ANTIDDOS

Отчет Cloudflare 2026: Индустриализация киберугроз и рекордные атаки

Современный ландшафт угроз стал более разнообразным и пугающим, чем когда-либо: изощренные акторы, поддерживаемые государствами. Гиперобъемные DDoS-атаки. Дипфейки и мошенники, проходящие собеседования в вашей компании. Даже скрытые атаки через доверенные внутренние инструменты, такие как Google Календарь, Dropbox и GitHub.

Потратив последний год на преобразование триллионов сетевых сигналов в полезную информацию, Cloudforce One выявил фундаментальную эволюцию ландшафта угроз: эпоха грубого взлома уходит в прошлое. Ей на смену пришла модель эксплуатации высокого доверия, ставящая результат во главу угла любой ценой. Чтобы снабдить защитников стратегической дорожной картой для этой новой эры, сегодня мы публикуем первый Отчет об угрозах Cloudflare 2026. Этот отчет предоставляет разведданные, необходимые организациям для навигации в условиях роста индустриализированных киберугроз.

Новый барометр риска: показатель эффективности (MOE)

Cloudforce One наблюдает более масштабный сдвиг в психологии злоумышленников. Чтобы понять, как эти методы приводят к успеху, мы должны посмотреть на их причину: Показатель эффективности (Measure of Effectiveness, MOE).

В 2026 году современный противник отказывается от погони за «изощренностью» (сложные, дорогие, единичные взломы) в пользу пропускной способности. MOE — это метрика, которую атакующие используют, чтобы решить, что эксплуатировать дальше. Это холодный расчет соотношения усилий к операционному результату.

  • Зачем использовать дорогой эксплойт нулевого дня, если украденный токен сессии (идентификатор) имеет более высокий MOE?

  • Зачем создавать собственный сервер, если «щит репутации» (LotX) предоставляет бесплатную, практически не отслеживаемую инфраструктуру с высокой скоростью доставки?

  • Зачем писать код вручную, если ИИ может автоматизировать обнаружение связующих элементов, ведущих к вашим самым чувствительным данным?

В 2026 году самые опасные субъекты угроз — не те, у кого самый продвинутый код, а те, кто может интегрировать разведданные и технологии в единую непрерывную систему, достигающую своей цели в кратчайшие возможные сроки.

Ключевые выводы из Отчета об угрозах Cloudflare 2026

Восемь ключевых трендов — все движимые их MOE — определят ландшафт угроз в 2026 году:

  1. ИИ автоматизирует высокоскоростные операции злоумышленников. Субъекты угроз используют генеративный ИИ для картографирования сетей в реальном времени, разработки эксплойтов и создания дипфейков, что позволяет малоопытным акторам проводить высокоэффективные операции.

  2. Предварительное размещение, поддерживаемое государством, подрывает устойчивость критической инфраструктуры. Китайские субъекты угроз, включая Salt Typhoon и Linen Typhoon, отдают приоритет телекоммуникациям, коммерческому сектору, государственным и ИТ-услугам в Северной Америке, закрепляя свое присутствие сейчас для долгосрочного геополитического влияния.

  3. Слишком широкие права в SaaS-интеграциях расширяют радиус поражения атак. Как показал взлом GRUB1 в Salesloft, связующая ткань сторонних API-интеграций позволяет одному скомпрометированному API каскадно привести к утечке, затрагивающей сотни различных корпоративных сред.

  4. Противники превращают доверенные облачные инструменты в оружие для маскировки атак. Субъекты угроз активно нацеливаются на легитимные SaaS-, IaaS- и PaaS-инструменты, такие как Google Календарь, Dropbox и GitHub, чтобы замаскировать вредоносные действия под обычную корпоративную активность. 

  5. Дипфейк-персоны внедряют оперативников противника в западные платежные ведомости. Северная Корея операционализировала схему с удаленными ИТ-работниками, используя дипфейки и поддельные личности для внедрения государственных оперативников прямо в западные платежные ведомости с целью шпионажа и получения незаконных доходов.

