Microsoft: ИИ меняет правила кибербоевых действий — преступность, шпионаж и разрушение сливаются в гибридные атаки

В отчёте Microsoft Digital Defense Report 2025 заявлено, что искусственный интеллект стал не просто инструментом защиты, но и мощным оружием в руках атакующих. Команды киберпреступников и поддерживаемые государством структуры теперь действуют на одном поле, размывая грань между шпионажем, вымогательством и саботажем. В прицел попали как государственные ведомства, так и частные компании, особенно те, чья инфраструктура связана с академическими исследованиями, критически важными облачными сервисами и распределёнными ИТ-средами.

В отчёте заявляется, что 97% атак, связанных с идентификацией, стартовали с подбора паролей или их распыления. Хотя многофакторная аутентификация даёт результат, пробелы в защите учётных записей — особенно сервисных и машинных — позволяют злоумышленникам проходить через технические барьеры. Рост атак на учётные данные составил 32% всего за полгода, и атаки всё чаще смещаются на облачные сервисы, API, скрипты и автоматизированные приложения с повышенными правами доступа.

Преступные группы всё меньше полагаются на самостоятельный взлом. Вместо этого они массово закупают готовые данные.

Вредоносные программы-инфокрады вроде Lumma и RedLine собирают учётные записи, которые затем продаются на подпольных рынках. Этим бизнесом занимаются специализированные брокеры доступа — по данным Intel 471, в 2024–2025 годах зафиксировано 368 активных брокеров, поставивших под удар организации в 130 странах.

Серьёзную угрозу представляют уязвимости в облаке и цифровых цепочках поставок. В Microsoft отмечают, что треть всех зафиксированных инцидентов произошла из-за неисправленных веб-приложений, открытых удалённых сервисов и неправильных конфигураций периметра. Около 18% атак начинались с уязвимых веб-интерфейсов, ещё 12% — с удалённых точек входа.

Особо опасной тенденцией стал 87%-ный рост разрушительных действий в облачных инфраструктурах. Выросло число атак, связанных с удалением данных, шифрованием и параллельной компрометацией как облачных, так и локальных сегментов. Если два года назад гибридные вымогательские атаки были редкостью, то в 2025 году они составляют уже более 40% всех подобных инцидентов. Злоумышленники используют небрежные настройки доступа и дыры в IAM-конфигурации, чтобы перемещаться между средами.

Программы-вымогатели, по-прежнему, находятся в центре внимания. В Microsoft заявляют, что финансовый мотив стал основным в более чем половине изученных атак. Доля операций, связанных с шпионажем, значительно меньше. Но то, как злоумышленники попадают внутрь, меняется. Вместо массового фишинга — таргетированные схемы социальной инженерии.