Ландшафт киберугроз переживает фундаментальную трансформацию. Если раньше успех атаки часто зависел от изощренности эксплойта для взлома периметра, то сегодня злоумышленники все чаще предпочитают просто «войти в дверь» с помощью украденных учетных данных. Это изменение парадигмы подробно описано в первом ежегодном отчете об угрозах за 2026 год от Cloudforce One, исследовательской группы компании Cloudflare. Ключевой вывод отчета: современные угрозы движимы не столько сложностью, сколько эффективностью. Атакующие стремятся максимизировать ущерб при минимальных усилиях, и в этом им активно помогают искусственный интеллект (ИИ) и автоматизация, которые снижают технический порог входа для злоумышленников и делают атаки невероятно быстрыми.
Центральным понятием в новой философии кибератак становится «мера эффективности»(Measure of Effectiveness, MOE). Этот термин описывает холодный расчет соотношения усилий атакующего к операционному результату. Вместо того чтобы тратить дорогостоящие уязвимости нулевого дня, злоумышленники выбирают дешевые и масштабируемые методы: кражу токенов сессий, использование инфраструктуры с высокой репутацией и инструментарий, сгенерированный ИИ. Генеративные языковые модели (LLM) применяются для картографирования сетей в реальном времени, разработки эксплойтов и создания дипфейков, превращая сложные вторжения в операции, близкие к «нажатию одной кнопки». Это позволяет даже малоопытным хакерам выполнять задачи, которые раньше требовали продвинутой экспертизы.
Тревожные данные телеметрии Cloudflare иллюстрируют масштаб проблемы: 94% всех попыток входа в их сети теперь исходят от ботов, а 63% логинов используют учетные данные, уже скомпрометированные в других инцидентах. Это рисует картину мира, где ИИ и автоматизация непрерывно и в огромных масштабах проверяют украденные пароли, превращая идентификацию в основное поле битвы. При этом параллельно развиваются гиперобъемные DDoS-атаки (распределенный отказ в обслуживании), которые устанавливают новые рекорды по мощности, сокращая окно возможностей для человеческого реагирования. Такие удары призваны истощить ресурсы инфраструктуры, пока другие операции тихо движутся к цели - краже данных или нарушению работы.
Второй ключевой тренд - активное оружие доверенных облачных сервисов, тактика «проживания за счет XaaS» (Anything-as-a-Service). Вместо развертывания очевидно вредоносной инфраструктуры группы злоумышленников маршрутизируют трафик командования и управления (C2) и фишинговые кампании через такие платформы, как Google Диск, Microsoft Teams, Amazon S3, а также сервисы массовой рассылки, например Amazon SES и SendGrid. Это позволяет их активности сливаться с легитимным корпоративным трафиком. В отчете детально описаны несколько групп, связанных с государствами, которые стандартизировали этот подход. К примеру, китайская группа «FrumpyToad» использует Google Календарь в качестве канала C2 на основе логики сервиса, кодируя зашифрованные команды в описаниях событий. Российский «NastyShrew» координирует ротацию C2-инфраструктуры через публичные сайты, такие как Teletype.in, на которые зараженные хосты выходят для получения новых адресов.
Эволюционируют и атаки на идентичность, чтобы максимизировать ту самую MOE. Особую опасность представляют инфостилеры (программы-похитители данных), такие как LummaC2, которые собирают активные токены сессий с зараженных устройств. Это позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и сразу переходить к действиям внутри системы уже после авторизации. Cloudforce One участвовала в глобальной операции по противодействию инфраструктуре LummaC2 в 2025 году, однако уже появляются новые варианты, которые еще больше сокращают время от заражения до развертывания программ-вымогателей.
Интересно, что исследователи также обратили ИИ против него самого. В рамках практики «dogfooding» (использования собственного продукта) они поручили ИИ-агенту для написания кода проанализировать свою собственную безопасность. В результате была обнаружена критическая уязвимость CVE‑2026‑22813 с оценкой 9.4 по шкале CVSS. Ошибка в обработке markdown-разметки в агенте OpenCode позволяла выполнять произвольный код через инъекцию HTML в веб-интерфейсе. Этот случай наглядно показывает, как ИИ-агенты и инструменты оркестрации становятся одновременно и мишенями, и усилителями атак, особенно если они интегрированы в процессы непрерывной интеграции и доставки (CI/CD) или имеют доступ к оболочке операционной системы.
Чтобы противостоять этой новой эре высокоскоростных операций, усиленных ИИ, традиционная безопасность, ориентированная на человека и управляемая оповещениями, уже недостаточна. Cloudforce One утверждает, что организациям необходимо переходить к моделям автономной защиты, которые объединяют телеметрию, аналитику в реальном времени и автоматизированное реагирование. Цель - снизить меру эффективности (MOE) атакующего максимально близко к нулю. На практике это означает усиление защиты интеграций SaaS-сервисов, устранение слепых зон в ретрансляции почты и настройке DMARC (протокол аутентификации электронной почты), обнаружение краж токенов и мониторинг облачных инструментов на предмет подозрительной активности «проживания за счет земли» до того, как она станет основой следующего инцидента промышленного масштаба. В условиях, когда угрозы движутся со скоростью машин, система защиты должна действовать быстрее атакующего, даже когда за ней никто не наблюдает.
