Добавить в корзинуПозвонить
Найти в Дзене

Вредоносное ПО и фишинг в 2026 году: как изменился ландшафт атак на российский бизнес

В январе–апреле 2026 года количество вредоносных программ, нацеленных на российские компании, выросло в 18 раз по сравнению с аналогичным периодом 2025 года. Одновременно число атак с применением социальной инженерии увеличилось на 37,5%, а фишинговых атак — на 16,8%. Эти данные, зафиксированные регуляторами и исследовательскими центрами, формируют новую картину угроз, в которой массированные DDoS уступают место целевым проникновениям с использованием вредоносного ПО и компрометации подрядчиков. Ниже анализируются ключевые тренды и приводятся практические меры, позволяющие адаптировать систему защиты к текущим условиям. По данным Positive Technologies, с января по апрель 2026 года число образцов вредоносного ПО, использованного против российских организаций, возросло с 66 до 1174 — почти в 18 раз. Выявленные образцы связаны с одиннадцатью отслеживаемыми хакерскими группировками, наиболее активными из которых являются PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore. На долю этих гр
Оглавление
Сборное изображение.
Сборное изображение.

В январе–апреле 2026 года количество вредоносных программ, нацеленных на российские компании, выросло в 18 раз по сравнению с аналогичным периодом 2025 года. Одновременно число атак с применением социальной инженерии увеличилось на 37,5%, а фишинговых атак — на 16,8%. Эти данные, зафиксированные регуляторами и исследовательскими центрами, формируют новую картину угроз, в которой массированные DDoS уступают место целевым проникновениям с использованием вредоносного ПО и компрометации подрядчиков. Ниже анализируются ключевые тренды и приводятся практические меры, позволяющие адаптировать систему защиты к текущим условиям.

Рост вредоносного ПО: восемнадцатикратное увеличение за четыре месяца

По данным Positive Technologies, с января по апрель 2026 года число образцов вредоносного ПО, использованного против российских организаций, возросло с 66 до 1174 — почти в 18 раз. Выявленные образцы связаны с одиннадцатью отслеживаемыми хакерскими группировками, наиболее активными из которых являются PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore. На долю этих групп приходится около 70% новых вредоносных программ.

Помесячная динамика выглядит следующим образом: 115 образцов в январе, 247 в феврале, 413 в марте и 399 в апреле. Для сравнения: в те же месяцы 2025 года фиксировалось 21, 13, 8 и 24 образца соответственно. Рост носит взрывной характер и указывает на целенаправленное наращивание инструментария атакующих.

Центральный банк Российской Федерации в «Обзоре отчётности об ИТ-инцидентах по информационной безопасности при переводе денежных средств» зафиксировал 95 кибератак на юридические лица с использованием вредоносного ПО в I квартале 2026 года — это на 131,7% больше, чем в IV квартале 2025 года (41 атака). Основным вектором остаются фишинговые рассылки с вредоносными вложениями: при открытии такого вложения злоумышленники получали удалённый доступ к корпоративным информационным системам и осуществляли переводы денежных средств, маскируя операции под обычную хозяйственную деятельность.

Фишинг и социальная инженерия: рост числа атак и усложнение схем

По данным Банка России, число кибератак с использованием методов социальной инженерии выросло с 13,9 тыс. в IV квартале 2025 года до 19,1 тыс. в I квартале 2026 года (прирост 37,5%). Количество фишинговых атак увеличилось с 385 до 450 (прирост 16,8%). Банки отразили почти 16,8 млн попыток несанкционированного вывода средств, защитив от хищения 1,8 трлн рублей.

Аналитики компании Bi.Zone за I квартал 2026 года зафиксировали 12,5 тыс. мошеннических сайтов во всех доменных зонах, включая российскую. Это меньше, чем 17,5 тыс. за аналогичный период 2025 года, однако эксперты отмечают качественное изменение схем: злоумышленники делают ставку на многоэтапные сценарии и комбинируют разные каналы коммуникации, переводя жертв из электронной почты в мессенджеры.

DDoS-атаки: снижение объёмов при смене тактики

Количество DDoS-атак в финансовом секторе в I квартале 2026 года сократилось почти на треть, по данным Центробанка. Схожую динамику фиксируют аналитики ГК «Солар»: среднее число атак на организацию год к году снизилось в 2,4 раза, однако осталось на уровне III и IV кварталов 2025 года. Снижение объясняется не ослаблением угрозы, а сменой тактики: злоумышленники переходят от массированных DDoS к более сложным веб-атакам, способным привести к взлому инфраструктуры и утечке данных, а также к APT-атакам с целью шпионажа и получения финансовой прибыли.

Наиболее атакуемыми отраслями по интенсивности DDoS в I квартале стали нефтегазовая отрасль (в среднем 155 атак на организацию), ритейл (114), энергетика (113) и промышленность (109). Для сравнения: годом ранее в топе находились госсектор, кредитно-финансовая отрасль, телеком и ИТ-сектор. Изменение связывается с геополитической ситуацией, в частности с событиями на Ближнем Востоке.

