Отчет CrowdStrike 2026 Global Threat Report показывает, что злоумышленники все чаще используют действующие учетные записи, облачные сервисы, стандартные инструменты и цепочки поставок для обхода защиты. Атаки становятся быстрее, и искусственный интеллект помогает им применять известные методы с большей частотой и скоростью. SecPost анализирует отчет CrowdStrike 2026 Global Threat Report.
Ускорение атак и снижение необходимости в вредоносных программах
В CrowdStrike 2026 Global Threat Report подводятся итоги по угрозам, зафиксированным в 2025 году. Основной тенденцией авторы считают злоупотребление доверием к учетным записям, стандартным инструментам, облачным сервисам и поставщикам. Злоумышленники действуют как обычные пользователи: входят в системы с помощью действительных учетных данных, используют стандартные административные инструменты и перемещаются по разным частям инфраструктуры.
Согласно данным CrowdStrike, 82% атак проходили без использования вредоносных программ, по сравнению с 51% в 2020 году. Среднее время от первоначального проникновения до начала движения по инфраструктуре сократилось с 48 минут в 2024 году до 29 минут в 2025 году. В одном из самых быстрых случаев злоумышленнику потребовалось всего 27 секунд. В одном эпизоде данные начали выводиться через четыре минуты после получения удаленного доступа.
CrowdStrike отмечает рост атак с использованием ИИ и на облачную инфраструктуру, сокращение времени развития атак и увеличение доли вторжений без вредоносных программ.
Искусственный интеллект ускоряет известные методы атак
Количество атак с использованием ИИ увеличилось на 89% за год. CrowdStrike отмечает, что ИИ в основном ускоряет уже известные операции: разведку, создание фишинговых материалов, написание кода и обработку похищенной информации. Злоумышленники применяют ИИ для разведки, подготовки фишинговых писем и сайтов, перевода приманок, создания фиктивных профилей, написания кода и обработки украденной информации.
Связанная с КНДР группа FAMOUS CHOLLIMA использовала ChatGPT, Gemini и ИИ-инструменты для программирования в операциях с фальшивыми ИТ-сотрудниками. Группа FANCY BEAR включила в программу LAMEHUG запросы к языковой модели, что позволяло собирать информацию о системе и искать нужные документы. Однако CrowdStrike отмечает, что применение ИИ не сделало этот софт существенно эффективнее традиционных вредоносных решений.
Целями атак становятся и сами ИИ-системы. В 2025 году атакующие успели использовать уязвимость в Langflow – платформе для создания ИИ-агентов и приложений на основе языковых моделей, распространяя поддельные компоненты для ИИ-агентов и пытаясь внедрять скрытые команды в сообщения, проверяющие системы защиты на базе ИИ.
Злоумышленники применяют ИИ для подготовки ресурсов, выполнения команд, обхода защиты, разведки и сбора данных. На схеме показано изменение числа таких инцидентов по сравнению с 2024 годом.
Вымогатели перемещаются между частями инфраструктуры
Группы-вымогатели стараются избегать рабочих станций и серверов с установленными мерами безопасности. Вместо этого они используют облачные приложения, учетные записи, сетевое оборудование, системы виртуализации и неуправляемые устройства. Разные части инфраструктуры часто контролируются отдельными командами, из-за чего общая последовательность атак может оставаться незамеченной.
Группа SCATTERED SPIDER звонила в службу поддержки, убеждая сотрудников сбросить пароли к облачным учетным записям. Затем группа использовала незащищенные виртуальные машины для копирования базы данных Active Directory. В одном случае от первого обращения в службу поддержки до получения этих данных прошло около трех часов.
Группа PUNK SPIDER запускала программу-вымогатель на неуправляемом устройстве и удаленно шифровала файлы на сетевых папках. В 2025 году CrowdStrike зафиксировала 198 инцидентов этой группы, что на 134% больше по сравнению с предыдущим годом.