  6. Кража токенов нейтрализует многофакторную аутентификацию. Вооружившись сборщиками информации, такими как LummaC2, для сбора активных токенов сессий, злоумышленники обходят традиционную многофакторную аутентификацию и переходят сразу к действиям после аутентификации.

  7. Слепые зоны ретрансляции позволяют осуществлять внутренний спуфинг бренда. Боты для фишинга как услуги (phishing-as-a-service) эксплуатируют слепую зону, где почтовые серверы не выполняют повторную проверку личности отправителя, что позволяет осуществлять высокодостоверную имитацию бренда, доставляемую прямо во входящие пользователей.

  8. Гиперобъемные атаки истощают пропускную способность инфраструктуры. Гиперобъемные распределенные атаки типа «отказ в обслуживании» (DDoS), питаемые массивными ботнетами, такими как Aisuru, регулярно бьют рекорды, сокращая время для реакции человека. 

Погружение: как злоумышленники превращают облачные инструменты в оружие

Теперь давайте глубже рассмотрим одну из тактик с высоким MOE, которую мы выявили: использование облачных инструментов в качестве оружия. Вместо использования известных вредоносных серверов злоумышленники используют легитимные облачные экосистемы, такие как Google Диск, Microsoft Teams и Amazon S3, чтобы маскировать свой трафик управления и контроля (C2). Это известно как «жизнь за счет земли» (или «жизнь за счет чего-либо как услуги»): надевая мундир доверенных провайдеров, атакующие делают свою активность почти неотличимой от обычного корпоративного трафика. 

SaaS-платформы также используются субъектами угроз для размещения, запуска, перенаправления или масштабирования атак. Например, такие службы, как Amazon SES и SendGrid, предназначенные для легитимной массовой рассылки электронной почты, часто используются для запуска изощренных кампаний по распространению фишинга и вредоносного ПО.

Как некоторые группы применяют эти тактики

Хотя эксплуатация облачных ресурсов — это устоявшаяся методика, расследования 2025 года выявили ускоренное созревание стратегии государственных акторов: они продолжают переходить от простого злоупотребления инфраструктурой к повсеместной «жизни за счет земли». Мы прогнозируем, что в 2026 году субъекты угроз попытаются стандартизировать эти методы в качестве стратегической цели своих операционных сценариев.

Вот некоторые из этих групп субъектов угроз, их базирование и примеры их подходов.

Субъект угрозы Страна Техника Подробности Пример
FrumpyToad Китай Логический C2 Перемещение «внутри рамок» репутационной SaaS-логики для уклонения от обнаружения. Использует Google Календарь в качестве оружия для облачного цикла C2, считывая и записывая зашифрованные команды прямо в описания событий.
PunyToad Китай Зашифрованное туннелирование Использование легитимных инструментов разработчика для обхода фильтрации исходящего трафика. Использует возможности туннелирования и облачные вычисления для создания устойчивых архитектур «жизни за счет облака», маскируя IP-адреса исходных серверов и уделяя приоритет долгосрочной персистентности.
NastyShrew Россия Резолверы тайников на сайтах для вставки кода Использование публичных сайтов для «вставки» кода для координации смены инфраструктуры. Использует такие сервисы, как Teletype.in и Rentry.co, в качестве резолверов тайников (DDR); зараженные хосты опрашивают эти сайты для получения сменяющихся C2-адресов.
PatheticSlug Северная Корея PaaS-ификация периметра Эксплуатация «щита репутации» облачных экосистем для маскировки вредоносной доставки. Использовал Google Диск и Dropbox для размещения полезной нагрузки XenoRAT, используя GitHub для скрытого C2, успешно сливаясь с легитимным корпоративным трафиком.
CrustyKrill Иран Фишинг, размещенный на SaaS Слияние сбора учетных данных с обычным облачным хостингом. Размещает C2-страницы на Azure Web Apps (.azurewebsites.net) и использует ONLYOFFICE для размещения полезных нагрузок, придавая своим операциям видимость легитимности.

