За первые пять месяцев 2026 года число кибератак с использованием программ-вымогателей на российские компании уменьшилось на 20%, что стало первым снижением данного показателя с 2021 года. Одновременно с этим активность проукраинских хакерских объединений увеличилась более чем на 10%. Самая крупная сумма, запрошенная злоумышленниками в качестве выкупа, достигла $3,8 млн. Согласно данным специалистов, только 8% пострадавших организаций в России соглашаются на выплату, однако даже после перевода средств жертвы могут не получить рабочий ключ для восстановления данных.
Впервые с 2021 года зафиксировано сокращение числа атак хакеров-вымогателей на российские компании, сообщает «Коммерсант». При этом рекордный первоначальный запрос выкупа составил $3,8 млн.
Как отмечают эксперты компании F6, в период с января по май 2026 года было зафиксировано свыше 220 атак программ-вымогателей на организации в России. Этот показатель уменьшился на 20% по сравнению с аналогичным отрезком 2025 года, и впервые с 2021 года наблюдается снижение количества таких инцидентов. Ключевой особенностью первой половины года стало заметное уменьшение активности киберпреступных группировок из ближневосточного региона в России. Это обусловлено обострением обстановки в их регионе и перенаправлением усилий этих хакерских групп на другие объекты. В то же время число атак со стороны проукраинских хакерских объединений возросло более чем на 10%.
В 82% случаев главной целью киберпреступников было получение выкупа, и только в 18% атак злоумышленники пытались уничтожить ИТ-инфраструктуру и причинить максимальный вред российским предприятиям, пишет CNews. Самая высокая сумма первоначального выкупа в 2026 году была затребована у компании из финансового сектора и равнялась $3,8 млн, что составляет около 304 млн рублей. Средний размер выкупа, который хакеры требовали у российских организаций за расшифровку данных в 2026 году, достиг $175 тыс. Этот показатель на 24% ниже рекорда 2025 года, когда группировка CyberSec’s запросила около 500 млн рублей у крупной российской рыбопромысловой компании.
Хакерские объединения, атакующие западные компании, оценивают масштаб бизнеса жертвы на основе украденных финансовых документов и обычно запрашивают выкуп в диапазоне от 1% до 5% от годового оборота, подчеркнул руководитель лаборатории цифровой криминалистики компании F6 Антон Величко.
«Проукраинские группы тоже изучают платежеспособность своих жертв. Однако, так как их задачи включают не только финансовую выгоду, но и проведение диверсий на территории России, это часто приводит к завышенным, то есть нереалистичным требованиям. При этом, когда они нацелены на получение денег, они проявляют прагматизм и при необходимости значительно снижают первоначальную сумму», — пояснил эксперт.
По информации F6, в некоторых случаях компаниям-жертвам удавалось уменьшить размер выкупа на 30-50%.
Снижение числа атак программ-вымогателей на 20% не указывает на устойчивую тенденцию, а имеет цикличный характер, полагает руководитель группы анализа вредоносного ПО Solar 4RAYS группы компаний «Солар» Станислав Пыжов. Как он отметил, часть хакерских группировок временно прекращает активность для перегруппировки, а некоторые кибератаки переходят в сферу кибершпионажа, о чем ранее сообщал CNews.
Руководитель Bi.Zone Threat Intelligence Олег Скулкин не ожидает дальнейшего спада активности вымогателей. Напротив, согласно его данным, доля таких кибератак увеличилась с 47% в 2025 году до 49% в первом квартале 2026 года.
«В большинстве случаев после выплаты выкупа пострадавшие могут восстановить данные. Однако нередки ситуации, когда из-за ошибок в действиях злоумышленников или в самом вредоносном ПО файлы повреждаются в процессе шифрования, что приводит к их безвозвратной утере. Кроме того, существует небольшой процент киберпреступных группировок, которые после получения выкупа обманывают жертв и не предоставляют работающий дешифратор», — пояснил Антон Величко.
Даже если запрашиваемая сумма выкупа кажется ниже стоимости самостоятельного восстановления данных, это не гарантирует их возврат, подчеркнул руководитель глобальной команды по реагированию на ИТ-инциденты «Лаборатории Касперского» Константин Сапронов. Вымогатели могут не предоставить рабочий ключ дешифрования либо использовать полученные средства для продолжения незаконной деятельности.
