Киберпреступная гидра: вредоносы, стилеры и вымогатели слились воедино — отрубишь одну голову, атакуют три других

Киберугрозы уже плохо укладываются в аккуратные категории вроде вредоносного ПО, кражи учетных данных или атак на инфраструктуру. По оценке Flashpoint, к 2026 году все эти направления сплелись в 1 плотный поток, где одни и те же злоумышленники одновременно работают с украденными логинами, уязвимостями, программами-вымогателями, фишингом и автоматизацией на базе ИИ. Меняется и скорость атак. Если раньше во многих схемах ключевую роль играл человек, теперь все заметнее переход к машинному темпу, где часть операций берут на себя агентные ИИ-системы: собирают данные, подстраивают сообщения под жертву, меняют инфраструктуру, учатся на неудачных попытках и продолжают атаку почти без пауз.

Именно такую картину Flashpoint описывает в своем Global Threat Intelligence Report 2026. Доклад адресован не только командам киберразведки и управления уязвимостями, но и специалистам по физической безопасности, а также офису CISO, то есть руководителям, которые отвечают за общую стратегию защиты компании. Авторы прямо пишут, что привычные изолированные контуры внутри безопасности распались, а фрагментарный обзор больше не помогает держать ситуацию под контролем. Когда злоумышленники одновременно бьют по личности пользователя, слабым местам инфраструктуры и автоматизации, защита по отдельным направлениям начинает опаздывать.

В отчете есть несколько цифр, которые хорошо показывают масштаб сдвига. В конце 2025 года незаконная активность, связанная с ИИ, выросла на 1500% всего за 1 месяц. За весь 2025 год Flashpoint насчитала 3,3 миллиарда скомпрометированных учетных данных и облачных токенов. Число инцидентов с программами-вымогателями с января по декабрь 2025 года выросло на 53%. Количество раскрытых уязвимостей за тот же период увеличилось на 12%, причем промежуток между публикацией проблемы и ее массовой эксплуатацией, по оценке компании, почти исчез.

Основа доклада - данные Flashpoint Primary Source Collection, собственной модели сбора разведывательной информации из первоисточников. Компания делает ставку на сведения из самих враждебных сред, а не только на внешние отчеты и агрегированные обзоры. Такой подход, по мысли авторов, нужен потому, что современные атаки слишком быстро меняются и слишком часто рождаются в закрытых или полузакрытых криминальных экосистемах, где сигнал о новой схеме появляется раньше, чем ее успевают заметить классические средства мониторинга.

Один из главных тезисов доклада касается агентного ИИ. Flashpoint считает, что 2026 год станет временем кибератак, в которых такие системы начнут играть центральную роль. Под агентным ИИ здесь понимаются не просто генераторы текста или картинок, а более самостоятельные инструменты, которые могут выполнять целую цепочку действий: собирать информацию, менять тактику, запускать новые итерации атаки и дорабатывать схему после неудачи. По данным компании, в ноябре и декабре 2025 года обсуждения ИИ в нелегальной среде выросли на 1500%, и речь уже идет не о любопытстве или абстрактных экспериментах, а о переходе к созданию вредоносных фреймворков.

Flashpoint отдельно пишет, что подобные системы строятся на данных из криминальной среды и затачиваются под реальные мошеннические сценарии. Такие инструменты умеют собирать сведения, переписывать сообщения под конкретную цель, переключать инфраструктуру и учитывать итоги прошлых провалов без постоянного участия оператора. На практике смысл простой и неприятный: цена неудачи для злоумышленника падает. Когда автоматизация делает каждую новую попытку дешевой, атакующий может снова и снова перебирать варианты, пока не найдет рабочую точку входа. В отчете такую эволюцию связывают с vibe-coded фишингом, ИИ-поддерживаемыми приманками, вредоносным ПО и новыми площадками для киберпреступности.

Второй крупный сдвиг связан с тем, что главным вектором проникновения становится уже не уязвимость в коде, а чужая цифровая личность. Flashpoint формулирует тезис прямо: identity is the new exploit, личность стала новой уязвимостью. В 2025 году компания зафиксировала более 11,1 миллиона зараженных машин, на которых работали стилеры. Стилер - это вредоносная программа, которая крадет пароли, cookie-файлы, токены, данные автозаполнения и другую информацию, полезную для захвата аккаунтов. Именно такие заражения, по оценке Flashpoint, подпитали гигантский рынок из 3,3 миллиарда украденных учетных данных и облачных токенов.

Из-за этого меняется и сама механика преступлений. Раньше атакующий часто пытался проломить защиту через уязвимость или грубый перебор. Теперь все чаще задача сводится к тому, чтобы просто войти как легитимный пользователь. Украденные сессионные cookie-файлы, логины и токены позволяют действовать почти как настоящий владелец аккаунта. Для защитников такой поворот особенно неприятен, потому что многие старые рубежи рассчитаны на явный взлом, а не на тихую авторизацию с подлинными учетными данными.

