Отчет M-Trends 2026 от Mandiant, представленный сегодня на конференции RSA, показывает, что злоумышленники действуют быстрее, работают более слаженно и все чаще нацеливаются на системы, от которых зависят организации для восстановления после взломов.
В отчете, основанном на анализе более чем 500 000 часов реагирования на инциденты в 2025 году, говорится, что злоумышленники сокращают ключевые фазы жизненного цикла атаки, хотя медианное время нахождения в системе увеличилось до 14 дней по сравнению с 11 днями в предыдущем году.
Кроме того, отчет выявляет изменение тактики. Голосовой фишинг составил 11% начальных векторов заражения, что делает его второй по распространенности точкой входа после эксплойтов, лидирующих с 32%. Электронный фишинг снизился до 6% по сравнению с 14% годом ранее, что отражает переход к более интерактивному социальному инжинирингу. В совокупности эти тенденции указывают на сдвиг как в скорости развития атак, так и в целях злоумышленников после проникновения.
Отчет также подчеркивает растущий дисбаланс между скоростью и устойчивостью. В то время как некоторые фазы атаки теперь разворачиваются за секунды, другие становятся более затяжными. Медианное время нахождения в системе для инцидентов, выявленных по внешнему уведомлению, составило 25 дней по сравнению с девятью днями для инцидентов, обнаруженных внутренними средствами, что указывает на улучшение внутреннего обнаружения, но сохранение пробелов в видимости, особенно в сложных средах.
В то же время злоумышленники уточняют свои цели. Вторжения, связанные с программами-вымогателями (ransomware), составили 13% расследований, в то время как вымогательство фигурировало в 23% случаев. Кража данных была зафиксирована в 40% инцидентов, что немного выше, чем 37% в предыдущем году.
Как пишет Юрген Кутчер, вице-президент Mandiant Consulting в Google Cloud, в сопроводительной статье в блоге, группы, мотивированные финансово, «оптимизированы для немедленного воздействия и целенаправленного отказа в восстановлении», в то время как другие угрожающие акторы, такие как государственные структуры, сосредоточены на долгосрочном сохранении присутствия.
Временные рамки атак сжимаются по мере специализации злоумышленников
Одним из наиболее значимых событий является рост числа операций по «передаче», при которых один злоумышленник получает первоначальный доступ и быстро передает его другому, часто группе программ-вымогателей. Основным двигателем этого сдвига является то, что Mandiant описывает как «повышение специализации и сотрудничества в экосистеме киберпреступности».
Скорость этого перехода резко изменилась. «В 2022 году медианное время между событием первоначального доступа и передачей вторичной группе злоумышленников составляло более 8 часов. В 2025 году это окно сократилось всего до 22 секунд», — пишет Кутчер.
Предварительный компрометация, при которой доступ наследуется от другого злоумышленника, составила примерно 10–13% начальных векторов заражения в мире и до 30% в операциях с программами-вымогателями. Для защитников оповещения, которые ранее казались низкоприоритетными, теперь могут почти немедленно перерасти в полномасштабные инциденты.
Социальный инжиниринг становится более интерактивным
Хотя эксплойты остаются ведущим начальным вектором заражения (32%), отчет подчеркивает сдвиг в сторону более адаптивного социального инжиниринга. Голосовой фишинг резко возрос, в то время как электронный фишинг продолжает снижаться, сигнализируя об отходе от крупномасштабных кампаний к взаимодействию в реальном времени.
Данные Mandiant показывают, что электронный фишинг снизился до 6% вторжений в 2025 году. Вместо этого противники переключились на высокоинтерактивный голосовой социальный инжиниринг.
Злоумышленники также используют платформы обмена сообщениями и социальные сети для прямого взаимодействия с целями, часто обходя технические средства контроля путем манипулирования процессами службы поддержки или рабочими процессами проверки личности. В отчете освещается, как злоумышленники используют SaaS-среды, извлекая токены и учетные данные для горизонтального перемещения по организациям и их партнерам.
ИИ ускоряет атаки на ранних стадиях, а не их результаты
Искусственный интеллект способствует этим изменениям, но не как основной движущей силе успешных взломов. Отчет указывает, что злоумышленники используют большие языковые модели для улучшения фишинга, разведки и уклонения, повышая эффективность операций на ранних этапах.
