27 секунд на взлом и никакого вируса. Рассказываем, как хакеры изменили правила игры в 2025 году

Киберпреступники в 2025 году резко прибавили в скорости и всё чаще обходились без вредоносных программ, маскируя атаки под обычную работу в системах. Такой вывод делает CrowdStrike в отчёте Global Threat Report 2026, где прошлый год прямо называют «годом уклоняющегося противника». По данным компании, злоумышленники стали активнее использовать доверенные учётные записи, легальные сервисы и штатные инструменты, из-за чего атаки всё труднее отличить от нормальной активности.

Одна из самых заметных цифр в отчёте – рост числа атак с применением средств искусственного интеллекта на 89% по сравнению с 2024 годом. Авторы пишут, что такие инструменты ускорили фишинг, разведку и подготовку операций. При этом речь чаще идёт не о принципиально новых приёмах, а об ускорении уже знакомых схем. На страницах отчёта отдельно отмечено, что злоумышленники применяют ИИ для социальной инженерии, перевода приманок на нужные языки, написания сценариев и даже помощи в постэксплуатации после взлома.

Скорость атак выросла настолько, что у защитников остаётся всё меньше времени на реакцию. Среднее время выхода злоумышленника за пределы первоначально взломанной машины в сегменте eCrime сократилось до 29 минут, а самый быстрый зафиксированный случай занял всего 27 секунд. В одном из инцидентов попытка вывода данных началась через четыре минуты после первоначального доступа.

Ещё один важный сдвиг – атаки всё чаще идут без классического вредоносного кода. CrowdStrike сообщает, что 82% обнаружений в 2025 году были «безвредоносными» в этом смысле: злоумышленники действовали через легитимные учётные данные, доверенные потоки аутентификации, одобренные интеграции облачных сервисов и элементы цепочки поставок программ. Это хорошо укладывается в общую картину, когда главным инструментом становится не файл-вредонос, а доступ и доверие.

В облачной среде давление тоже выросло. По отчёту, число вторжений с выраженным акцентом на облачную инфраструктуру увеличилось на 37%, а среди групп, связанных с государствами, рост составил 266%. В 35% облачных инцидентов ключевую роль сыграло злоупотребление действующими учётными записями. Авторы отдельно подчёркивают, что атака на личность и доступ стала центральной частью современных вторжений.

На фоне этого усилилась и эксплуатация уязвимостей нулевого дня до их публичного раскрытия. CrowdStrike зафиксировала рост на 42% год к году. В отчёте также говорится, что злоумышленники, связанные с Китаем, нарастили активность на 38%, а в 67% использованных ими уязвимостей дефект сразу давал доступ к системе. При этом 40% таких уязвимостей приходились на пограничные устройства, доступные из интернета, включая сетевое оборудование. Новые уязвимости, как отмечают авторы, нередко превращались в рабочие средства атаки за считаные дни.

Отдельная линия отчёта – рост атак на цепочки поставок программ. CrowdStrike описывает случаи, когда злоумышленники не били напрямую по конечной организации, а внедрялись выше по цепочке – в поставщиков, среды разработки и общедоступные хранилища кода. Такой подход позволяет тише и шире распространять доступ. В документе упоминается и крупный инцидент с кражей криптовалюты через подменённое программное обеспечение, доставленное через компрометацию цепочки поставок.

Если свести выводы отчёта к одной мысли, то главная проблема уже не только в количестве атак, а в том, как быстро и незаметно они проходят через доверенные каналы. Злоумышленники всё чаще используют то, чему компании привыкли доверять, – учётные записи, облачные сервисы, встроенные инструменты и партнёрские связи. И именно поэтому окно на обнаружение и остановку вторжения продолжает сужаться.