К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Враждебный ландшафт: с какими киберугрозами бизнес столкнется в 2026 году

Валерий Баулин (Фото из архива F6)
Валерий Баулин (Фото из архива F6)
Киберугрозы перестали быть фоном и все чаще становятся фактором, определяющим судьбу компаний. То, что еще недавно казалось проблемой ИТ-служб, сегодня напрямую затрагивает руководителей, клиентов и партнеров. Ландшафт атак меняется, правила игры усложняются, а цена ошибки растет. Эта колонка -- о том, почему привычные подходы больше не работают и к чему бизнесу стоит готовиться уже сейчас

За двадцать лет моей работы в сфере кибербезопасности ландшафт киберугроз в России никогда не выглядел пасторалью. Здесь, как у кратера вулкана — всегда было жарко и опасно. Россия долгие годы служила для киберпреступников полигоном для обкатки новых вирусов, тактик и техник кибератак, мошеннических сценариев.

После 2022 года ситуация изменилась: на Россию обрушился настоящий кибер-тайфун. Программы-вымогатели, DDoS-атаки, утечки данных, кибершпионаж, диверсии, а также масштабное телефонное и онлайн-мошенничество стали повседневной реальностью.

2025 год, на первый взгляд, выглядел иначе. Ландшафт киберугроз словно застыл, напоминая плато. Впервые за три года не было ни взрывного роста числа атак, ни появления большого количества новых преступных групп, ни антирекордов по объему утечек данных. Создавалось впечатление, что атакующие либо выдохлись, либо готовились к следующему этапу.

 

Вместо массовости фокус сместился на максимальный ущерб: остановку бизнеса, получение многомиллионных выкупов и кражу чувствительных данных.

Многие наверняка помнят драматичные события прошлого лета, когда кибератаки привели к авиационному коллапсу, временному закрытию алкомаркетов и аптек. В отличие от глобального тренда, при котором злоумышленники стараются как можно тише закрепиться в инфраструктуре жертвы — для длительного шпионажа или подготовки будущей диверсии, — атаки на российские транспортные компании и торговые сети оказались демонстративно громкими. Их сопровождали публикации утекших данных, информационные вбросы и целенаправленные кампании по дискредитации пострадавших организаций.

 

Для CEO это принципиально меняет правила игры: вопрос кибербезопасности перестает быть задачей только ИТ- или ИБ-директора и становится частью управленческой ответственности первого лица. Одна единственная успешная кибератака бьет уже не только по бюджету или репутации бренда. Она выходит далеко за пределы периметра компании и касается клиентов, партнеров.

В ближайшие годы ландшафт киберугроз в России будет напрямую зависеть от политической ситуации. В условиях геополитического конфликта кибератаки продолжатся, а их масштаб и ущерб будут расти — как за счет увеличения числа атакующих групп, так и за счет усложнения самих атак.

F6 выпустила аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26», о которой я коротко расскажу в следующей части.

 

Вымогатели: риск для непрерывности бизнеса

Количество атак программ-вымогателей в прошлом году выросло на 15% по сравнению с предыдущим годом (для сравнения: в 2024-м рост составлял 44%). Чаще всего в 2025 году вымогатели атаковали производственные и инжиниринговые компании (17,1%), организации оптовой (14,3%) и розничной торговли (12,9%), ИТ-сектор (7,1%), транспорт и логистику (7,1%).

Рекорд по сумме первоначального выкупа в 2025 году установила группировка CyberSec’s, потребовавшая 50 BTC — около 500 млн рублей на момент атаки. В среднем суммы первоначального выкупа за расшифровку данных колебались от 4 до 40 млн рублей. И это уже не «ИТ-расходы», а уровень решений совета директоров.

Важно и другое: в 15% атак на крупные и средние компании целью была не финансовая монетизация, а диверсия — преднамеренное разрушение инфраструктуры. Годом ранее таких атак было 10%. Это означает, что бизнес все чаще сталкивается с противником, которого не интересуют переговоры. Наиболее активными группами в 2025 году стали Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12), 3119/TR4CK (не менее 4), Blackjack/Mordor (не менее 4) и Shadow (не менее 4 атак).

Показательный пример — группировка Bearlyfy, появившаяся в начале 2025 года. Начав с мелкого бизнеса и символических выкупов в несколько тысяч долларов, она быстро эволюционировала к атакам на более крупные компании с требованиями выкупа в десятки тысяч долларов и к сценариям шифрования без возможности восстановления данных.

Для CEO это ключевой сигнал: необходимо превентивно готовиться к подобным атакам, включая защиту периметра, аудит, киберучения и тренинги персонала, подписку на оперативное реагирование в случае инцидента и даже страхование.

 

Заход через партнера

В 2025 году подтвердился еще один тревожный тренд — атаки через цепочки поставок и доверительные отношения. Так, были выявлены атаки программ-вымогателей на страховые компании через компрометацию подрядчиков, а также инциденты, при которых сразу две прогосударственные группы одновременно находились в сети ИТ-подрядчика, причем одна из них атаковала его клиентов. Злоумышленники, использующие ВПО Buhtrap, провели несколько атак на российские компании через сервисы электронного документооборота.

