) в кибератаках
● Со стороны атакующих: Пока ИИ используется в менее чем 1% атак (например, для генерации вредоносных скриптов), но его роль будет расти. Доступные ИИ-инструменты позволяют автоматизировать атаки даже малоопытным злоумышленникам.
● Со стороны защитников: ИИ внедряется для автоматизации мониторинга и реагирования, что снижает рутинную нагрузку на аналитиков SOC и ускоряет обработку инцидентов.
Комментарий эксперта
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
«Злоумышленники продолжат использовать легитимные инструменты и данные из утечек, чтобы обходить автоматические средства защиты. Для противодействия необходим минимальный набор в виде EDR- и PAM-решений и комплексный проактивный подход к безопасности. Не стоит ждать снижения количества или сложности атак на российские организации. Напротив, доступность ИИ может привести к их учащению, компенсируя недостаток квалификации у части киберпреступников».
Подробнее ознакомится с результатами исследования можно, скачав файлФото: Предоставлено автором