Отдельно в отчете выделен рынок вымогательства, который Flashpoint описывает как все более профессиональную франшизную модель. Подобная схема давно известна по RaaS, то есть ransomware-as-a-service, когда одни группы строят платформу, инструменты, поддержку и инфраструктуру, а другие используют готовый набор в реальных атаках. В докладе в качестве примеров упомянуты RansomHub и Clop. Авторы рассматривают их не как единичные банды, а как показатель целой экономики, где киберпреступность работает почти как бизнес с разделением ролей, каналами распространения и повторно используемыми инструментами.

На таком фоне особенно важен еще 1 поворот: вымогатели все чаще атакуют не код, а человека. Flashpoint подчеркивает, что по мере укрепления технической защиты от классического шифрования злоумышленники смещаются к более простому пути - человеческому доверию. Компания описывает такой сценарий формулой «ransomware is hacking the person, not the code», вымогательство взламывает человека, а не программу. Отсюда и рост числа инцидентов: с января по декабрь 2025 года их стало на 53% больше, а более 87% всех атак с вымогательством пришлись на группы, работающие по модели RaaS.

По сути речь идет о сдвиге от чисто технического шифрования к вымогательству через учетные записи, доступы и психологическое давление. Если злоумышленник уже вошел в систему под видом сотрудника, получил доступ к облаку, выгрузил данные и понял, как устроены внутренние процессы, ему уже не всегда нужно запускать громкую стадию с массовым шифрованием. Давление можно строить на угрозе публикации данных, сбоя бизнес-процессов, шантаже сотрудников и руководства. Такой путь часто проще, быстрее и безопаснее для атакующего.

Третья важная тема доклада - уязвимости и сокращение времени на установку патчей. По данным Flashpoint, число раскрытых уязвимостей в 2025 году выросло на 12%, а для каждой третьей, 33%, уже был доступен публичный эксплойт-код. Для защитников особенно неприятна не сама прибавка, а почти исчезнувший временной зазор между обнаружением проблемы и ее массовым использованием. Компания приводит тревожный ориентир: уязвимости нулевого дня в ряде случаев начинали массово эксплуатировать уже через 24 часа после раскрытия. Нулевой день, или zero-day, - это уязвимость, для которой у защитников почти нет времени на исправление и развертывание компенсирующих мер.

Именно поэтому в отчете говорится, что окно для патчинга быстро закрывается. Раньше у компаний еще оставался более или менее понятный цикл: узнать о проблеме, оценить риск, согласовать обновление, протестировать его и развернуть исправление. Теперь у многих организаций такого запаса уже нет. Если публикация быстро сопровождается рабочим кодом для эксплуатации, а злоумышленники вдобавок автоматизируют поиск и атаку, задержка даже на 1-2 дня начинает выглядеть слишком дорогой.

Flashpoint сводит всю картину к 4 основным темам, которые будут определять ландшафт угроз в 2026 году. Первая - эра агентных кибератак, где автоматизация на базе ИИ ускоряет весь цикл. Вторая - превращение цифровой личности в главный путь проникновения, когда украденные логины, токены и сессии работают лучше классического взлома. Третья - резкое сжатие окна между раскрытием уязвимости и ее эксплуатацией. Четвертая - перерождение вымогательства в схему, которая все чаще давит на человека и доверие, а не только на шифрование файлов.

Авторы доклада делают из этого жесткий вывод: косметических улучшений старых моделей защиты уже недостаточно. Когда противник действует с машинной скоростью, преимущество получает не тот, у кого просто больше средств защиты по периметру, а тот, кто раньше остальных видит враждебную среду и понимает, как именно в ней рождаются атаки. Flashpoint прямо предупреждает, что защитники, которые опираются на фрагментарную видимость, будут отставать по определению.

Отсюда вытекает и главный практический совет компании: защита должна строиться вокруг разведки, а не только вокруг реагирования. Под разведкой в данном случае понимается не абстрактное чтение новостей, а работа с первоисточниками из враждебных экосистем, где обсуждают новые схемы, торгуют доступами, выкладывают эксплойты и собирают инструменты для автоматизации атак. Для организаций и сообществ, по мнению Flashpoint, именно такой intelligence-first-подход становится основой устойчивости в новой среде.

В целом доклад рисует неприятную, но очень последовательную картину. Киберпреступность все сильнее индустриализируется, а границы между фишингом, стилерами, вымогательством, эксплуатацией уязвимостей и злоупотреблением украденной личностью почти стираются. ИИ в такой системе играет уже не роль экзотической надстройки, а роль ускорителя, который удешевляет перебор, помогает злоумышленникам быстрее адаптироваться и позволяет масштабировать атаки без сопоставимого роста человеческих усилий. На таком фоне защита перестает быть вопросом отдельных средств и все больше становится вопросом темпа: кто быстрее увидит замысел, пока атака еще только собирается.