С управленческой точки зрения это означает, что границы риска больше не совпадают с границами компании. Поэтому ИТ-службе компании необходимо не только знать состояние своего периметра (наличие непропатченных уязвимостей, забытых теневых активов, скомпрометированных учетных записей, незакрытых портов и т.д.), но и быть уверенной в том, что экосистема их партнеров, подрядчиков и аутсорсеров также защищена.

Утечек меньше, но строк с данными — больше

Наши аналитики зафиксировали в 2025 году 250 новых случаев публичных утечек баз данных компаний СНГ, из них 230 — российских организаций. Для сравнения: в 2024 году было выявлено 455 утечек в России и странах СНГ. Суммарно утечки 2025 года содержали более 767 млн строк с данными российских пользователей.

В «лидерах» — госсектор. Если в 2024 году было зафиксировано 11 утечек госсервисов, то в 2025-м — уже 17. В топ-5 самых объемных утечек года по количеству строк вошли четыре государственных сервиса — суммарно около 600 млн записей. По объему данных они составили более 62% от всех опубликованных записей.

 

В утекших данных содержались ФИО, номера телефонов, адреса электронной почты, хешированные пароли, физические адреса, даты рождения, паспортные и налоговые данные, сведения об образовании и местах работы. Как и ранее, большинство баз данных преступники опубликовали в открытом доступе бесплатно, стремясь нанести максимальный ущерб компаниям и их клиентам. Особенно ценятся массивы чувствительных данных, которые затем используются в мошеннических схемах и каскадных атаках на крупные компании.

Отдельного внимания заслуживает роль Telegram. Для значительной части киберкриминала он стал основной инфраструктурой для распространения украденных данных. В 2025 году количество публикаций баз данных российских компаний в этом мессенджере оказалось почти в четыре раза выше, чем на профильных форумах. Блокировки со стороны администрации работают, но не решают проблему: каналы пересоздаются быстрее, чем бизнес успевает реагировать.

Мошенничество: риск, который бьет по клиентам — и по бренду

В 2025 году мы увидели взрывной рост фишинговых и скам-ресурсов, маскирующихся под реальные бренды и распространяющих вредоносное ПО: таких сайтов и страниц было выявлено и заблокировано почти в шесть раз больше, чем в 2024 году. Основной драйвер роста — активность скам-групп, ориентированных на заражение Android-устройств.

Например, серьезной головной болью для финансового сектора в начале 2025 года стали атаки с использованием вредоносных версий легитимного Android-приложения NFCGate. Ущерб клиентам банков за десять месяцев превысил 1,6 млрд рублей. Формально жертвами стали физические лица, но репутационный удар пришелся по финансовым институтам.

 

Главными целями фишинговых и мошеннических атак в 2025 году были электронная коммерция, банковский сектор и онлайн-сервисы. Для CEO здесь важно понимать: в глазах клиентов грань между «нас взломали» и «вас обманули, но через наш бренд» практически не существует. Управление киберрисками все теснее переплетается с управлением доверием.

Искусственный интеллект: пока еще не супероружие, но уже катализатор

Несмотря на хайп вокруг искусственного интеллекта, в 2025 году нейросети, к счастью, пока не стали «супероружием» в руках злоумышленников. Тем не менее ИИ-инструменты уже позволяют автоматизировать и удешевлять создание фишингового контента и дипфейков, масштабировать атаки и улучшать разведку.

Случаи реального применения ИИ в сложных целевых атаках пока остаются единичными. Однако эксперимент по созданию шифровальщика PromptLock с ИИ-компонентами на борту продемонстрировал разрушительный потенциал кибероружия нового поколения. Вероятно, уже в ближайшем будущем мы столкнемся с полностью автономными ИИ-атаками.

Что это значит для CEO

Главный вывод прост и неприятен: кибербезопасность перестала быть сугубо «бумажной» функцией и касается абсолютно каждого. Это вопрос устойчивости бизнеса и личной ответственности руководителя. В 2026 году устоят под атаками не те компании, которые считают, что их «все эти хакеры не касаются», а те, где киберриски встроены в систему управления, решения принимаются до инцидента, а не после, руководство понимает, что кибератака — это не техническая проблема «айтишников», а управленческий кризис в полный рост.

 

И первый шаг — понимание, что угрожает вашему бизнесу, и что уже сейчас можно сделать, чтобы подготовиться к атаке. Большинство ответов уже есть в нашем ежегодном исследовании, просто найдите время его изучить.

Автор — резидент Forbes Club. Мнение редакции может не совпадать с точкой зрения автора.

F6 – разработчик технологий для борьбы с киберпреступностью, для предотвращения и расследования киберпреступлений в России и за рубежом. Решения компании F6 обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F6 входят в реестр отечественного ПО. Компания F6 создана при поддержке фонда развития результативной кибербезопасности «Сайберус».