СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
9 июня
#ИБ

Хакеры-вымогатели впервые за четыре года стали меньше атаковать российские компании

Хакеры-вымогатели впервые за четыре года стали меньше атаковать российские компании

изображение: grok

Рынок программ-вымогателей в России впервые за четыре года показал заметное снижение. За январь–май 2026 года количество атак на отечественные компании сократилось на 20%, хотя суммы требований по-прежнему доходят до миллионов долларов. Эксперты предупреждают, что говорить о переломной точке преждевременно.

Компания F6 за пять месяцев зафиксировала свыше 220 атак различных группировок, работающих с программами-шифровальщиками. Несмотря на просадку статистики, активность преступного сегмента остаётся высокой, а финансовые требования измеряются миллионами долларов США.

Снижение во многом связано с изменением международной обстановки. Заметно сократилось число атак со стороны группировок ближневосточного происхождения. Часть команд переключилась на иные регионы и задачи после обострения ситуации в своём регионе. Освободившуюся нишу долго пустой никто оставлять не стал.

Заметнее всего в 2026 году нарастили активность проукраинские хакерские объединения. По оценке F6, число их атак на российские организации выросло более чем на 10%. От классических вымогателей такие группы отличаются мотивацией, они нередко совмещают денежные требования с целенаправленным разрушением инфраструктуры жертвы.

Финансовый мотив пока доминирует в структуре атак. В 82% инцидентов злоумышленники добивались выкупа за разблокировку данных и систем. Оставшиеся 18% приходились на атаки, где главной задачей было разрушение инфраструктуры или максимальный ущерб бизнесу.

Самое крупное требование за первые месяцы 2026 года получила компания из финансового сектора. Одна из группировок запросила 3,8 млн долларов, что на момент атаки соответствовало примерно 304 млн рублей. Цифра внушительная, но до рекорда прошлого года она не дотянула. В 2025 году группировка CyberSec’s потребовала у крупного российского рыбопромыслового предприятия 50 биткоинов, тогда это оценивалось примерно в 500 млн рублей.

Средние суммы выглядят скромнее, хотя термин этот тут очень относительный. F6 оценивает средний размер выкупа за восстановление данных в 2026 году примерно в 175 тыс. долларов. Для многих организаций такая цифра сопоставима с годовым бюджетом целых подразделений.

Стоит обратить внимание на то, что зарубежные вымогательские группировки подходят к расчёту суммы прагматично, после анализа финансовой документации они нередко запрашивают от 1% до 5% годовой выручки компании.

О таком подходе рассказал руководитель лаборатории цифровой криминалистики F6 Антон Величко. По его словам, проукраинские группы тоже изучают платёжеспособность жертвы, но поскольку их задачи не ограничиваются заработком, размер требований иногда выглядит совершенно нереалистичным.

Окончательной цифрой громкие запросы становятся редко. Специалисты F6 не раз наблюдали ситуации, когда пострадавшим компаниям удавалось снизить размер выкупа на 30–50%. Переговоры между атакующими и бизнесом давно превратились в отдельный элемент преступной экономики:

  • атакующие изучают финансовое состояние жертвы перед стартом переговоров;
  • жертвы привлекают внешних специалистов по реагированию;
  • стороны обмениваются образцами расшифрованных файлов;
  • торг идёт вокруг сроков оплаты и валюты перевода;
  • итоговая сумма нередко в полтора-два раза ниже стартовой.

Снижение количества атак далеко не все эксперты воспринимают как долгосрочный тренд. Руководитель группы анализа вредоносного программного обеспечения Solar 4RAYS компании «Солар» Станислав Пыжов считает, что наблюдаемое сокращение связано с временной перегруппировкой преступных кластеров. Часть команд переключается на другие виды активности, а отдельные операции уходят в плоскость кибершпионажа.

Близкую оценку даёт руководитель Bi.Zone Threat Intelligence Олег Скулкин. Продолжения спада активности вымогателей в ближайшее время он не ожидает. Более того, доля подобных атак, по его данным, даже выросла:

  • в 2025 году на шифровальщиков приходилось около 47% инцидентов;
  • в первом квартале 2026 года показатель достиг 49%;
  • финансовый сектор остаётся одной из самых атакуемых отраслей;
  • промышленность и логистика тоже входят в группу повышенного риска.

Статистика выплат выглядит любопытно. При многомиллионных требованиях лишь 8% пострадавших организаций соглашаются перевести деньги преступникам. Большинство компаний пытается восстановить инфраструктуру своими силами либо опирается на резервные копии и внутренние процедуры реагирования.

Положительный исход не гарантирован даже тем, кто решается заплатить. Антон Величко уточняет, что после получения выкупа преступники в большинстве случаев действительно передают инструменты для восстановления данных. Регулярно возникают ситуации, когда ошибки во вредоносном ПО или действия атакующих приводят к повреждению файлов ещё во время шифрования. Часть информации тогда оказывается потеряна безвозвратно вне зависимости от факта оплаты.

Существуют сценарии и похуже. Отдельные группировки попросту обманывают жертв после получения средств и не передают обещанные дешифраторы. Компания теряет и данные, и переведённые деньги.

Уточняется, что даже относительно небольшая сумма требований не должна восприниматься как лёгкий путь решения проблемы, поскольку выплата выкупа не гарантирует возврат информации.

На это обращает внимание руководитель глобальной команды реагирования на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов. По его словам, злоумышленники могут не передать рабочий ключ дешифрования, а сами перечисленные средства фактически становятся финансированием дальнейшей преступной деятельности.

Нынешний спад выглядит скорее короткой передышкой, чем переломом ситуации. Пока одни группировки временно снижают активность, другие ищут новые цели, совершенствуют инструменты шифрования и наращивают давление на бизнес. Поведение преступников за прошедшие месяцы можно описать несколькими наблюдениями:

  • структура атакующих заметно изменилась за счёт ухода ближневосточных команд;
  • проукраинские группы постепенно занимают освободившееся пространство;
  • средний чек требований остаётся в диапазоне сотен тысяч долларов;
  • доля атак с разрушительной мотивацией медленно, но растёт;
  • бизнес учится торговаться и снижать итоговые суммы.

Ранее сообщалось, что операторы программ-вымогателей продолжают наращивать доходы рекордными темпами. Согласно исследованию Rapid7, за первый квартал 2026 года киберпреступные группировки получили около 529,2 млн долларов, что на 39% больше по сравнению с аналогичным периодом прошлого года. Аналитики отмечают, что рынок вымогательского ПО сохраняет высокие темпы роста и остаётся одним из наиболее прибыльных сегментов киберпреступной деятельности.

Эксперты редакции CISOCLUB полагают, что нынешнее снижение количества атак не повод для расслабления служб информационной безопасности. Перегруппировка преступных команд исторически приводила к новым волнам активности, более изощрённым техникам и переориентации на менее защищённые отрасли.

Российскому бизнесу предстоит готовиться к смещению акцентов в сторону атак с двойной мотивацией, где финансовые требования совмещаются с задачами разрушения инфраструктуры. Особое внимание стоит уделять резервному копированию, сегментации сетей и регулярным учениям команд реагирования. Любая пауза на стороне атакующих рано или поздно заканчивается, и подготовиться к следующему витку лучше заранее.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: