В 2025 году исследователи KELA выявили почти 2,9 млрд скомпрометированных учётных данных по всему миру. В отчёте «Состояние киберпреступности 2026. Новые угрозы и прогнозы» сказано о резком усилении рынка цифровой преступности за счёт утечек логинов, паролей, токенов сессий, файлов cookie, вымогательства, эксплуатации уязвимостей и активного применения искусственного интеллекта. Главная мысль звучит просто и неприятно для бизнеса. Злоумышленникам уже не всегда нужно ломать дверь, если есть возможность купить или украсть готовый ключ.
По данным KELA, в 2025 году в обороте оказались почти 2,9 млрд скомпрометированных учётных записей. В эту массу вошёл широкий набор похищенных данных:

имена пользователей и пароли;
токены сессий и cookie-файлы;
данные из URL и связки логинов с паролями;
взломанные почтовые хранилища;
записи с площадок цифровой преступности.

Даже при устаревании или блокировке части подобных данных сам объём показывает масштаб рынка доступа к аккаунтам и корпоративным системам.
Отдельную роль сыграли вредоносные программы для кражи информации. По оценке KELA, подобные инструменты собрали данные примерно с 3,9 млн заражённых устройств и получили доступ минимум к 347 млн файлов. На заражённом компьютере хранятся пароли, рабочие документы, переписка, сессионные данные, доступы к облакам и панели администрирования.

Интересно, что заражения macOS вредоносами для кражи данных за год выросли с менее чем 1000 случаев в 2024 году до более 70 тыс. в 2025 году.

Для пользователей Apple история служит неприятным напоминанием о падении мифа об их полной неуязвимости. При нужде атакующих в логинах, токенах и рабочих доступах они идут туда, где есть ценные данные, без оглядки на операционную систему.
Вымогатели тоже продолжили наращивать давление. По данным KELA, число жертв программ-вымогателей за год выросло на 45% и достигло 7549. Ответственность за атаки брали на себя 147 активных групп, среди них 80 оказались новыми. Рынок вымогательства не сжимается, а дробится и обновляется.
Уязвимости остаются ещё одним крупным каналом для атак. В 2025 году в каталог KEV CISA добавили 238 известных эксплуатируемых уязвимостей. Это на 29% больше показателя 2024 года с его 185 записями. По данным KELA, рынок эксплойтов тоже меняется. Спрос идёт не на простые демонстрационные PoC-коды, а на готовые массовые скрипты и эксклюзивные инструменты для быстрого применения в атаках.
Геополитическая напряжённость подстегнула активность хактивистов. KELA зафиксировала появление 250 новых хактивистских групп, а число DDoS-атак выросло на 400% и выросло до 3500 в 2025 году. Подобные атаки всё чаще работают не только техническим оружием, но и публичным инструментом демонстрации силы.
Цепочка поставок ПО превратилась в отдельное оружие в руках преступников. Среди направлений риска KELA называет сразу несколько чувствительных зон:

компрометация механизмов OAuth;
вредоносные пакеты в открытых экосистемах разработчиков;
атаки через библиотеки и зависимости;
перехват токенов интеграций между сервисами;
внедрение в инструменты с устоявшимся доверием.

Атака приходит не напрямую, а через библиотеку, зависимость, токен или интеграцию, которой разработчики уже доверяют.
ИИ в отчёте KELA описан как один из главных факторов изменения атак. Преступники и APT-группы перестали использовать искусственный интеллект только как помощника для подготовки писем или ускорения рутины. Он становится встроенной частью атак, помогает усложнять операции, расширять масштаб и быстрее переходить от идеи к действию.

Интересно, что более 80% операций современных автономных атак уже не требуют участия человека и выполняются агентами под управлением ИИ.

По оценке KELA, атаки переходят от простого взлома LLM-систем к автономному выполнению целых рабочих процессов. Появляются вредоносные программы с применением ИИ и атаки через внедрение инструкций для перехвата агентов. Здесь речь уже не о генерации фишингового текста, а о попытке управлять логикой цифрового помощника с доступом к данным и сервисам пользователя.
Генеральный директор KELA Дэвид Кармиэль заявил о фундаментальной смене поведения противников. По словам Дэвида Кармиэля, рынок уходит от инструментов с поддержкой ИИ к автономным вредоносным процессам, где более 80% операций требуют минимального участия человека. Подобный сдвиг сильно меняет экономику атак.
Особенно громко звучат данные InfoWatch о глобальных утечках. Эксперты компании подсчитали, что за 2023–2025 годы мировая индустрия потеряла более 100 млрд записей персональных данных. Из них около 4,5 млрд утекло в России. Доля утечек коммерческой тайны выросла и обнаруживались более чем в 33% инцидентов. Рынок утечек выглядит сегодня так:

персональные данные занимают около 74% всех утечек;
в мире на 1 утечку приходится в среднем 5,44 млн записей;
в России на 1 инцидент приходится около 3,27 млн записей;
рост по России составил 25,8% к 2024 году;
разрыв с 2023 годом достигает 44%.

Независимый эксперт по утечкам данных заявил CISOCLUB: «Рынок атак всё сильнее строится вокруг доступа, а не одного лишь вредоносного кода. Логины, токены, cookie и сессионные данные превратились в валюту, открывающую преступникам почти легальный вход в системы. Компаниям необходимо контролировать не только периметр, но и жизнь учётных записей после утечек.
Нужны мониторинг скомпрометированных данных, быстрый сброс токенов, многофакторная проверка, контроль сессий и постоянная проверка того, какие доступы уже могли оказаться на стороне преступного рынка».