Mandiant выпустила отчет M-Trends 2026 о реальных киберинцидентах. В нём собраны данные из 500 тысяч часов расследований, которые компания проводила в 2025 году. Документ показывает несколько важных изменений: злоумышленники быстрее передают доступ между группами, чаще используют уязвимости в ПО, активнее действуют через голосовую социальную инженерию и всё чаще атакуют резервные копии, службы идентификации и виртуализацию.
Самая заметная цифра — 22 секунды. Именно столько в 2025 году составляло медианное время между первичным доступом и передачей этого доступа другой группе. В 2022 году показатель превышал 8 часов. Это означает, что рынок киберпреступности стал работать почти как конвейер: как только одна группа получает точку входа, другая сразу же развивает атаку.
В отчёте это называют усилением специализации и сотрудничества в экосистеме киберпреступности. Партнеры по первоначальному доступу используют методы с низким уровнем воздействия, такие как вредоносная реклама или метод социальной инженерии ClickFix, чтобы закрепиться на рынке. Затем они передают этот доступ вторичным группам, которые проводят операции с высоким уровнем воздействия, например, используют программы-вымогатели.
Для защитников это плохая новость. Сигнал, который раньше можно было спокойно передать аналитику, проверить вручную и эскалировать, теперь может стать началом полноценного инцидента за время меньше одной минуты. Времени на аналитику и подробный разбор просто не остаётся, тут даже отреагировать не успеешь.
Уязвимости остаются главным входом
Самым частым способом первичного проникновения шестой год подряд остается эксплуатация уязвимостей. На нее пришлось 32% инцидентов с установленным способом входа. При этом среднее время эксплуатации уязвимостей сократилось примерно до -7 дней, что означает, что эксплуатация регулярно происходит еще до выпуска патча.
Предварительная компрометация занимает третье место среди наиболее распространенных первоначальных векторов заражения (10%) при вторжениях во всем мире и первое место среди первоначальных векторов заражения при операциях с программами-вымогателями (30%), что вдвое превышает показатель 2024 года (15%).
Голосовая социальная инженерия поднялась до 11% в числе способов первичного проникновения и стала вторым по частоте методом. Почтовый фишинг снизился до 6%. Защита почты стала лучше, поэтому атакующие бьют туда, где больше человеческого фактора: звонки в поддержку, просьбы сбросить доступ, подтверждения входа, манипуляции с учетными записями.
Для компаний это означает, что обучать нужно офисных сотрудников, службы поддержки, администраторов, команды эксплуатации и вообще всех, кто может выдать доступ или подтвердить действие.
Время скрытого присутствия выросло
Медианное время скрытого присутствия атакующих в сети выросло с 11 до 14 дней. В отдельных категориях, включая кибершпионаж и операции с подставными ИТ-работниками из КНДР, показатель достигал 122 дней.
Это не противоречит цифре в 22 секунды. Речь идет о разных типах атак. Одни группы хотят быстро монетизировать доступ. Другие месяцами находятся внутри инфраструктуры, изучают сеть, ищут данные и закрепляются на плохо контролируемых устройствах.
Главная практическая проблема — журналы событий. Если компания хранит логи всего 30–90 дней, следы раннего этапа атаки могут исчезнуть до начала расследования.
Вымогатели бьют по восстановлению
Классическая вымогательская атака раньше ассоциировалась с шифрованием файлов. Сейчас фокус смещается к отказу в восстановлении. Атакующие целятся в резервные копии, службы идентификации и слои виртуализации. Их задача — лишить компанию возможности быстро поднять системы без оплаты выкупа.
Это меняет приоритеты защиты. Резервные копии, гипервизоры, каталоги учетных записей и системы управления доступом становятся активами высшего уровня критичности. Их компрометация может остановить не один сервер, а сразу большую часть инфраструктуры.
SaaS и токены стали новой точкой входа
Отдельная проблема — облачные сервисы и интеграции. В отчете говорится о сборе долгоживущих OAuth-токенов, сессионных cookie, ключей и персональных токенов доступа. Через такие секреты атакующие могут переходить из одного сервиса в другой и красть данные уже в среде клиента.
Отчет Cloud Threat Horizons за H1 2026 подтверждает этот тренд: компрометация идентичности лежала в основе 83% облачных инцидентов, а доверенные сторонние приложения и SaaS-интеграции стали заметной частью атак на облачные среды.
То есть компанию могут взломать через сервис, который она сама подключила к своей инфраструктуре. Токен доступа в такой ситуации становится почти таким же опасным, как пароль администратора.
ИИ уже участвует в атаках, но старые проблемы никуда не делись
В отчете отдельно разбирается использование больших языковых моделей атакующими. Упоминаются вредоносные программы PROMPTFLUX и PROMPTSTEAL, которые обращались к языковым моделям во время выполнения. Также описаны случаи кражи учетных данных для ИИ-приложений и использование ИИ-инструментов внутри уже скомпрометированной среды.
Также злоумышленники злоупотребляют ИИ в скомпрометированных средах. Например, было замечено, что программа-похититель учетных данных QUIETVAULT проверяет целевые машины на наличие локальных инструментов командной строки ИИ, выполняя предопределенные запросы для поиска файлов конфигурации.
При этом главной причиной успешных атак остаются системные и человеческие ошибки. Уязвимости, слабая идентификация, токены, плохо контролируемые сервисы, нехватка телеметрии и медленная реакция дают атакующим больше пользы, чем любые модные инструменты.
ИИ ускоряет отдельные этапы атаки, но не отменяет базовую гигиену безопасности.
SOC начал чаще находить атаки сам
Есть и позитивная цифра. В 52% расследований организации сами первыми обнаружили признаки вредоносной активности. Это на 43% больше, чем годом ранее. Внешние уведомления снизились до 34%, а в 14% случаев о компрометации сообщали сами атакующие.
Это говорит о росте зрелости мониторинга. Проблема в другом: просто увидеть сигнал уже мало. Нужны быстрые действия — изоляция учетной записи, блокировка токена, отключение подозрительной сессии, проверка смежных систем.
В результате инцидентов пострадало более 16 отраслей, при этом высокотехнологичный сектор (17%) опередил финансовый сектор (14,6%), став наиболее часто подвергающейся атакам отраслью и сместив финансовый сектор с первого места, которое он занимал в 2024 и 2023 годах.
Заключение
Кибербезопасность в 2026 году — это гонка на скорость. Атакующие передают доступ за секунды, сидят в сетях неделями, бьют по восстановлению и всё чаще используют облачные интеграции. SOC больше не может быть очередью тикетов. Он должен превращаться в систему быстрого обнаружения, автоматической изоляции и долгой памяти: с нормальным хранением логов, контролем токенов, защитой резервных копий и вниманием к SaaS-интеграциям.
