В период с января по апрель 2026 года число образцов вредоносного ПО, применяемых для атак на российские организации, увеличилось почти в 18 раз, достигнув 1174 единиц. Такую статистику приводят специалисты по кибербезопасности из Positive Technologies. Для сравнения: за аналогичный отрезок 2025 года было зафиксировано всего 66 подобных угроз. Из одиннадцати хакерских групп, находящихся под наблюдением, самой высокой активностью отметились PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore.
Как сообщают «Ведомости», рост числа вредоносных программ составил 18-кратное увеличение. Основной причиной этого явления стала индустриализация процесса их разработки.
Согласно данным Positive Technologies, с января по апрель 2026 года количество уникальных экземпляров вредоносного ПО, задействованных в кибератаках на российские компании, составило 1174. В тот же период 2025 года, по словам представителей компании, их насчитывалось лишь 66. Руководитель направления Центра исследования угроз «Лаборатории Касперского» Владимир Кусков сообщил «Ведомостям», что с начала 2026 года его специалисты обнаружили более 2 тысяч уникальных вредоносных образцов, связанных с наиболее активными хакерскими группировками, нацеленными на Россию.
В Positive Technologies уточнили, что все выявленные образцы троянов связаны с деятельностью одиннадцати отслеживаемых хакерских группировок. Наиболее активными в промежутке с января по апрель 2026 года признаны группы PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore. На их долю пришлось около 70% всех новых вирусных образцов за указанный период. Анализ демонстрирует резкое увеличение количества новых вредоносных программ, начиная с марта 2026 года. Помесячная динамика такова: январь — 115 образцов; февраль — 247 образцов; март — 413 образцов; апрель — 399 образцов. Для сравнения, в аналогичные месяцы 2025 года эти показатели составляли 21, 13, 8 и 24 соответственно.
Группировка PhaseShifters организовала целевую фишинговую кампанию, направленную на предприятия авиационной промышленности и оборонно-промышленного комплекса России. В ходе этих кибератак на устройства жертв устанавливался троян удаленного доступа Remcos, который давал хакерам полный контроль над зараженным компьютером, позволяя следить за экраном, перехватывать нажатия клавиш и получать доступ к конфиденциальной информации.
Другая группа, Rare Werewolf, применила иную тактику: она скрытно разворачивала в ИТ-системах жертв легитимный инструмент удаленного доступа AnyDesk. Отличительной чертой этих атак стало использование вспомогательного скрипта, который автоматически подтверждал системные уведомления Windows, обходя предупреждения безопасности и запуская опасное ПО.
Вот переписанный HTML-контент на русском языке с сохранением всех исходных тегов:Согласно отчету Positive Technologies за первый квартал 2026 года, чаще всего при помощи свежих вредоносных программ киберпреступники нацеливались на такие сферы: органы госвласти — 17,86%; банковский сектор — 9,82%; некоммерческие организации — 9,82%; заводы и фабрики — 8,04%.
Подобный всплеск числа уникальных экземпляров троянов эксперт по киберразведке из отдела Threat Intelligence (TI) центра безопасности Positive Technologies Денис Казаков объясняет геополитической обстановкой. Большинство отслеживаемых хакерских групп ориентируются преимущественно на Россию и государства Содружества Независимых Государств (СНГ). В условиях продолжающегося украинского конфликта закономерно возросло количество активных операций против российской ИТ-инфраструктуры. Кроме того, как отмечает Казаков, в 2025 году появились ИТ-уязвимости, которые со временем стали эксплуатировать кибергруппировки. «Попадая в оборот единожды, такой ИТ-инструмент начинает тиражироваться, и поток образцов программного обеспечения растет нелинейно», — комментирует он. Среди особенностей образцов вирусов, появившихся с начала 2026 года, Казаков выделил создание софта на новых языках — группировка PhantomCore переписала свой бэкдор с языка C# на Go, а также хакеры стали применять в атаках новые common vulnerabilities and exposures (CVE), то есть перечень известных ИТ-уязвимостей.
Аналогичную тенденцию отмечают и эксперты из Kaspersky ICS-CERT, а также международной компании ESET.
Генеральный директор группы компаний ST IT, эксперт рынка TechNet Национальной технологической инициативы (НТИ) Антон Аверьянов подчеркнул, что впечатляющий рост числа свежих образцов вирусов требует правильной трактовки. По его мнению, значительное увеличение показателей прежде всего связано с резким ростом количества вариаций и модификаций вредоносного кода, каждую из которых системы ИТ-мониторинга фиксируют как отдельный уникальный экземпляр. Основной причиной увеличения числа новых образцов троянов является индустриализация создания вредоносного ПО, полагает Аверьянов. Как он утверждает, один базовый вредоносный модуль способен автоматически пересобираться в десятки и сотни вариаций с минимальными правками. Подобные модификации помогают обходить антивирусные программы и системы обнаружения киберугроз. «Даже мелкие изменения на уровне кода порождают новый образец с точки зрения аналитических систем, что ведет к кратному росту статистических данных», — отметил эксперт.
Партнер Cloud.ru по кибербезопасности Юлия Липатникова отмечает, что сегодня хакерам уже не нужно быть профессионалами во всех сферах киберпреступной деятельности. Как она поясняет, на черных рынках предлагаются готовые наборы для создания вредоносного ПО и инфраструктура как услуга (IaaS). Цена на такие ИТ-инструменты и услуги стартует от 20 тысяч рублей за одну кибератаку, что существенно снижает барьер для входа в мир киберпреступности и открывает возможности даже для новичков.