Как Cloudforce One раскрыл ландшафт 2026 года

Определение MOE требует большего, чем просто наблюдение на высоком уровне. Чтобы по-настоящему раскрыть ландшафт 2026 года, в этом отчете подробно описывается, как Cloudforce One использует уникальное сочетание внутреннего опыта и глобальной телеметрии для получения информации, которую упускают традиционные модели безопасности. 

Наша методология разнообразна. Например: 

  • В рамках наших исследований в области ИИ-защиты мы поручили ИИ-агенту для написания кода провести самоанализ уязвимостей, используя агента для выявления его собственных пробелов в безопасности. Это «самоиспользование» выявило CVE-2026-22813 (9.4 CVSS), критический недостаток в конвейерах рендеринга markdown, позволяющий осуществлять неаутентифицированное удаленное выполнение кода. 

  • Наши глубокие погружения в Phishing-as-a-Service (PhaaS) показывают, что барьер для входа практически исчез. Аналитики наблюдали, как злоумышленники используют домены с высокой репутацией (Google Drive, Azure и т.д.), чтобы обходить фильтры. Телеметрия электронной почты выявила пробел в идентификации: почти 46% проанализированных писем не прошли проверку DMARC (протокол аутентификации электронной почты), обнажая обширную поверхность для атак, которую боты PhaaS быстро эксплуатируют.

  • Мы отследили переход от скрытой эксплуатации к попыткам «блэкаута» (blackout), выявив базовый уровень DDoS-атак в 31,4 Тбит/с. Наша телеметрия также показала, что за последние 3 месяца 63% всех входов в систему используют учетные данные, уже скомпрометированные в других местах, и что 94% всех попыток входа теперь исходят от ботов.

На каждом этапе этого исследования команда Cloudforce One использовала нашу масштабную глобальную телеметрию и оперативную разведку угроз, чтобы связать воедино казалось бы изолированные инциденты. Будь то использование наших собственных ИИ-агентов для упреждающего перехвата zero-day уязвимостей или отслеживание атак, запущенных миллионами зараженных ботами хостов, туннелирующих через резидентские прокси, — это единое поле видимости позволяет нам увидеть связь между единичным случаем фишинга учетных данных и многотерабитным «блэкаутом».

Путь вперед: Свести MOE к нулю с помощью автономной защиты

Выявление этих взаимосвязей — лишь первый шаг. Когда угрозы движутся на машинной скорости, защита, ориентированная на человека, больше не является жизнеспособным щитом. Чтобы противостоять «системному наступлению», защитникам по всей отрасли необходимо перейти к модели автономной защиты, чтобы свести MOE (вероятную ошибку/поле для маневра) противника к нулю.

Этот переход к автономной защите требует выхода за рамки ручных чек-листов и разрозненных оповещений. Организации должны укреплять связующую ткань своих сетей, используя видимость в реальном времени и возможности автоматического реагирования. В эту новую эпоху цель состоит не только в том, чтобы построить лучшую стену, — а в том, чтобы гарантировать, что ваша система может действовать быстрее злоумышленника, даже когда за ней никто не наблюдает.

Чтобы поддержать этот переход, сегодня мы представляем крупное обновление нашей платформы событий угроз: от простого доступа к данным мы переходим к полностью автоматизированному визуальному командному центру для вашего Security Operations Center (SOC).

Получите Отчет об угрозах Cloudflare 2026

Благодаря нашему непревзойденному охвату угроз и опыту исследователей Cloudforce One мы предоставляем информацию, необходимую для того, чтобы опережать индустриализированные киберугрозы. Чтобы ознакомиться с полным набором данных, глубокими тематическими исследованиями и тактическими рекомендациями, прочтите полный Отчет об угрозах Cloudflare 2026.