В Kaspersky GReAT назвали главные тренды кибератак 2026 года

Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили 30 новых сложных целевых киберкампаний (APT), направленных на Россию, в 2025 году. Они считаются одними из самых опасных: злоумышленники используют продвинутые инструменты и хитрые тактики, чтобы проводить скрытые таргетированные атаки.

Всего, по данным «Лаборатории Касперского», сейчас в мире действует около тысячи активных APT-групп и кластеров активности, причем цель 90% из них — кибершпионаж. На фоне глобальных кризисов и геополитической напряженности эта угроза становится еще более актуальной для организаций во всем мире. В Kaspersky GReAT рассказали, как изменятся сложные целевые кибератаки в 2026 году, и выделили шесть ключевых тенденций, которые стоит учитывать бизнесу.

Что ждет в 2026 году

ИИ усложнит атрибуцию кибератак. В 2025 году мы наблюдали, как возможности искусственного интеллекта для разработки собственных вредоносов уже использовали многие хакерские группы по всему миру, в том числе в России. Злоумышленники продолжат активно применять ИИ для создания фишинговых рассылок и других материалов, а также вредоносных программ: технология позволяет создавать значительные части кода, переписывать его на другие языки, адаптировать под разную архитектуру. ИБ-специалистам станет сложнее атрибутировать такие атаки, поскольку сгенерированный контент выглядит стандартно и в нем отсутствует характерный почерк, свойственный той или иной группировке. При исследовании инцидентов в первую очередь будут учитываться особенности инфраструктуры злоумышленников, набор инструментов и частота их использования, поведенческие индикаторы. 

Шифровальщики сменят фокус на уничтожение инфраструктуры компаний. В этом году, вероятно, вырастет количество атак с использованием программ-вымогателей, при которых злоумышленники будут не просто шифровать данные и требовать выкуп, но и пытаться нанести ущерб инфраструктуре организации. Нарушение производственных и бизнес-процессов позволит им создать дополнительное давление на жертв и повысит шансы «заработать».

ИИ-агенты на стороне атакующих. ИИ-агенты, то есть системы, которые умеют сами принимать решения и действовать, даже когда задача поставлена не совсем четко и без помощи человека, выходят за рамки экспериментов энтузиастов и постепенно становятся полноценным инструментом для решения самых разных задач. Организации все чаще внедряют ИИ-агенты не только для разработки ПО, но и для автоматизации внутренних процессов и административных задач. Некоторые такие решения имеют широкий или даже полный доступ к корпоративной системе компании, что делает их интересной мишенью для злоумышленников. В случае взлома атакующие могут изменить системный промпт или конфигурацию агента, чтобы, например, он загружал вредоносный код при каждом запуске.

Искусственный интеллект затруднит обнаружение. Раньше злоумышленники маскировали вредоносную активность с помощью крипторов, то есть специальных инструментов для запутывания кода, чтобы избежать обнаружения защитными решениями. Теперь ИИ позволяет атакующим полностью переписывать вредоносные программы, например менять язык и архитектуру, сохраняя при этом их функциональность. Это еще больше усложняет детектирование кибератак, а системам безопасности приходится реагировать и адаптироваться значительно быстрее.

Злоумышленники будут прятать украденные данные в «облаках». Атакующие продолжат активно эксплуатировать легитимные облачные хранилища, передавая через них украденные данные. Для затруднения обнаружения злоумышленники будут пытаться маскировать эту активность под обычный пользовательский трафик.

Спутниковая инфраструктура под угрозой. Спутниковый интернет становится все более распространенным, например в области авиации и других транспортных направлениях. Количество подключенных систем и пользователей продолжит расти. В результате спутники и связанные с ними наземные станции могут стать привлекательными целями для злоумышленников. Компрометация таких систем может одновременно затронуть сразу большое количество пользователей и сервисов.

«Сегодня искусственный интеллект лишь постепенно проникает в кибермир: отдельные злоумышленники уже используют его возможности, но масштабного влияния пока нет. Однако мы ожидаем, что в 2026 году ИИ станет одним из ключевых факторов, определяющих ландшафт угроз во всем мире. Он помогает атакующим ускорять создание вредоносного ПО, оптимизировать ресурсы, совершенствовать методы и масштабировать операции, — комментирует Георгий Кучерин, старший эксперт Kaspersky GReAT. — Для организаций это сигнал к тому, что в будущем техники и тактики групп будут стремительно меняться, и только постоянное отслеживание актуальных угроз с помощью качественной аналитики Threat Intelligence позволит нарушать планы злоумышленников и предотвращать потери бизнеса».