Кража $1,5 млрд стала крупнейшей в текущем году — в 2026-м такие атаки будут расти

Как эксперты описывают киберриски ближайших лет

Киберугрозы продолжают быстро развиваться, и компаниям приходится адаптироваться к новым сценариям атак, технологиям и изменениям в мировом политическом контексте. В отчете Google Cloud «Cybersecurity Forecast 2026» обобщены тенденции, проявившиеся в 2024–2025 годах, и представлены выводы исследовательских и оперативных подразделений компании — Google Threat Intelligence, Mandiant и команд Google Cloud Security — о том, каким будет ландшафт угроз в ближайшие годы.

В центре внимания отчета — три направления, которые сильнее других влияют на устойчивость бизнеса. Во-первых, распространение искусственного интеллекта как инструмента атак, так и защиты. Во-вторых, рост киберпреступности, прежде всего вымогательства, краж данных и атак на виртуализацию, а также переход криминальных группировок к использованию блокчейна и Web3-сервисов — приложений и платформ на блокчейне, которые злоумышленники используют для атак и крупных краж. В-третьих, активность государств: Россия, Китай, Иран и КНДР продолжают развивать технические возможности, кибершпионаж и информационные операции. В отчете отмечается, что развитие ИИ, рост киберпреступности и активность государств требуют от компаний не только обновлять защиту, но и менять способы управления доступами и контролировать использование новых технологий. Эксперты подчеркивают, что переход к AI-агентам, атаки на виртуализацию и распространение Web3-схем создают для бизнеса новые точки риска, которые уже проявляются в инцидентах 2024–2025 годов.

Как искусственный интеллект меняет атаки и защиту

В отчете отмечается, что искусственный интеллект становится одним из ключевых инструментов злоумышленников. По оценке Google, в 2026 году ИИ перестанет быть редкостью и будет применяться на разных этапах атаки — от подготовки фишинга до автоматизации действий внутри инфраструктуры жертвы.

Во-первых, возрастает риск prompt injection — приема, при котором злоумышленник передает модели скрытые команды, заставляя ее выполнять действия, не предусмотренные политиками безопасности. Эта угроза усиливается по мере того, как компании внедряют ИИ в рабочие процессы.

Во-вторых, социальная инженерия становится точнее. В отчете отмечается использование синтетических голосов и персонализированных фишинговых сообщений, что делает атаки убедительнее. Такие методы позволяют атакующим обходить техническую защиту и воздействовать прямо на сотрудников.

В-третьих, распространение AI-агентов, которые могут самостоятельно выполнять задачи, собирать данные и инициировать действия в корпоративных системах, создает новые риски. Google прогнозирует необходимость перехода к более гибким моделям управления доступами, где права выдаются на ограниченный срок и зависят от контекста задачи.

В отчете также рассматривается изменение работы SOC — центра мониторинга безопасности. Эксперты ожидают, что аналитики будут получать не просто сигнал об инциденте, а уже подготовленный разбор: расшифровку команды, сопоставление с базой MITRE ATT&CK, которая описывает техники хакеров, и предварительное описание сценария атаки. Фокус сместится на проверку выводов модели, а не на ручной разбор больших объемов данных.

Отдельно подчеркивается риск появления «теневых агентов» — случаев, когда сотрудники запускают ИИ-агентов без ведома службы безопасности. Такие инструменты могут создавать неконтролируемые каналы передачи данных и нарушать требования комплаенса, если компания заранее не ввела правила их использования.

Киберпреступность: вымогательство, виртуализация и новые схемы атак

В отчете киберпреступность названа самым масштабным и разрушительным фактором риска для компаний. Особое внимание авторы уделяют вымогательству: по данным Google, в первом квартале 2025 года на сайтах утечек данных появилось 2 302 жертвы — самый высокий показатель с начала наблюдений в 2020 году. Такой рост отражает зрелость криминальной экосистемы и повышение эффективности группировок.

В документе отмечается, что злоумышленники продолжают сочетать шифрование, кражу данных и многоступенчатое давление на жертву. Методы первоначального доступа постоянно меняются: применяются голосовой фишинг (vishing), а также уязвимости «нулевого дня» — ошибки в ПО, о которых разработчик еще не знает и которые не закрыты патчами. Отдельно подчеркиваются атаки через подрядчиков, позволяющие затронуть десятки компаний одновременно.

Авторы фиксируют смещение интереса преступников к инфраструктуре виртуализации. В отчете объясняется, что целью становится гипервизор — программный слой, который управляет виртуальными машинами. Если злоумышленник получает контроль на этом уровне, он может вывести из строя сотни систем за несколько часов, обходя традиционные средства защиты, которые наблюдают только за гостевыми операционными системами.

Также описан переход криминальных группировок к использованию публичных блокчейнов. Часть их операций — управление вредоносными компонентами, хранение данных или связь между элементами атаки — переносится на цепочки блоков. Такая инфраструктура труднее поддается блокировке и требует от компаний новых подходов к расследованию инцидентов.

Государственные акторы: какие цели преследуют и чем угрожают

В отчете подчеркивается, что государства остаются одним из самых устойчивых источников сложных угроз. Их операции направлены на политику, экономику, разведку и влияние на общественные процессы.

Китай. По наблюдениям Google, Китай сохраняет самый высокий объем государственных операций. В отчете говорится, что китайские группы активно используют уязвимости «нулевого дня», атакуют пограничные устройства и проникают через поставщиков. Отдельный акцент сделан на интересе к полупроводниковой отрасли, где конкуренция и экспортные ограничения усиливают стимулы к разведывательным операциям.

Иран. Иранские кампании, по оценке Google, усилились на фоне региональных конфликтов. В отчете отмечается, что одни и те же инфраструктуры используются для разведки, разрушительных действий и хактивистских операций. Дополнительно указывается риск применения вайперов — вредоносных программ, которые необратимо удаляют данные, — а также активное использование фальшивых новостных сайтов и синтетического контента для влияния на общественное мнение.

Северная Корея. Северокорейская активность в 2026 году, по оценке экспертов, будет направлена прежде всего на получение доходов. В отчете приводится пример крупнейшей криптокражи 2025 года стоимостью примерно 1,5 млрд долларов — такой масштаб делает финансово мотивированные операции одним из ключевых рисков. Исследователи отмечают рост атак на криптокомпании и облачные среды, а также расширение сети ИТ-работников за рубежом, которые используют доступ к системам работодателей для хищений и разведывательных задач.

Россия. В документе отмечается, что российские операции смещаются от краткосрочной поддержки конфликта в Украине к долгосрочным задачам. Эксперты фиксируют устойчивую разведывательную активность в Европе и США, а также усиление информационных кампаний вокруг выборов. В отчете упомянута атака на гидротехнический объект в Норвегии как пример риска для критически важной инфраструктуры.

Заключение

В отчете подчеркивается, что 2026 год станет периодом, когда искусственный интеллект будет одинаково активно использоваться и защитниками, и злоумышленниками. По оценке Google, сочетание ИИ-усиленных атак, перехода криминальных группировок к Web3-инструментам, роста угроз для виртуализации и сохранения активности государств делает ландшафт рисков более сложным, чем в предыдущие годы.

Авторы отмечают, что компаниям потребуется пересматривать модели управления доступами, учитывать появление AI-агентов, уделять внимание защите инфраструктурного уровня и готовиться к расследованию инцидентов в цепочках блокчейна. В отчете подчеркивается: адаптация процессов безопасности и развитие наблюдаемости становятся ключевыми условиями поддержания устойчивости в условиях 2026 года.

Отчет Cybersecurity Forecast 2026 доступен по ссылке