Группа использовала периферийные устройства, учетные записи, облачные сервисы и системы виртуализации для последовательного перемещения по инфраструктуре, вывода данных и запуска программы-вымогателя.
Китайские группы атакуют периферийные устройства
Активность групп, связанных с Китаем, возросла на 38% за год. Число атак на логистические компании увеличилось на 85%, на телекоммуникационные — на 30%, на финансовые организации — на 20%.
Основными точками входа стали VPN-шлюзы, межсетевые экраны и другие устройства, доступные из интернета. Согласно отчету, 67% всех уязвимостей давали возможность удаленно выполнять код и получать доступ к системе. На доступные из интернета периферийные устройства приходилось 40% использованных уязвимостей.
Некоторые уязвимости начали использоваться всего через несколько дней после публикации информации о них. В одном случае атака была осуществлена через три дня после раскрытия уязвимости, в другом — через шесть дней после публикации открытого кода для ее эксплуатации. После проникновения группы устанавливали средства скрытого доступа для сохранения присутствия в системах и сбора данных.
Расширение масштабов атак через цепочки поставок
Компрометация поставщика, системы сборки или общественного репозитория позволяет злоумышленникам распространять вредоносный код как часть доверенного продукта. В феврале 2025 года PRESSURE CHOLLIMA внедрила код в программное обеспечение криптовалютного кошелька Safe{Wallet}. В результате на бирже Bybit были украдены криптовалютные средства на сумму $1,46 миллиарда. CrowdStrike называет этот инцидент крупнейшей известной разовой кражей, связанной с кибератакой.
В ноябре были скомпрометированы 690 пакетов в репозитории npm, через которые распространился самораспространяющийся похититель данных ShaiHulud.
Второй риск связан с облачными поставщиками. Похищенные токены интеграции позволяют злоумышленникам перемещаться от одного сервиса к данным его клиентов. CrowdStrike описывает такой сценарий на примере кражи токенов интеграции Drift из среды Salesloft.
Облако и учетные записи — основной путь проникновения
Число атак, целенаправленно использующих особенности облачной инфраструктуры, увеличилось в 2025 году на 37%. Рост среди групп, связанных с государствами, составил 266%. В 35% облачных инцидентов использовались действующие учетные записи.
Злоумышленники атакуют учетные записи и механизмы входа Microsoft Entra ID, системы единого входа и службы, связывающие локальные каталоги с облаком. Получив доступ, они повышают права, изменяют настройки входа, исследуют данные в Microsoft 365 и SharePoint, создают правила пересылки почты и пытаются отключить уведомления о безопасности.
CrowdStrike акцентирует внимание на рисках, связанных со служебными учетными записями, приложениями и ИИ-агентами. Они могут обладать широкими правами и функционировать без постоянного контроля человека. Похищенные токены доступа позволяют взаимодействовать с облачными сервисами без повторного ввода пароля.
Прогнозы и рекомендации CrowdStrike
CrowdStrike ожидает, что в 2026 году продолжится рост атак с использованием ИИ, компрометации цепочек поставок и злоупотребления облачными учетными записями. Вымогательские группы будут перемещаться между устройствами, облачными сервисами и системами виртуализации, а группы, связанные с Китаем, сохранит интерес к периферийному оборудованию.
Компания рекомендует применять многофакторную аутентификацию, устойчивую к фишингу, ограничивать права пользователей, приложений и служебных учетных записей, а также отслеживать необычное использование токенов доступа. Данные с рабочих станций, облаков, SaaS, сетевого оборудования и систем виртуализации должны анализироваться совместно.
Организациям рекомендуется проверять поставщиков и программные зависимости, защищать процессы разработки, контролировать использование ИИ сотрудниками, а также заранее готовить планы реагирования и восстановления. Особое внимание должно уделяться виртуальным машинам и устройствам, на которых отсутствуют средства защиты.
Полный текст отчета CrowdStrike 2026 Global Threat Report.