Ситуация на российской арене кибербезопасности непрерывно меняется, но некоторые изменения непросто заметить со стороны. Cyber Media обсудил с Олегом Скулкиным, руководителем BI.ZONE Threat Intelligence, на какие события и тренды необходимо обратить внимание, ведь они определят весь ландшафт угроз в 2026 году.
Cyber Media: Какое событие в области ИБ вы бы назвали главным в 2025 году?
Олег Скулкин: 2025 год принес много новых компрометаций, кластеров активности, уязвимостей, ВПО и инструментов. Однако к главному событию я бы отнес вепонизацию ИИ. Cейчас не очень заметно, как это влияет на ландшафт угроз, но мы фиксируем растущий интерес к ИИ-инструментам среди атакующих. К тому же появляется больше предложений подобного ПО на теневых ресурсах: сегодня там можно найти не менее десяти инструментов, позволяющих работать с ИИ без этических ограничений.
Cyber Media: В 2025 году много говорили о первых образцах вымогателей, использующих ИИ для генерации кода прямо «на борту». Это всё еще экзотика или мы на пороге массовой автоматизации атак, где участие человека минимально?
Олег Скулкин: На самом деле автоматизация атак была и ранее. В 2025 году мы уже видели использование ИИ-агентов для автоматизации жизненного цикла атаки. Думаю, в этом году таких попыток будет еще больше. Тем не менее применение ИИ становится массовым: злоумышленники создают дипфейки и фишинговые документы, используют LLM для разработки ВПО, инструментов, эксплоитов и просто консультируются с языковыми моделями в рамках реализации кибератак.
Сегодня на теневых ресурсах можно найти не менее десяти инструментов, позволяющих работать с ИИ без этических ограничений
Cyber Media: Как сейчас развивается ландшафт угроз — есть ли какие-нибудь неожиданные тенденции?
Олег Скулкин: Финансовая мотивация остается превалирующей — 47% от общего числа атак. Также мы фиксируем рост активности шпионских кластеров. В 2025 году злоумышленники чаще всего атаковали госсектор, финансовые, транспортные и логистические организации.
Фишинг и компрометация учетных данных остаются наиболее популярными методами получения первоначального доступа. При этом использовать уязвимости стали значительно меньше.
Атакующие активно экспериментируют с легитимными инструментами. Это отражается на выборе интерпретаторов, например AutoIt и Python, а также на выборе инструментов: легитимных средств удаленного доступа, туннелирования и т. п. Злоумышленники пробуют и разные методы получения первоначального доступа. Например, мы все чаще видим применение техники COM Hijacking.
В некоторых случаях в атаках на российские компании злоумышленники использовали 0-day-уязвимости. Так, кластер Paper Werewolf с их помощью выполнял вредоносный код в скомпрометированной системе.
Ну и, разумеется, атакующие активно применяют ИИ: сразу несколько кластеров активности задействовали такие инструменты.
Cyber Media: Можно ли говорить о том, что компании адаптировались к возросшей угрозе кибератак?
Олег Скулкин: И да и нет. В условиях постоянных кибератак уровень кибербезопасности организаций постоянно растет. Однако все еще находятся компании, которые задумываются о кибербезопасности только после того, как инцидент произошел.
Cyber Media: Как вы считаете, ужесточение законодательства (например, введение оборотных штрафов за утечки, необходимость сообщать о кибератаках в НКЦКИ и проч.) поможет поменять ситуацию?
Олег Скулкин: Я не могу, как эксперт, оценивать те или иные законодательные новации. Но могу сказать, чем жестче регулирование со стороны государства, тем злоумышленникам сложнее действовать. Им приходится больше тратить ресурсов и времени для подготовок на атаки, а менее квалифицированные хакеры попросту уходят.
Cyber Media: Что нового по части вредоносных инструментов? В одном из прошлых интервью мы с вами говорили об угрозах легитимных утилит — она по-прежнему актуальна?
Олег Скулкин: Да, думаю, они будут актуальны еще очень долго. Проблема в их легитимности: такие инструменты позволяют злоумышленникам не только обходить средства защиты, но и «смешиваться» с абсолютно легитимной активностью, поскольку эти утилиты могут уже использоваться в скомпрометированной инфраструктуре. Стоит отметить, что атакующие меняют ПО на аналоги, если СЗИ стали легко обнаруживать первоначальный инструмент. Другой вариант — используют крайне редкие инструменты. Так, например, делал кластер Guerrilla Hyena, когда применял средство удаленного доступа Aspia.
Защититься от всего просто невозможно, а выстраивать защиту от того, чего не знаешь и не понимаешь, — едва ли решаемая задача
Cyber Media: Мы видели всплеск хактивизма в прошлые годы. Актуально ли это направление сегодня, или «идейные» атакующие постепенно переходят в разряд профессиональных шпионов или наемников?
Олег Скулкин: Хактивистские кластеры все чаще демонстрируют значительные сдвиги в мотивации, занимаясь как шпионажем, так и получением финансовой выгоды. Тем не менее геополитический контекст едва ли позволит полностью исключить такую активность из ландшафта угроз.
Cyber Media: Какие подходы к ИБ вы считаете наиболее перспективными с точки зрения управления рисками на сегодняшнем ландшафте киберугроз?
Олег Скулкин: Чтобы управлять рисками, нужно их понимать. Важно знать, кто и как будет атаковать организацию. К сожалению, как показывает практика, защититься от всего просто невозможно, а выстраивать защиту от того, чего не знаешь и не понимаешь, — едва ли решаемая задача. В то же время, когда организация обладает этой информацией, защищенность становится более прозрачной. Приходит понимание, какие уязвимости и мисконфигурации нужно исправлять в первую очередь, на какие алерты стоит обращать повышенное внимание и какие инструменты необходимы, чтобы защитить бизнес от актуальных угроз.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
Гибкость — один из ключевых навыков менеджмента, в том числе в образовании.
Чем стейблкоины привлекательны для злоумышленников, в каких схемах они используются и какие меры позволяют своевременно выявлять и предотвращать вовлечение в незаконные транзакции — об этом в интервью Федора Иванова, директора по аналитике AML/KYT провайдера «Шард».
В интервью Cyber Media старший эксперт SecOps Альфа-Банка Николай Лапин рассказал, почему облака становятся одной из ключевых целей атак, какие уязвимости используются чаще всего и возможно ли в принципе построить по-настоящему безопасную облачную инфраструктуру.
Схемы кибератак меняются все быстрее, а генеративный искусственный интеллект снижает барьер для входа в мир киберпреступности.
Как внедрить безопасность в разработку, не замедляя бизнес-процессы?
В последние годы компании начали смотреть на хранение паролей чуть внимательнее.
Дмитрий Овчинников — архитектор информационной безопасности UserGate.
