За первые четыре месяца 2026 года число вредоносных программ, используемых для кибератак против российских компаний, увеличилось почти в 18 раз — до 1174 образцов, предупреждают специалисты по кибербезопасности из Positive Technologies. В 2025 году за аналогичный период было обнаружено лишь 66 таких ИТ-угроз. Среди 11 отслеживаемых хакерских группировок наиболее активными оказались PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore.
Количество вредоносных программ для кибератак выросло в 18 раз, сообщают «Ведомости». Основной причиной их появления является индустриализация разработки этих ИТ-угроз.
Согласно данным Positive Technologies, с января по апрель 2026 года число уникальных образцов вредоносного программного обеспечения (ПО) в кибератаках на российские компании достигло 1174. В то время как за аналогичный период 2025 года их, по словам экспертов, насчитывалось всего 66. С начала 2026 года специалисты «Лаборатории Касперского» обнаружили более 2 тысяч уникальных вредоносных образцов ПО среди наиболее активных хакерских группировок, нацеленных на Россию, рассказал «Ведомостям» руководитель направления Центра исследования угроз в «Лаборатории Касперского» Владимир Кусков.
Все выявленные образцы троянов связаны с деятельностью 11 отслеживаемых хакерских группировок, уточнили в Positive Technologies. Наиболее активными в период с января по апрель 2026 года признаны группы PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore. На их долю пришлось около 70% всех новых вирусных образцов за указанный период. Аналитика демонстрирует резкий рост количества новых вредоносных программ начиная с марта 2026 года. Динамика по месяцам выглядит следующим образом: январь — 115 образцов; февраль — 247 образцов; март — 413 образцов; апрель — 399 образцов. Тогда как в аналогичные месяцы 2025 года их было 21, 13, 8 и 24 соответственно.
Группировка PhaseShifters проводила целевую фишинговую кампанию против организаций авиационной промышленности и оборонно-промышленного комплекса России. В результате кибератак на устройства жертв устанавливался троян удаленного доступа Remcos, который позволял хакерам полностью контролировать зараженный персональный компьютер (ПК), следить за экраном, перехватывать нажатия клавиш и получать доступ к конфиденциальным данным.
Другая группа, Rare Werewolf, применяла другой подход: она скрытно разворачивала в ИТ-системах жертв легитимный инструмент удаленного доступа AnyDesk. Отличительной чертой кибератак было использование вспомогательного скрипта, который автоматически подтверждал системные оповещения Windows, обходя предупреждения системы безопасности и запуская опасное ПО.
Согласно данным Positive Technologies за первый квартал 2026 года, новое вредоносное ПО чаще всего применялось для атак на следующие сферы: органы государственной власти — 17,86%; банковский сектор — 9,82%; некоммерческие организации — 9,82%; производственные компании — 8,04%.
Такой всплеск числа уникальных экземпляров троянов эксперт по киберразведке из департамента Threat Intelligence (TI) центра безопасности Positive Technologies Денис Казаков связывает с геополитической обстановкой. Большинство отслеживаемых хакерских групп нацелены преимущественно на Россию и государства Содружества Независимых Государств (СНГ). В условиях продолжающегося украинского конфликта закономерно возросло количество активных операций против российской ИТ-инфраструктуры. Кроме того, как отмечает Казаков, в 2025 году были обнаружены ИТ-уязвимости, которые со временем стали эксплуатировать злоумышленники. «Попадая в оборот, такой ИТ-инструмент начинает тиражироваться, и поток образцов программного обеспечения растет нелинейно», — объясняет он. Среди особенностей образцов вирусов, появившихся с начала 2026 года, Казаков выделил создание софта на новых языках: например, группировка PhantomCore переписала свой бэкдор с C# на Go. Также хакерские коллективы стали использовать в кибератаках новые common vulnerabilities and exposures (CVE), то есть перечень известных ИТ-уязвимостей.
Аналогичную тенденцию отмечают и эксперты Kaspersky ICS-CERT, а также международной компании ESET.
Генеральный директор группы компаний ST IT, эксперт рынка TechNet Национальной технологической инициативы (НТИ) Антон Аверьянов подчеркнул, что впечатляющий рост числа новых образцов вирусов требует корректной трактовки. По его мнению, значительное увеличение показателей прежде всего связано с резким ростом количества вариаций и модификаций вредоносного кода, каждую из которых системы мониторинга ИТ фиксируют как отдельный уникальный экземпляр. Главной причиной увеличения числа новых образцов троянов Аверьянов считает индустриализацию разработки вредоносного ПО. Как он пояснил, один базовый вредоносный модуль может автоматически пересобираться в десятки и сотни вариантов с минимальными изменениями. Такие модификации позволяют обходить антивирусные решения и системы обнаружения киберугроз. «Даже незначительные правки на уровне кода создают новый образец с точки зрения аналитических систем, что приводит к кратному росту статистических показателей», — резюмировал эксперт.
Специалист по кибербезопасности из Cloud.ru Юлия Липатникова отмечает, что современным злоумышленникам уже не обязательно быть профессионалами во всех сферах киберпреступной деятельности. Как она подчеркивает, на нелегальных онлайн-площадках можно найти готовые наборы для создания вредоносных программ, а также инфраструктуру как услугу (IaaS). Стоимость подобных ИТ-инструментов и услуг стартует от 20 тысяч рублей за одну кибератаку, что существенно снижает барьер для входа в мир киберпреступности и делает его доступным даже для новичков.
