До 79% кибератак в Европе обходятся без вредоносного ПО: подробности из отчета Eye Security

Атаки без вредоносного ПО и смещение фокуса на учетные записи

Данные Eye Security показывают, что большинство инцидентов в 2026 году развиваются без использования вредоносного ПО. До 79% выявленных атак обходятся стандартными средствами операционных систем и сервисов, что позволяет злоумышленникам действовать незаметно и не запускать классические механизмы защиты.

Основной точкой входа становятся учетные записи сотрудников и доверенные сессии. В отчете подчеркивается, что атаки все чаще развиваются уже после легитимного входа в систему, а не на этапе взлома периметра. Именно этим объясняется высокая доля инцидентов, связанных с компрометацией корпоративной почты и облачных учетных записей.

Генеративный ИИ в отчете рассматривается не как новая категория угроз, а как фактор ускорения уже известных сценариев — прежде всего фишинга и социальной инженерии. Он снижает стоимость атак и позволяет быстрее масштабировать кампании, но не меняет их базовую логику.

Когда атака опережает защиту

На этом фоне ключевой проблемой кибербезопасности в 2026 году становится скорость атак. Временной промежуток между первоначальным доступом и развитием инцидента сокращается до минут, что резко снижает эффективность ручных и реактивных моделей защиты. Такие данные приводит компания Eye Security в отчете Der Stand der Cybervorfälle 2026, основанном на анализе 630 реальных инцидентов.

Также отмечается заметная разница между организациями с круглосуточным мониторингом и без него. В средах с Managed Detection and Response (MDR) инциденты выявляются значительно быстрее и чаще останавливаются до эскалации.

Отрасли под давлением

В европейском контексте отчет фиксирует высокую концентрацию инцидентов в отраслях, от которых напрямую зависит непрерывность бизнеса. Более 40% всех расследованных случаев пришлись на производство, строительство и логистику, где сбои быстро превращаются в операционные и финансовые потери.

Производственный сектор оказался наиболее уязвимым и сформировал около 18,6% всех инцидентов. В строительстве и недвижимости (12,1%) доминируют атаки через корпоративную почту, что авторы связывают с распределенными командами и сложными цепочками подрядчиков. В логистике и транспорте (10,3%) злоумышленники активно используют фишинг и spear-phishing, опираясь на роль отрасли в цепочках поставок.

Отчет отмечает, что атаки в регионе в основном носят финансово мотивированный характер и начинаются с массовых, оппортунистических сценариев. При этом фокус постепенно смещается в сторону отраслей, где простой инфраструктуры оказывает немедленное влияние на бизнес и усиливает позиции атакующих при вымогательстве.

Компрометация корпоративной почты (Business Email Compromise, BEC)

Компрометация корпоративной почты (Business Email Compromise, BEC) — самый распространенный тип инцидентов в исследовании Eye Security. На нее приходится более 70% всех расследованных случаев.

Основной вектор таких атак — фишинг и социальная инженерия. Более 40% BEC-инцидентов начинались с фишинговых писем, чаще всего с перехода по ссылке. Технический взлом учетных записей встречается значительно реже.

Отчет отмечает высокую повторяемость BEC. Если компании ограничиваются разовыми мерами и не меняют процессы проверки платежей и деловой переписки, аналогичные инциденты происходят повторно в течение года.

Программы-вымогатели (ransomware)

В выборке Eye Security атаки с использованием программ-вымогателей (ransomware) встречаются реже, чем компрометация корпоративной почты, однако именно они приводят к наибольшему операционному и финансовому ущербу.

Основными точками первоначального доступа остаются публично доступные приложения и внешние сервисы удаленного доступа. В 30% случаев атака начиналась с эксплуатации интернет-доступных приложений, еще в 17% — через незащищенные VPN или RDP (протокол удаленного рабочего стола). Фишинг использовался примерно в каждом восьмом случае.

Отчет показывает, что большинство инцидентов с программами-вымогателями сопровождались переговорами с атакующими. В 70% случаев компании вступали в диалог, однако лишь около четверти таких инцидентов завершались выплатой выкупа. Средний размер требования составил около 613 тыс. долларов США, при этом суммы варьировались от менее 100 тыс. до более 2 млн долларов.

Время реагирования и эффект MDR

Отчет показывает резкий разрыв между компаниями с круглосуточным мониторингом и без него. В средах с Managed Detection and Response (MDR) инциденты выявляются и устраняются значительно быстрее, чем при ручном или фрагментарном мониторинге.

Наиболее наглядно это видно на примере компрометации корпоративной почты. Без MDR злоумышленники в среднем оставались в инфраструктуре около 24 дней, тогда как в средах с MDR этот показатель сокращался до 24 минут. Сокращалось и время на расследование: для BEC-инцидентов — с 19 до 2 часов, для оценок компрометации — с 16 до 5 часов.

Данные отчета показывают, что в условиях ускорения атак ключевым фактором защиты становится не столько предотвращение проникновения, сколько скорость обнаружения и реакции после него.

Основные причины инцидентов учетные записи и доверие

Большинство инцидентов связано с человеческим фактором, а не с техническими уязвимостями. Около трети случаев начинались с фишинга и других приемов социальной инженерии.

Отчет отдельно отмечает, что многофакторная аутентификация часто не останавливает атаку: с 2025 года в 62% инцидентов ее удавалось обойти за счет ошибок настройки или злоупотребления доверенными сессиями. Эксплуатация технических уязвимостей при этом встречается значительно реже.

Редакция SecPost ведет реестр наиболее значимых аналитических отчетов по кибербезопасности.

Отчет «Der Stand der Cybervorfälle 2026» доступен по ссылке.