Microsoft называет 2025 год поворотным для кибербезопасности. ИИ ускоряет цифровую трансформацию и одновременно делает угрозы системными — они затрагивают экономику, инфраструктуру и политику.
На фоне геополитической напряженности активность госгрупп растет: Китай ведет масштабные операции по кибершпионажу в сфере технологий и государственного управления, Иран активно использует облачную инфраструктуру для атак на энергетические и промышленные сети.
Отдельное внимание Microsoft уделяет Северной Корее: по данным отчета, тысячи северокорейских IT-специалистов работают под вымышленными именами в зарубежных компаниях. Они получают доступ к исходному коду и внутренним системам, зарабатывают валюту для режима и участвуют в вымогательских операциях. Этот канал стал одним из самых заметных источников угроз 2025 года.
ИИ стал инструментом обеих сторон. Он помогает защитникам анализировать инциденты, но также используется злоумышленниками для автоматического фишинга, deepfake — поддельных изображений и видео, создаваемых ИИ и адаптивных атак. Microsoft предупреждает: рост автономных систем увеличивает риск утечек и непредсказуемых последствий.
Основные тенденции угроз
Аналитики Microsoft отмечают качественное изменение характера угроз: кибератаки превращаются в многоэтапные операции с ручным управлением, а их фокус смещается с шифрования данных к нарушению работы реальных бизнес-процессов и критической инфраструктуры. 80% инцидентов сопровождались кражей данных, а не просто шифрованием, и лишь 4% имели чисто шпионские цели. Большинство атак носит финансовый характер — вымогательство, продажа доступа, использование похищенной информации для новых вторжений.
Главные векторы проникновения — фишинг и социальная инженерия (28%). Помимо фишинга, злоумышленники массово атакуют технические слабости компаний — уязвимые веб-сайты и системы удаленного доступа (18% и 12% атак соответственно). Эти векторы особенно опасны тем, что позволяют злоумышленникам проникать в сети напрямую, без необходимости обманывать сотрудников. Растет злоупотребление легальными платформами и инструментами администрирования. Злоумышленники чаще используют украденные учетные данные, а не взлом — фактически «входят через парадную дверь».
Среди новых методов Microsoft выделяет ClickFix — прием, при котором пользователю предлагают скопировать и вставить команды из фишингового письма, что обеспечивает немедленный доступ злоумышленнику (такие атаки составили 47% случаев первоначального доступа). Другой быстро растущий метод — Device Code Phishing, когда злоумышленники крадут код устройства, используемый при входе в корпоративные системы. Это позволяет обойти многофакторную аутентификацию и получить долгосрочный доступ без тревожных уведомлений.