Отдельного внимания заслуживает рост импульсных DDoS-атак длительностью от секунд до двух минут. По данным компаний Servicepipe и «Спикател», в I квартале 2026 года российские компании, особенно в телеком-индустрии, столкнулись с увеличением числа таких атак на 20% по сравнению с аналогичным периодом прошлого года. Мощность атак в большинстве случаев превышает 2 Тбит/с, что эксперты называют новым диапазоном для России. Поскольку системы защиты обычно настроены на более продолжительные атаки, инфраструктура может подвергаться ущербу до того, как механизмы защиты вступают в действие.

Атаки на критическую инфраструктуру

За первые три месяца 2026 года зафиксировано более 9 тыс. нападений на системы связи, энергетики, транспорта и другие критически важные объекты — это около 80% от всех киберинцидентов в стране, сообщает газета «Коммерсантъ». Рост связывается с активностью хакерских групп и хактивистов. Злоумышленники всё чаще применяют технологии искусственного интеллекта для ускорения и масштабирования атак.

Компрометация подрядчиков: каждый третий инцидент

Исследование УЦСБ SOC «Ландшафт киберугроз 2025/2026: тренды, атаки, уязвимости» показывает, что не менее 30% всех известных кибератак в 2025 году совершены через взлом подрядчиков. Число инцидентов с первичным доступом через уже описанные уязвимости выросло на 30% — это указывает на систематические проблемы с управлением обновлениями в цепочках поставок. Специалисты УЦСБ SOC также отмечают смещение фокуса злоумышленников на отечественное ПО и усложнение схем атак, включая комбинированное вымогательство: шифрование данных дополняется их кражей и угрозами публикации.

Новые требования ФСТЭК и защита КИИ

С 1 марта 2026 года вступил в силу приказ ФСТЭК России № 117, заменивший действовавший с 2013 года приказ № 17. Ключевое изменение — переход от формального выполнения фиксированного набора мер к риск-ориентированному управлению безопасностью. Документ устанавливает конкретные сроки устранения уязвимостей: критические — в течение 24 часов, высокого уровня — в течение семи дней. Также вводится требование непрерывного мониторинга защищённости вместо разовой аттестации при вводе системы в эксплуатацию.

9 апреля 2026 года Президентом подписан Федеральный закон, усиливающий меры защиты критической информационной инфраструктуры. Закон уточняет перечень общественно опасных последствий неправомерного воздействия на КИИ и одновременно вводит основание для освобождения от уголовной ответственности IT-специалистов, которые нарушили правила эксплуатации, но активно содействовали раскрытию кибератаки.

Типовой сценарий: атака через подрядчика

Организация среднего размера из производственного сектора, насчитывающая около 500 сотрудников, использовала облачный сервис подрядчика для автоматизации документооборота. В феврале 2026 года злоумышленники скомпрометировали учётную запись администратора этого сервиса через уязвимость, информация о которой была опубликована в открытых источниках за две недели до инцидента. Через интеграцию подрядчика с внутренними системами организации атакующие получили доступ к файловому хранилищу и скопировали порядка 15 ГБ конфиденциальной документации, после чего потребовали выкуп.

Разбор инцидента показал, что договор с подрядчиком не содержал требований к срокам устранения уязвимостей и регламенту реагирования на инциденты. Сегментация сети между системами подрядчика и внутренними ресурсами организации отсутствовала. По итогам были внедрены: процедура оценки защищённости подрядчиков на этапе заключения договора, ежеквартальный аудит их соответствия требованиям ИБ, микросегментация сетевого доступа и обязательное требование к подрядчикам о раскрытии инцидентов в течение 24 часов с момента обнаружения.

Рекомендации по адаптации защиты

На основании приведённых данных приоритетными направлениями усиления защиты в текущих условиях являются:

  • внедрение процесса управления уязвимостями с обеспечением устранения критических уязвимостей в течение 24 часов в соответствии с новыми требованиями ФСТЭК;
  • обязательное применение многофакторной аутентификации для всех точек удалённого доступа, включая доступы подрядчиков;
  • сегментация сети с изоляцией критичных систем от систем подрядчиков и внешних сервисов;
  • регулярное обучение сотрудников распознаванию фишинговых писем, в том числе нацеленных на компрометацию через вложения;
  • внедрение процедуры обязательной оценки защищённости подрядчиков на этапе заключения договора и периодического аудита их соответствия требованиям ИБ;
  • настройка систем защиты на обнаружение импульсных DDoS-атак длительностью менее двух минут;
  • переход от разовой аттестации систем к непрерывному мониторингу защищённости.

Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.

Вопрос для обсуждения: Какие из перечисленных трендов — рост атак с вредоносным ПО, усложнение фишинговых схем или компрометация подрядчиков — представляют наибольшую угрозу для отрасли, в которой работает организация?