Время пребывания растет
Отчет Mandiant M-Trends 2026 опубликован, и главная цифра — скачок медианного времени пребывания злоумышленников в сети: 14 дней против 11. Для тех, кто считает, это рост на 27%. Это не просто статистический всплеск; это сигнал, что противники становятся умнее в уклонении от обнаружения, проводя больше времени внутри сетей, прежде чем их заметят. Если выделить наиболее упорные угрозы — группы, спонсируемые государствами, и связанные с северокорейскими акторами, — то это время увеличивается до ошеломляющих 122 дней. Четыре месяца беспрепятственного доступа. Это не цифровые Дикие прерии, а рассчитанное, затяжное проникновение.
Что стоит за увеличением?
Похоже, на это влияет несколько факторов. Противники явно оттачивают свои методы, тактики и процедуры (TTP), чтобы обойти многоуровневые средства защиты, которые теперь есть у большинства организаций. Отчет отмечает сдвиг в изощренности, особенно среди шпионских группировок, которые искусно маскируются. Они, вероятно, используют неконтролируемые граничные устройства и глубоко интегрированные, нативные сетевые функции, которые средства безопасности часто упускают из виду. Это меньше про грубую силу, больше про изощренный камуфляж.
Эксплойты по-прежнему рулят, но голосовой фишинг ревет
Эксплойты, шестой год подряд, остаются основным вектором начального заражения, составляя значительные 32% взломов. Но настоящая история этого года — стремительный взлет высокоинтерактивного голосового фишинга, или вишинга, который взлетел до 11% интрузий. Это существенный скачок, выводящий его уверенно на второе место. Это не та подозрительная электронная почта вашего дедушки; это целевое, спроектированное человеком обманное действие, доставляемое прямо в ухо, часто выдавая себя за доверенные источники, чтобы выманить учетные данные или конфиденциальную информацию у ничего не подозревающих сотрудников. Между тем, электронный фишинг отступил до скромных 6%, что является доказательством улучшенных автоматизированных защит от этого конкретного вектора атаки.
Схлопывающееся окно «передачи эстафеты»
Экосистема киберпреступности демонстрирует тревожный уровень специализации и, честно говоря, эффективности. Брокеры начального доступа больше не просто просовывают ногу в дверь; они прокладывают путь для группировок программ-вымогателей с ужасающей скоростью. В 2022 году среднее время между событием начального доступа и передачей второстепенной группе злоумышленников составляло более восьми часов. К 2025 году это окно сократилось до 22 секунд. Двадцать две секунды. Это означает, что вторичная группа часто имеет готовое вредоносное ПО и настроенный доступ, готовая развернуть свой полезный груз в тот момент, когда ей передадут ключи. Предыдущее компрометирование, часто облегчаемое этими брокерами начального доступа, теперь является третьим по распространенности вектором заражения в мире и основным вектором для атак программ-вымогателей, удвоив свою распространенность по сравнению с предыдущим годом. Эта быстрая передача — критическое узкое место, которое защитникам до сих пор в значительной степени не удалось устранить.
Программы-вымогатели как отказ в восстановлении
Программы-вымогатели — это уже не просто шифрование данных; они превратились в сложную стратегию отказа в восстановлении. Mandiant наблюдал за такими активными группами, как Akira и Qilin, не только блокирующими файлы, но и активно нацеливающимися на уничтожение резервных копий, служб идентификации и плоскостей управления виртуализацией. Подумайте об этом на секунду. Они не просто крадут ваши ценности; они разбирают сейф и переплавляют ключи. Злоумышленники используют неверные конфигурации в службах сертификации Active Directory для создания постоянных учетных записей администратора и напрямую удаляют объекты резервного копирования из облачного хранилища. Этот сдвиг от эксфильтрации данных и шифрования к полному уничтожению возможностей восстановления представляет собой значительную эскалацию в масштабах и серьезности атак программ-вымогателей.
«Среднее глобальное время пребывания выросло до 14 дней с 11 дней. Этот сдвиг, вероятно, отражает растущую изощренность, особенно в уклонении от средств защиты».
Эта цитата из отчета является самым ярким показателем. Дело не в том, что организации внезапно стали хуже обнаруживать угрозы; дело в том, что сами угрозы стали гораздо труднее обнаружить. Растущая зависимость от украденных учетных данных в сочетании с использованием сторонних SaaS-провайдеров для доступа к жестко закодированным ключам и сессионным куки означает, что злоумышленники действуют с уровнем привилегий, как у инсайдеров. Легкость, с которой они могут перейти в нижестоящие клиентские среды для выполнения крупномасштабной кражи данных, является прямым следствием этой развивающейся поверхности атаки.
Внутреннее обнаружение растет… пока
Есть проблеск хороших новостей, пусть и небольшой. Организации лучше обнаруживают вредоносную активность внутри сети. В 2025 году 52% расследований начались с внутреннего обнаружения, что заметно больше, чем 43% в 2024 году. Это говорит о том, что инвестиции в возможности обнаружения и реагирования начинают приносить плоды. Однако эта позитивная тенденция может быть омрачена растущим временем пребывания и огромной адаптивностью угрожающих акторов. Это гонка, и пока защитники добиваются успехов в одних областях, противники быстро продвигаются в других, особенно в своей способности поддерживать операции незамеченными.
Высокие технологии — новая мишень финансового сектора
Географически, высокотехнологичный сектор обогнал финансовый, став наиболее подверженной атакам отраслью, на которую приходится 17% инцидентов по сравнению с 14,6% у финансового сектора. Этот сдвиг с первой позиции, которую финансовая отрасль занимала последние два года, указывает на то, что противники ищут новые пути компрометации, вероятно, связанные с кражей интеллектуальной собственности, атаками на цепочки поставок или продолжающейся цифровой трансформацией в самом технологическом секторе.
🧬 Связанные материалы
- Читать далее: Жестокий 2025 год программ-вымогателей: рекордное количество жертв, сжатая прибыль, все те же трюки
- Читать далее: Поддельное обновление Windows во Франции крадет пароли у пользователей, чьи данные были скомпрометированы
Часто задаваемые вопросы
Что анализирует отчет Mandiant M-Trends?
M-Trends анализирует данные более чем 500 000 часов расследований инцидентов на передовой, проведенных Mandiant по всему миру за последний год, для выявления новых тактик, техник и процедур (TTP) киберугроз.
Безопасна ли моя организация от вишинг-атак?
Ни одна организация не может быть полностью безопасной. Рост вишинга требует усиленного обучения сотрудников тактикам социальной инженерии, внедрения надежных протоколов проверки звонков и использования решений безопасности, способных обнаруживать аномалии в моделях общения.
Почему время пребывания важно в кибербезопасности?
Время пребывания — это период, в течение которого злоумышленник остается необнаруженным в сети. Более длительное время пребывания дает злоумышленникам больше возможностей для повышения привилегий, эксфильтрации данных, развертывания вредоносного ПО и нанесения большего ущерба до обнаружения и удаления.
