$1,4 млрд ущерба и нейросети. Раскрыт сценарий кибератак с участием ИИ на 2026 год

Северокорейская хакерская группировка Lazarus усиливает прицельные фишинговые атаки на криптовалютные платформы и частных инвесторов, зарабатывая на этом сотни миллионов долларов. По данным отчета AhnLab, в 2026 году злоумышленники сделают ставку на еще более изощренные spear phishing-кампании и начнут активнее использовать ИИ, дипфейк и уловки для обхода защитных систем.

Lazarus Group считается одной из самых опасных киберпреступных группировок, стоящих за целой серией громких атак на криптовалютный рынок. Исследователи напоминают о краже $1,4 млрд у биржи Bybit 21 февраля 2025 года и о взломе Upbit с ущербом в $30 млн. В сумме Lazarus приписывают хищения на сумму более $1,4 млрд только в криптосекторе, и это лишь за последние годы. Группа связывается со спецслужбами КНДР, а значит, располагает практически неограниченными ресурсами для разработки и оттачивания новых схем взлома.

Основным оружием Lazarus становится spear phishing — «прицельный» фишинг, который сильно отличается от массовых однотипных рассылок. Перед атакой злоумышленники изучают жертву: собирают сведения из соцсетей, профилей в LinkedIn, предыдущей переписки и публичных выступлений. На основе этой информации они подделывают письма под реальные приглашения на лекции или конференции, предложения о работе или интервью. Внешне такие письма выглядят убедительно, содержат корректные обращения и детали, которые трудно списать на спам. Один клик по ссылке или открытие вложения — и на устройство попадает вредоносное ПО, ворующее учетные данные или дающее хакерам доступ к корпоративной сети.

В отчете AhnLab за период с октября 2024 по сентябрь 2025 года отмечается, что Lazarus фигурировала в 31 разборе уже произошедших атак, обойдя другие активные группировки вроде Kimsuky (27 упоминаний) и TA-RedAnt (17 упоминаний). При этом цели Lazarus выходят далеко за пределы криптобирж: под удар попадают финансовые организации, IT-компании и даже оборонная промышленность. Специалисты подчеркивают, что решающую роль в успехе таких операций играет человеческий фактор — сотрудники и пользователи, которые доверяют «правдоподобным» письмам.

В криптосреде подобные атаки особенно разрушительны: транзакции необратимы, а стоимость активов меняется стремительно. Компрометация кошелька, учетной записи в бирже или внутренних систем площадки может за считанные минуты обернуться утечкой миллионов долларов. По наблюдениям AhnLab, устойчивость Lazarus объясняется не только навыками участников, но и постоянным притоком ресурсов — как технических, так и финансовых.

AhnLab подчеркивает, что за последние 12 месяцев Lazarus стабильно удерживает позицию одного из главных угроз для криптобирж. В отчете говорится, что только инциденты с Bybit и Upbit в совокупности принесли злоумышленникам более $1,43 млрд. Сценарий во многих случаях повторяется: жертва получает тщательно составленное письмо, переходит по ссылке, вводит свои данные или запускает вложенный файл — и тем самым открывает хакерам путь к системам биржи или к собственным активам.

На фоне роста таких атак специалисты все чаще говорят о необходимости не только технических, но и поведенческих мер защиты. Для простых пользователей базовые правила остаются неизменными: всегда проверять отправителя по независимому каналу (например, через официальный сайт компании или ее контактные телефоны), включать многофакторную аутентификацию на всех сервисах, связанных с криптовалютой, и шифровать трафик, особенно при работе с финансовыми операциями. Также рекомендуется не кликать по подозрительным ссылкам и не открывать вложения, пришедшие от незнакомых или «слишком настойчивых» контактов, а системы и приложения держать в актуальном состоянии, своевременно устанавливая обновления безопасности.

Отдельный блок рекомендаций касается защиты от spear phishing в криптотранзакциях. Эксперты советуют ограничивать объем личной информации, доступной в сети, — чем меньше злоумышленники узнают о вашей должности, привычках и контактах, тем сложнее им подготовить по-настоящему правдоподобное письмо. В случае любого сомнения стоит проверить сообщение другим способом: позвонить отправителю, написать в мессенджер или связаться через официальный канал поддержки, а не отвечать напрямую на подозрительное письмо.

Для организаций одной пользовательской дисциплины недостаточно — требуется полноценная многоуровневая оборона. AhnLab говорит о необходимости регулярных аудитов безопасности, жесткого контроля над установкой обновлений, отказа от устаревших систем и постоянного обучения сотрудников распознаванию фишинга и социальных манипуляций. Анализ инцидентов за 2025 год показывает, что атакующие из Lazarus, Kimsuky и TA-RedAnt часто пользуются именно человеческими ошибками и «дырками» в давно не обновлявшемся ПО.

Специалисты AhnLab также рекомендуют компаниям и частным пользователям полагаться только на официальные источники программного обеспечения, избегать скачивания программ с сомнительных сайтов и не открывать файлы, полученные от неизвестных отправителей. Наличие современного антивируса и систем обнаружения аномалий помогает поймать необычную активность — от попыток удаленного доступа до подозрительных операций с криптокошельками. На уровне корпоративных сетей это может включать сегментацию инфраструктуры, строгую систему прав доступа и мониторинг внутренних перемещений данных.

Отдельную тревогу вызывает роль искусственного интеллекта в будущих атаках. По прогнозам AhnLab, уже в 2026 году ИИ станет стандартным инструментом злоумышленников: с его помощью будут массово генерироваться реалистичные фишинговые сайты и письма без типичных грамматических ошибок, а также создаваться многочисленные варианты вредоносного кода для обхода антивирусов и систем анализа.

Особое внимание уделяется deepfake-технологиям: видео и аудио с «участием» руководителей компаний, известных экспертов или якобы сотрудников биржи могут использоваться для повышения доверия к фальшивым запросам и ссылкам. В своем отчете аналитики AhnLab предупреждают, что deepfake-атаки будут развиваться до уровня, при котором жертвам станет крайне трудно отличить подделку от реальности. Это повышает риск утечек конфиденциальных данных и делает особенно важными меры по защите информации и мониторингу аномального поведения аккаунтов и систем.