Слабости в управлении идентификацией и доступом сыграли роль в 89% корпоративных взломов за 2025 год. Palo Alto Networks Unit 42 опубликовала 19 февраля 2026 года Global Incident Response Report, основанный на 750+ расследованиях в 50+ странах. В самых быстрых инцидентах злоумышленники выводили данные за 72 минуты после первоначального проникновения. Годом ранее тот же показатель составлял 285 минут.
Читайте также: Storm-2561 имитирует VPN-клиенты семи вендоров и крадёт учётные данные через отравление поисковой выдачи
65% первоначальных проникновений произошли через методы, связанные с идентификацией. Фишинг и эксплуатация уязвимостей разделили первое место как способ начального доступа, по 22% каждый. Остальное приходится на кражу учётных данных, обход многофакторной аутентификации (MFA), перебор паролей (брутфорс) и ошибки в политиках управления доступом (IAM, Identity and Access Management). Злоумышленники не взламывают периметр, а входят под видом настоящего пользователя.
Сложность корпоративной инфраструктуры стала главным преимуществом злоумышленников. Риск усиливается по мере того, как атакующие всё чаще нацеливаются на учётные данные, используя автономных ИИ-агентов для связывания человеческих и машинных учётных записей.
— Сэм Рубин (Sam Rubin), старший вице-президент Unit 42 Consulting & Threat Intelligence, Palo Alto Networks
Предыдущее исследование Unit 42, охватившее более 680 000 облачных учётных записей, показало, что 99% имели избыточные привилегии. Одна украденная учётная запись с такими правами открывает злоумышленнику путь ко всей инфраструктуре.
| Показатель | 2024 | 2025 |
|---|---|---|
| Время до вывода данных (самые быстрые атаки) | 285 мин | 72 мин |
| Доля атак с выводом данных менее чем за час | 19% | 22% |
| Медианное время до вывода данных | н/д | 2 дня |
| Роль слабостей идентификации в расследованиях | н/д | 89% |
| Начальный доступ через идентификацию | н/д | 65% |
| Инциденты с несколькими точками входа | н/д | 87% |
| Шифрование в случаях вымогательства | ~90%+ | 78% |
| Медианный выкуп | $1,25 млн | $1,5 млн |
| Атаки через SaaS-приложения | н/д | 23% (рост в 3,8 раза с 2022) |
87% инцидентов охватили несколько направлений одновременно. 67% затронули три и более направления одновременно, включая рабочие станции, облачную инфраструктуру, SaaS-приложения и системы идентификации. 48% включали активность через браузер. Атаки через SaaS-приложения выросли в 3,8 раза с 2022 года и составили 23% всех инцидентов. Злоумышленники злоупотребляют токенами авторизации OAuth и API-ключами для перемещения между системами жертвы (lateral movement).
ИИ ускоряет весь цикл атаки. Unit 42 зафиксировала автоматизацию сканирования уязвимостей в течение минут после публикации новых записей CVE, параллельную разведку сотен целей и генерацию вредоносных скриптов (кампания Shai-Hulud). В одном из расследований неподготовленный злоумышленник вывел данные жертвы, но не знал, как вымогать выкуп. Он использовал языковую модель (LLM) для написания профессионального сценария вымогательства с крайними сроками и тактиками давления, после чего записал угрожающее видео из кровати в нетрезвом состоянии, зачитывая ИИ-текст с экрана.
Модель вымогательства меняется. Шифрование данных встречалось в 78% случаев вымогательства в 2025 году. В 2021-2024 показатель держался около 90% и выше. Злоумышленники всё чаще полагаются на кражу данных, угрозу публикации и прямое давление на сотрудников, партнёров и клиентов. Медианный выкуп вырос с $1,25 млн в 2024 до $1,5 млн в 2025.
Данные Unit 42 совпадают с выводами CrowdStrike 2026 Global Threat Report. CrowdStrike зафиксировал среднее время перемещения между системами после первоначального проникновения (breakout time) в 29 минут, рекорд составил 27 секунд. Unit 42 измеряет другой показатель, время до подтверждённого вывода данных. Цифры разные, но обе компании фиксируют кратное ускорение атак за 2025 год. Группировки Muddled Libra и северокорейские ИТ-агенты, по данным Unit 42, уже применяют deepfake-технологии (подделку видео и голоса) для прохождения процедур удалённого найма.
Читайте также: Google закрыла два 0-day в Chrome. Уязвимости в Skia и V8 уже использовались в атаках
Более 90% взломов были связаны не с изощрёнными техниками, а с предотвратимыми пробелами. Ограниченная видимость, непоследовательно применённые меры защиты, избыточное доверие в системах доступа.
Отчёт Unit 42 подтверждает то, что мы видим в анализе инцидентов. Злоумышленники не взламывают, а входят. Одна сервисная учётная запись с правами администратора и без регулярной смены пароля открывает путь ко всему домену. Организациям стоит начать с аудита сервисных учётных записей, обновления API-ключей каждые 90 дней и перехода на временное повышение привилегий (JIT) вместо постоянных административных прав.
— Артем Сафонов, редакция AnonHaven
Unit 42 рекомендует начать с архитектуры Zero Standing Privileges. JIT-повышение (Just-in-Time, временное предоставление прав) вместо постоянных административных привилегий. Сроки жизни токенов сессий (session tokens) стоит сократить. Почтовые фильтры по сигнатурам уступают поведенческому анализу входящей почты. Запросы на переводы, сброс паролей и удалённый найм Unit 42 советует подтверждать через отдельный канал связи (OOB-подтверждение, Out-of-Band).
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
