ИИ меняет правила кибервойны: Microsoft предупреждает о новой эре атак и обороны

17 октября, 2025, 14:12

Редакция SecPost подготовила обзор ежегодного отчета Microsoft «Digital Defense Report 2025», в котором представлены ключевые тенденции киберугроз, защиты и применения искусственного интеллекта.

Отчет охватывает период с июля 2024 по июнь 2025 года и основан на анализе более 100 триллионов сигналов безопасности, ежедневно поступающих из облачных сервисов, корпоративных систем и пользовательских устройств. Такой объем данных позволяет Microsoft отслеживать динамику атак, выявлять новые методы злоумышленников и оценивать эффективность оборонительных технологий.

По данным отчета, искусственный интеллект ускоряет развитие цифровых сервисов, но одновременно повышает сложность угроз. ИИ используют и защитники, и атакующие: он помогает анализировать инциденты и устранять уязвимости, но также применяется для масштабирования фишинга, обхода защиты и манипуляции данными. Полный текст отчета доступен по ссылке.

Главные тенденции 2025 года

Отчет показывает: за последний год угроза кибератак выросла не только количественно, но и качественно. Злоумышленники активно используют искусственный интеллект для автоматизации операций, подбора уязвимостей и имитации доверенных коммуникаций. Если раньше автоматизация применялась для спама и фишинга, то теперь ИИ позволяет создавать динамические атаки, которые подстраивают атаку под цель и обходят средства защиты в процессе работы.

Наибольший рост Microsoft зафиксировала в сферах, связанных с компрометацией учетных данных и атак на идентичность. Фишинг и социальная инженерия стали источником 28% всех инцидентов, еще 18% — результат эксплуатации уязвимых веб-приложений. Одновременно компании все чаще сталкиваются с так называемыми инфостилерами — вредоносными программами, которые собирают пароли и токены доступа для последующей продажи на теневых площадках.

По-прежнему доминирует финансовая мотивация: 33% атак направлены на вымогательство, а случаи, связанные исключительно со шпионажем, составляют не более 4%. В 80% расследованных инцидентов злоумышленники пытались не разрушить инфраструктуру, а получить или вывести данные.

Географически активность распределена неравномерно: на США приходится около четверти всех зафиксированных атак (24,8%), далее следуют Великобритания (5,6%), Израиль (3,5%) и Германия (3,3%). По данным Microsoft Threat Intelligence, наиболее часто под удар попадают государственные структуры, ИТ-компании и научно-исследовательские организации — вместе они составляют около 45% всех инцидентов, зафиксированных в первой половине 2025 года.

**Выявленные мотивы атак.**
(A. Кража данных – 37%. B. Вымогательство – 33%. C. атаки с разрушением данных и применением управляемого вручную вымогательского ПО – 19%. D. спользование инфраструктуры жертвы для дальнейших атак – 7%. E. Шпионаж – 4%)
Источник: *Microsoft Digital Defense Report 2025*

Новые векторы атак

Microsoft отмечает сдвиг в тактике злоумышленников: вместо простого взлома они стремятся легитимно «войти» в систему, используя доверенные каналы и действия самих пользователей. Атаки становятся многоэтапными и сочетают технические эксплойты, социальную инженерию и использование легальных инструментов администрирования.

**Типичная атака ручного ransomware:** фишинг или социальная инженерия → установка вредоносного ПО → захват учетных записей → получение привилегий администратора → компрометация домена → кража данных → шифрование и удаление резервных копий.
Источник: *Microsoft Digital Defense Report 2025.*

В 2025 году широкое распространение получила техника ClickFix, при которой пользователи сами запускают вредоносный код, копируя и вставляя его в систему по подсказке атакующего. Распространяются и device code phishing-атаки, использующие механизмы авторизации устройств, а также подделка сообщений в Microsoft Teams, имитирующих обращения службы поддержки.

Одновременно ускорилась эксплуатация известных уязвимостей. По оценке Microsoft, злоумышленники внедряют публично опубликованные эксплойты практически сразу после их раскрытия. Основные цели — веб-приложения и удаленные сервисы, на долю которых приходится около 30% всех успешных вторжений.

Набирают силу атаки на облачную инфраструктуру. В 2025 году количество разрушительных кампаний против клиентов Azure выросло на 87%, при этом более 40% случаев шифрования данных происходят в гибридных облаках. Кроме того, атакующие создают поддельные виртуальные машины и OAuth-приложения, получая скрытый доступ к данным и ресурсам компании.

Такой подход делает атаки незаметными: злоумышленники действуют в рамках легитимных процессов и скомпрометированных учетных записей. Поэтому ключевая рекомендация Microsoft — строить защиту по принципу нулевого доверия, отслеживая каждое обращение и подтверждая подлинность всех пользователей и сервисов, включая автоматические процессы.

Искусственный интеллект: угроза и защита

В 2025 году искусственный интеллект стал центральным фактором в развитии как киберугроз, так и средств защиты. Microsoft фиксирует, что ИИ активно применяют обе стороны: преступники используют его для автоматизации атак, а специалисты по безопасности — для оперативного анализа сигналов и реагирования.

Злоумышленники обучают модели создавать реалистичные фишинговые письма, имитировать голоса и изображения, выявлять уязвимости быстрее, чем организации успевают их устранить. Появилось понятие «автономное вредоносное ПО» — программы, которые адаптируют свои действия под среду и обходят защиту без участия человека.

