Профессиональные хакерские группировки станут чаще применять хактивизм для прекращения работы важнейших объектов инфраструктуры страны, увеличится число уязвимостей для Windows 10, а сами злоумышленники будут чаще использовать большие языковые модели для управления сложными атаками. Такие прогнозы на ближайший год представили в своем блоге специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар», архитектора комплексной кибербезопасности.

Сложные кибератаки: новые мотивы и критичные отрасли под угрозой

В 2025 году специалисты Solar 4RAYS выявили интересный тренд — во втором полугодии ряд проукраински настроенных хакерских группировок «пропадал с радаров» после того, как их деятельность подробно освещалась ИБ-специалистами. Чем выше осведомленность ИБ-индустрии о конкретном атакующем, тем ниже эффективность атакующего. Скорее всего, они ушли в затишье, чтобы пересобрать свой арсенал, тактики и техники. Это означает, что они вернутся в 2026 году, а ждать снижения активности в ландшафте сложных шпионских кибератак не стоит.

При этом группировки продолжат атаковать отрасли, напрямую влияющие на общее состояние экономики России: промышленность, ТЭК, логистика и госсектор. Под угрозой окажутся и более мелкие организации, например из IT-сектора, которые часто используются в атаках через подрядчика — этот тренд продолжится и в 2026 году.

В 2025 году одни хакерские группировки активно маскировались под другие, используя чужие инструменты и инфраструктуру, что затрудняет определение истинного виновника атаки. Эксперты Solar 4RAYS предполагают, что в следующим году злоумышленники продолжат прилагать усилия, чтобы скрыть свою активность и затруднить распознавание ее следов.

Трансформировался и хактивизм: сегодня это понятие включает не только DDoS-атаки и дефейсы плохо защищенных сайтов, но и сложные атаки на критически значимые объекты инфраструктуры с целью вызвать общественный резонанс и нарушить деятельность жизненно важных систем вплоть до полной их остановки. Теперь хактивизмом чаще занимаются не низкопрофильные хакеры, а профессиональные группировки, обладающие серьезными навыками и ресурсами. Данный тренд продолжится и в 2026 году — это необходимо учитывать крупным социально и экономически значимым организациям.

Уязвимости в Windows 10 и отечественном ПО

По прогнозам Solar 4RAYS, Windows 10 после объявления о прекращении технической поддержки станет объектом повышенного внимания атакующих в ближайшие два года. Те уязвимости, что будут обнаруживаться в Windows 11, с высокой долей вероятности будут работать и на более ранней операционной системе, а вот патчи под «десятку», скорее всего, либо не будут выходить вовсе, либо выйдут с более низким приоритетом. Это говорит о необходимости срочной миграции на Windows 11 в тех организациях, которые используют продукты Microsoft.

Атакующие активно ищут уязвимости и в российских B2B-продуктах, разработчики которых не всегда заботятся об их безопасности на этапе разработки. Под особым прицелом хакеров в 2026 году, вероятнее всего, окажутся почтовые серверы, CMS, системы для видеоконференцсвязи и мессенджеры.

Вредоносное ПО и техники: банковские трояны c NFC, атаки на macOS и Android

По мнению экспертов Solar 4RAYS, с ростом распространенности бесконтактных методов оплаты будет расти и эффективность вредоносов, перехватывающих бесконтактные платежи — например, NFCGate.

Также ожидается рост атак с нулевым кликом (Zero-click или 0-click) — видом уязвимостей, которые позволяют хакеру выполнять вредоносные действия без взаимодействия с пользователем, иными словами — без социальной инженерии. Например, в этом году хакеры через уязвимость WhatsApp смогли взламывать iPhone с помощью картинки без участия пользователя. Достаточно было просто получить вредоносное сообщение, замаскированное под картинку — оно вызывало сбой в памяти, а атакующий получал возможность выполнять произвольный код на устройстве и таким образом получить полный контроль над смартфоном жертвы.

Ранее такой тип эксплойтов использовали только высокопрофессиональные группировки с доступом к огромным ресурсам. В публичной сфере в контексте zero-click чаще фигурируют продукты компании Apple, но эксперты Solar 4RAYS ожидают, что в наступающем году больше подобных угроз появится и на Android.

Тем не менее, это не говорит о том, что хакеры полностью откажутся от социальной инженерии — все совсем наоборот. По прогнозам «Солара», увеличится число атак типа ClickFix, когда злоумышленники принуждают жертву самостоятельно запускать вредоносное ПО на своем устройстве без необходимости первичной доставки какого-либо исполняемого файла на систему. Например, злоумышленники будут давать жертве инструкцию, как самостоятельно запустить вредоносный код: что откуда скопировать, как вставить в PowerShell, нажать Enter. При этом сама жертва будет думать, что выполняет другое действие — например, устанавливает защиту от кибератак. Источники подобных атак будет обнаружить куда сложнее, чем и будут пользоваться злоумышленники.

Вполне вероятно, увеличится число атак и на операционную систему Linux — как минимум, это связано и с импортозамещением (которое привело к появлению различных версий Linux с рядом уязвимостей в безопасности) и с тем, что до сих пор на этих системах часто не стоят никакие средства защиты.

В фокусе хакеров окажутся и компоненты macOS — например, Keychain, TCC, SIP, File Quarantine, Gatekeeper, Xprotect. Несмотря на стереотип, что под Mac вирусов нет, новые вредоносы под него все же появляются, как и уязвимости. Ряд сотрудников все еще использует личные компьютеры Apple для работы — этим и могут воспользоваться злоумышленники.

Еще одной целью злоумышленников станут и атаки на репозитории открытого кода. Такие атаки довольно сложны и длительны в исполнении, но приносят хакерам «долгоиграющие» результаты, так как позволяют добавлять вредоносную функциональность в доверенный код.

ИИ для создания инструментария и проведения атак

Низкоквалифицированные злоумышленники будут массово использовать ИИ (вайб-кодинг) для генерации простого вредоносного ПО — тем более, что признаки потенциального использования этого метода для создания вредоносного ПО эксперты Solar 4RAYS видели в расследованиях целевых атак в этом году.

В свою очередь, профессиональные группировки (APT) будут применять ИИ-агенты на базе LLM (больших языковых ИИ-моделей) как для подготовки самих атак, так и для управления ими. Прецеденты атак, для подготовки которых использовали ИИ-модели, уже есть: например, разработчик Claude AI, компания Anthropic, в этом году рассказывала, как пресекла попытку использования ее модели во вредоносных целях. Похожими случаями делился и Open AI — разработчик ChatGPT.

Снижение «порога входа»

Наконец, растет число относительно низкоквалифицированных группировок, которые покупают уже готовые доступы в инфраструктуру и инструменты шифрования. Вместе с трендом на вайб-коддинг это приведет к еще большему росту атак, организованных киберпреступниками-любителями.

Эксперты Solar 4RAYS в 2026 году советуют компаниям при формировании ИБ-стратегии придерживаться концепции Assume Compromise, при которой защита информации и сервисов в организации строится, исходя из предположения, что атакующим уже удалось проникнуть в сеть. Этот подход, помимо использования стандартных корпоративных средств защиты информации, предполагает пристальное внимание к политикам разграничения прав доступа, политике создания резервных копий, а также практикам обнаружения инцидентов на раннем этапе, например, с помощью регулярной оценки компрометации сети.

Подход не гарантирует стопроцентную защиту от факта атаки, но он надежно защищает то, за чем охотятся атакующие: конфиденциальные данные и работоспособность критически важных бизнес-систем.

Больше полезной информации о трендах киберугроз можно будет узнать из блога Solar 4RAYS.