22 секунды - столько времени нужно хакерам для захвата всей сети
Владельцам систем остаётся только наблюдать за чужим сценарием.
Mandiant опубликовала свежий отчёт M-Trends 2026, и картина киберугроз за прошлый год выглядит тревожно. Атаки стали быстрее, скрытнее и разрушительнее, а граница между разными типами злоумышленников постепенно размывается. Одни действуют молниеносно, другие закрепляются в инфраструктуре на месяцы, оставаясь незамеченными.
Документ основан на более чем 500 тысячах часов расследований инцидентов по всему миру за 2025 год. Среднее время скрытого присутствия злоумышленников в сети выросло до 14 дней против 11 годом ранее. В операциях кибершпионажа показатель достигает 122 дней, что указывает на рост сложности атак и умение обходить защиту.
Основным способом проникновения остаётся эксплуатация уязвимостей — на неё пришлось 32 процента инцидентов. При этом резко выросла доля голосового фишинга — до 11 процентов. Электронная почта, наоборот, теряет позиции: такие атаки упали до 6 процентов случаев. Всё чаще злоумышленники воздействуют на сотрудников напрямую, имитируя звонки в службы поддержки и обходя многофакторную аутентификацию.
Ещё один заметный сдвиг — почти мгновенная передача доступа между группами. Если в 2022 году между взломом и началом активной фазы проходило более восьми часов, то в 2025 году этот промежуток сократился до 22 секунд. Первая группа готовит инфраструктуру, вторая сразу запускает вредоносные операции, включая шифровальщики.
При этом сами программы-вымогатели изменили тактику. Теперь задача не только зашифровать данные, но и лишить компанию возможности восстановиться. Злоумышленники атакуют резервные копии, системы управления виртуализацией и сервисы идентификации. В результате организация оказывается перед выбором — платить или строить инфраструктуру заново.
Отдельное внимание в отчёте уделено атакам на сетевые устройства — маршрутизаторы и VPN. Такие системы часто не контролируются стандартными средствами защиты. Злоумышленники используют уязвимости ещё до выхода обновлений и внедряют вредоносный код, который сохраняется даже после перезагрузки. В ряде случаев присутствие в сети длится до 400 дней, а стандартные журналы событий просто не позволяют восстановить цепочку атаки.
Авторы отчёта также фиксируют рост использования искусственного интеллекта. Некоторые вредоносные программы обращаются к языковым моделям во время работы, чтобы менять поведение и избегать обнаружения. Однако ключевой причиной успешных атак остаются базовые ошибки — слабый контроль доступа, уязвимые сервисы и недостаточный мониторинг.
На фоне этих изменений компании всё чаще обнаруживают атаки собственными силами — в 52 процентах случаев против 43 годом ранее. При этом основными целями стали технологические компании, обогнавшие финансовый сектор.
В Mandiant считают, что защита должна меняться вместе с атаками. Речь идёт о постоянной проверке учётных записей, расширении логирования и переходе от статических индикаторов к анализу поведения. Без таких шагов отставание от злоумышленников будет только расти.