Одновременно сами ИИ-системы становятся мишенью. В отчете указаны типовые сценарии атак: внедрение вредных инструкций (prompt injection), отравление обучающих данных и манипуляция поведением модели. Такие приемы позволяют злоумышленникам получать несанкционированный доступ, похищать данные или искажать результаты работы систем. Microsoft подчеркивает, что искусственный интеллект способен радикально сократить время реагирования — с часов до секунд, однако требует строгого контроля. Внедряя ИИ, компании должны учитывать риски злоупотреблений и обеспечить проверку источников данных, политику верификации запросов и защиту моделей от внешнего вмешательства.

Киберэкономика и преступный рынок

Microsoft отмечает дальнейшее развитие коммерциализации киберпреступности. Формируется устойчивый рынок услуг, где разные участники специализируются на отдельных этапах атаки: одни продают уязвимости, другие — доступ к скомпрометированным системам, третьи предлагают инструменты для вымогательства и шпионажа.

Особую роль играют брокеры доступа — посредники, которые взламывают корпоративные сети и перепродают постоянный доступ другим группам. По данным Intel 471, специализирующейся на мониторинге киберпреступных сообществ, в 2025 году действовало 368 таких брокеров, их операции затронули 68 отраслей в 131 стране и более 4 тыс. организаций. Основная цель — структуры государственного сектора и промышленные компании. До 80% предложений на подпольных площадках основаны на украденных учетных данных, что подтверждает тесную связь между кражей идентичностей и вымогательством.

Растет и рынок кибернаемников — частных компаний, которые не только продают эксплойты и инструменты атак, но и выполняют заказы на взлом и цифровое наблюдение для государственных и коммерческих клиентов. По данным аналитического центра Atlantic Council, изучающего международную безопасность и киберугрозы, в мире уже насчитывается более 430 таких организаций в 42 странах. Microsoft предупреждает, что этот серый сектор представляет угрозу не только компаниям, но и международной стабильности: найденные уязвимости используются для слежки и саботажа, а не для повышения безопасности.

Microsoft поддерживает инициативы по ограничению деятельности кибернаемников, включая Pall Mall Process — межгосударственный диалог о регулировании коммерческих киберопераций — и принципы Cybersecurity Tech Accord, закрепляющие отказ технологических компаний от участия в атаках.

Атаки на учетные данные

Компрометация учетных записей остается главным направлением атак. Более 97% попыток атак на идентичность используют методы подбора паролей (password spray), однако современная многофакторная аутентификация (MFA) блокирует более 99% таких попыток.

В первом полугодии 2025 года число атак на учетные данные выросло на 32%, особенно в университетах и научных организациях, где сложные инфраструктуры и децентрализованное управление создают дополнительные риски.

По мере усиления защиты пользовательских аккаунтов злоумышленники переходят к сервисным и автоматическим учетным записям — приложениям и скриптам, имеющим повышенные привилегии в облаке. Они часто не защищены MFA и становятся «слепыми зонами» для систем мониторинга.

Microsoft отмечает рост таких методов, как кража токенов после авторизации (token theft), обманное согласие на доступ (app consent phishing) и подмена ключей подписи, позволяющая выдавать себя за доверенные сервисы. Все это требует постоянного контроля прав доступа и применения принципа минимальных привилегий даже для автоматизированных процессов.

Киберустойчивость и рекомендации Microsoft

Microsoft подчеркивает, что современные атаки невозможно полностью предотвратить, поэтому ключевая задача организаций – не только защита, но и способность быстро восстановиться. Устойчивость строится на сочетании технологий, процессов и культуры безопасности.

Отчет выделяет десять приоритетных направлений, которые должны стать основой стратегии любой компании:

Управлять рисками на уровне совета директоров. Кибербезопасность рассматривается как корпоративный риск, сравнимый по значимости с финансовыми и правовыми.
Защитить идентичность. Внедрить фишинг-устойчивую MFA для всех учетных записей, включая административные.
Инвестировать в людей. Повышать квалификацию сотрудников и включать показатели безопасности в оценку эффективности.
Контролировать внешнюю поверхность. Аудировать веб-приложения, удаленные сервисы и цепочки поставок, своевременно устраняя уязвимости.
Готовиться к инцидентам. Разработать и регулярно тестировать план реагирования, включая сценарии ransomware-атак.
Мониторить облачные ресурсы. Вести учет всех виртуальных машин, API и идентичностей, выявлять несанкционированные приложения и сбои настроек.
Планировать восстановление. Проверять резервные копии, отрабатывать сценарии чистого перезапуска инфраструктуры.
Обмениваться разведданными. Вступать в отраслевые и государственные сети обмена информацией о киберугрозах.
Следить за изменениями регулирования. Учитывать новые требования DORA, NIS2, Cyber Resilience Act и аналогичные национальные законы.
Оценивать риски ИИ и квантовых технологий. Вести учет применяемых алгоритмов шифрования и готовиться к переходу на постквантовые стандарты.

В отчете подчеркивается: устойчивость не ограничивается средствами защиты. Она требует постоянного тестирования процессов, документирования инцидентов и обучения персонала, чтобы организация могла действовать быстро и согласованно при любой атаке.

Квантовая перспектива

Microsoft рассматривает квантовые технологии как один из главных долгосрочных вызовов для кибербезопасности. Возможность взлома существующих алгоритмов шифрования с помощью квантовых вычислений может изменить подход к защите данных уже в ближайшие годы. В отчете отмечается рост числа так называемых «harvest now, decrypt later»-атак, когда злоумышленники заранее копируют зашифрованные массивы информации, чтобы расшифровать их после появления более мощных квантовых средств.

Компания реализует программу перехода к постквантовой криптографии, включая аудит всех мест применения шифрования и разработку алгоритмов, устойчивых к квантовым вычислениям. Microsoft рекомендует организациям начать аналогичную подготовку — инвентаризировать используемые ключи, протоколы и приложения, планируя постепенный переход на новые стандарты.