CrashFix — Виявлений Microsoft Defender у січні 2026 року, цей варіант навмисно викликає збій браузера жертви, а потім пропонує виконати шкідливі команди для "відновлення" функціональності .
ConsentFix — Варіант, який працює безпосередньо в браузері та зловживає протоколами авторизації OAuth для компрометації облікових записів Microsoft без необхідності встановлювати шкідливе ПЗ, красти паролі чи навіть вимагати від користувача вставляти команду . Компанія з кібербезпеки revel8 у першому кварталі 2026 року спостерігала сім активних варіантів ClickFix, включаючи ConsentFix та варіант "AI-fix", що націлений на процес налаштування інструментів штучного інтелекту
.
Аналіз приблизно 3 000 активних ClickFix-пейлоадів, проведений Threadlinqs Intelligence, показав, що серверні бекенди динамічно генерують свіжі, заплутані PowerShell-команди, використовуючи Base64, AES, TripleDES, Rijndael та стискання Deflate .
Шкідливі AI-навички / Agentic Skills — Згідно зі звітом El País (8 липня 2026 року), який посилається на останні дані ESET про загрози, компанія попередила, що лише за два місяці кількість унікальних "AI-навичок" (плагінів для ШІ-агентів), які вона проаналізувала, зросла приблизно з 60 000 до майже 900 000. З них кількість шкідливих або підозрілих AI-навичок перевищила 3 000 . Це свідчить про вибухове зростання інструментів для атак на основі ШІ-агентів.
PromptSpy — ESET Research виявила PromptSpy, перший відомий Android-троян, який використовує генеративний штучний інтелект під час свого виконання . Шкідлива програма звертається до моделі Google Gemini, щоб інтерпретувати елементи на екрані зараженого пристрою та динамічно визначати, куди натискати, вирішуючи проблему непередбачуваних макетів екранів на тисячних моделях телефонів та мовах
. Його основна можливість — розгортання модуля VNC для віддаленого керування
. Дослідники зазначають, що це може бути лише доказ концепції, але це сигналізує про серйозний зсув у бік мобільних загроз, що використовують ШІ
.
Обсяг атак програм-вимагачів продовжує зростати. Comparitech зафіксував 4 217 атак програм-вимагачів у світі за перше півріччя 2026 року — на 11% більше, ніж у другому півріччі 2025 року (3 809), що в середньому становить 23 атаки на день . ESET прогнозує 40-відсоткове зростання кількості жертв програм-вимагачів у річному обчисленні на основі даних сайтів витоку інформації за 2025 рік
.
Понад 100 EDR-кілерів (інструментів для вбивства захисту). У звіті ESET за друге півріччя 2025 року зазначається, що інструменти EDR-кілерів продовжують поширюватися, причому Akira, Qilin та Warlock є одними з головних користувачів . Глибоке занурення ESET в угруповання програм-вимагачів Gentlemen RaaS задокументувало використання ним як власних, так і сторонніх/витіклих EDR-кілерів, включаючи HexKiller
. Звіт ESET MDR за перший квартал 2026 року підтверджує, що EDR-кілери тепер є стандартним компонентом операцій програм-вимагачів
. Численні джерела підтверджують, що екосистема окремих EDR-кілерів перевищила 100, використовуючи техніку BYOVD (Bring Your Own Vulnerable Driver)
.
Рівень виплат викупу впав до історичного мінімуму. Coveware повідомила, що рівень виплат викупу в четвертому кварталі 2025 року різко впав до 23% (історичний мінімум), а до четвертого кварталу 2025 року він знизився до 20% — тобто менше ніж 1 з 5 жертв платив викуп . Chainalysis відстежила загальні ончейн-виплати програм-вимагачів на суму приблизно 820 мільйонів доларів у 2025 році, що є найнижчим показником за весь рік з 2021 року та на 8% менше, ніж у 2024 році
. Незважаючи на те, що менше жертв платять, медіанний розмір викупу різко зріс (на 132% порівняно з попереднім кварталом, до 325 000 доларів), що свідчить про те, що зловмисники зосереджуються на більш цінних цілях
.