В то же время коренные причины успешных вторжений остаются неизменными. «Подавляющее большинство успешных вторжений по-прежнему обусловлено фундаментальными человеческими и системными сбоями», — пишет Кутчер.
ИИ ускоряет существующие методы атак, а не заменяет их, что подтверждает необходимость для CISO устранять постоянные пробелы в установке исправлений, безопасности идентификации и видимости.
Программы-вымогатели смещаются в сторону отказа в восстановлении
Тактика программ-вымогателей развивается. Хотя шифрование и кража данных остаются центральными элементами, злоумышленники все больше внимания уделяют подрыву способности организации к восстановлению. В 2025 году Mandiant зафиксировала системный сдвиг, при котором операторы программ-вымогателей активно атаковали инфраструктуру резервного копирования, службы идентификации и плоскости управления виртуализацией.
Этот сдвиг в сторону отказа в восстановлении меняет динамику вымогательства. Компрометируя или уничтожая возможности восстановления, злоумышленники увеличивают вероятность того, что жертвы заплатят, даже при наличии резервных копий. «Современные программы-вымогатели теперь являются фундаментальной проблемой устойчивости, вынуждая организации делать выбор: платить или перестраивать», — пишет Кутчер.
Время нахождения в системе увеличивается по мере улучшения устойчивости
Увеличение медианного времени нахождения в системе отражает более широкую тенденцию к сохранению присутствия, особенно в шпионских операциях и деятельности, связанной со схемами северокорейских IT-специалистов. В этих случаях медианное время нахождения в системе достигало 122 дней, что демонстрирует, как некоторые злоумышленники оптимизируют доступ для долгосрочного сохранения, а не для немедленного воздействия.
Злоумышленники также используют пробелы в инфраструктуре мониторинга. В отчете отмечается, что некоторые угрозы достигают времени нахождения в системе почти 400 дней, что подчеркивает постоянные проблемы с видимостью, связанные с ограниченным хранением журналов и мониторингом периферийных устройств.
Обнаружение улучшается, но пробелы остаются
Исследование Mandiant показывает, что в 2025 году 52% организаций обнаружили вторжения внутренними средствами, по сравнению с 43% в предыдущем году. На внешние уведомления пришлось 34% обнаружений, а в 14% инцидентов о них впервые сообщили сами злоумышленники.
Хотя внутреннее обнаружение улучшается, зависимость от внешних сторон и раскрытие информации противником подчеркивает сохраняющиеся пробелы в видимости, особенно в гибридных средах и облачных средах.
На чем следует сосредоточиться CISO
Рекомендации Mandiant отражают отход от статической защиты к более быстрым и адаптивным моделям реагирования.
Одна из ключевых рекомендаций заключается в том, что командам безопасности необходимо пересмотреть сортировку оповещений. Поскольку время передачи теперь измеряется секундами, низкоуровневые обнаружения больше нельзя рассматривать как обычный шум. То, что кажется изолированным оповещением, может сигнализировать о начале вторичного вторжения, требующего немедленных действий до того, как злоумышленники перейдут к активности с клавиатуры.
Организации также должны рассматривать основную инфраструктуру — системы идентификации, среды резервного копирования и платформы виртуализации — как критически важные плоскости управления. Теперь это основные цели для злоумышленников, стремящихся подорвать восстановление, и они должны быть изолированы, строго контролироваться и защищаться как активы уровня Tier-0.
Идентификация становится центральным полем битвы. Поскольку интерактивный социальный инжиниринг обходит традиционную MFA, организациям необходима непрерывная проверка личности, более строгий контроль привилегий и более жесткое управление интеграциями SaaS.
Стратегии обнаружения также должны развиваться, поскольку злоумышленники все больше полагаются на легитимные инструменты и вредоносное ПО в памяти. Статические индикаторы становятся менее эффективными, что требует перехода к поведенческому обнаружению, которое фиксирует аномалии, такие как необычные шаблоны доступа, подозрительная активность API или неправомерное использование токенов аутентификации.
Наконец, пробелы в видимости остаются постоянной проблемой. Расширение хранения журналов и централизация телеметрии в сетевых средах, облачных средах и средах виртуализации имеют решающее значение для обнаружения длительных вторжений и понимания их полного масштаба.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
