Ваш антивирус ищет шум. Хакеры работают в тишине — и это проблема

Хакеры больше не врываются в систему с грохотом. Они заходят тихо, устраиваются поудобнее и живут внутри сети месяцами. Такой вывод сделали аналитики Picus Labs в отчете Red Report 2026, где изучили свыше 1,1 млн вредоносных файлов и более 15,5 млн действий злоумышленников за 2025 год

Авторы отчета отмечают резкий сдвиг в стратегии атак. Если раньше главной угрозой считались шифровальщики, которые парализуют бизнес, то теперь приоритет сместился к скрытности и закреплению в инфраструктуре. Восемь из десяти самых распространенных техник в базе MITRE ATT&CK связаны с обходом защитных механизмов и сохранением доступа. По сути, злоумышленники ведут себя как «цифровые паразиты» и стараются как можно дольше оставаться незамеченными.

Самой популярной техникой третий год подряд остается внедрение кода в процессы. Ее обнаружили в 30 процентах вредоносных образцов. Суть метода проста: вредоносный код встраивают в память легитимного процесса Windows, например проводника или системной службы, и он работает от его имени. Так действовал кейлоггер TinkyWinkey, который запускал свою нагрузку внутри доверенных процессов и скрывал кражу данных от диспетчера задач

На втором месте оказалась эксплуатация командных интерпретаторов и сценариев. Группировка DragonForce применяла однострочные команды PowerShell, чтобы загружать и запускать вредоносный код прямо в памяти, не оставляя файлов на диске. На компьютерах Apple вредонос Atomic Stealer использовал сценарии AppleScript для кражи паролей через поддельные системные окна Злоумышленники все чаще «живут за счет инфраструктуры жертвы», используя штатные инструменты администрирования.

Отдельное внимание в отчете уделили краже учетных данных. Техника извлечения паролей из хранилищ браузеров и менеджеров встретилась почти в каждом четвертом случае. Вредонос SantaStealer, например, не ломал шифрование Chrome, а обращался к легитимным интерфейсам браузера и получал расшифрованные пароли так же, как это делает сам браузер. Это подтверждает, что главная цель злоумышленников сегодня не разрушение, а контроль над учетными записями.

При этом доля техники «шифрование данных с целью воздействия», характерной для программ-вымогателей, за год снизилась на 38%. В 2025 году она встречалась в 21% образцов, а в 2026 году уже в 12,9%. Шифровальщики никуда не исчезли, но теперь чаще сочетают блокировку с кражей данных и шантажом.

Выросла и популярность обхода песочниц и виртуальных сред. Современные образцы анализируют поведение пользователя и даже считают траекторию движения мыши. LummaC2, как указано в отчете, вычисляет евклидово расстояние и углы перемещения курсора. Если движение выглядит «нечеловеческим», вредонос не активируется

Еще одна тревожная тенденция связана с аппаратным доступом. В отчете описаны так называемые «фермы ноутбуков», которыми управляли операторы из КНДР. Они подключали устройства IP-KVM к портам HDMI и USB, получая контроль на уровне BIOS. Такой доступ работает ниже операционной системы и делает традиционные средства защиты бессильными

Отдельный блок посвящен использованию облачных сервисов для управления вредоносом. Авторы приводят пример бэкдора SesameOp, который передавал команды через интерфейс OpenAI, маскируя связь под обычную работу с сервисами искусственного интеллекта. Другие группы обращались к хранилищам секретов в облаке через интерфейсы поставщиков, чтобы красть учетные данные без прямого контакта с конечной точкой. Всего за год аналитики выявили более 13,3 млн техник в рамках MITRE ATT&CK, в среднем по 12 различных техник на один вредоносный образец

Картина складывается однозначная. Атаки становятся менее шумными, но более продолжительными и системными. И если раньше компании боялись, что их данные зашифруют, то теперь им стоит опасаться, что злоумышленники уже находятся внутри сети и действуют от имени легитимных пользователей.