Ландшафт угроз в 2026-м: внимание на Россию

Продолжаем перелистывать киберстраницы уходящего года и делиться прогнозами на ближайшее будущее. Заглянем в 2026-й!

Ирина Зиновкина

Руководитель направления аналитических исследований

Россия — одна из главных мишеней хакеров

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире.

Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%.

Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами. Стоит также отметить, что ожидается рост числа атак на цепочки поставок: через подрядчиков и поставщиков услуг злоумышленники могут проникать в бизнес-системы, что в ряде случаев будет приводить к наиболее масштабным последствиям.

Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера — темпы цифровизации и геополитическая обстановка. Новые технологии порождают новые уязвимости, которые сложно выявить на ранних этапах внедрения. При этом защита зачастую развивается медленнее, особенно в условиях нехватки квалифицированных специалистов и зрелых решений. Так, по мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства. Их вывод из строя может привести к остановке производственных процессов и срыву операций на объектах критической информационной инфраструктуры.

Импортозамещение только усиливает риски: переход на отечественные IT-решения часто происходит в сжатые сроки, без должного внимания ^[1] к их защищенности, что упрощает задачу злоумышленникам — особенно при наличии уязвимостей нулевого дня или утечек исходного кода. Новому отечественному ПО необходимо время для наращивания необходимой функциональности, а также избавления от «детских болезней», которые могут эксплуатировать киберпреступники. В целом российские компании ожидают смягчения требований по переходу на отечественные решения, а также предоставления дополнительного времени на такой переход. На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств. Несмотря на активные государственные инвестиции в микроэлектронику, в ближайшие пять лет проблема не решится.

Хактивисты меняют инструментарий

Геополитика уже играет и будет играть не менее важную роль. При снижении напряженности хактивисты будут атаковать реже, а основную угрозу начнут представлять киберпреступники, ориентированные на вымогательство и кражу данных. В случае же усугубления геополитической ситуации возрастет число целевых хактивистских атак на критическую информационную инфраструктуру. Методы такого деструктивного воздействия меняются. Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях. На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов. Большинство хактивистов используют общедоступные инструменты и ВПО, распространяемое по модели malware as a service. Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.

Каким сферам экономики быть начеку

❗Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится. Высокая интенсивность кибернападений на эти отрасли сохранится даже в случае урегулирования острых геополитических вопросов. Доступ к информации госучреждений и промышленных предприятий по-прежнему будет рассматриваться как важный инструмент политического и экономического влияния.

В ближайшие годы активная цифровизация, внедрение IoT и систем на базе ИИ, а также переход на решения российских разработчиков будут расширять поверхность атак на промышленность и госсектор.

❗ Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак. Для IT-компаний особую опасность будут, в том числе, представлять атаки на цепочки поставок и доверительные отношения, про рост числа которых мы говорили ранее. В случае спада геополитической напряженности и восстановления международных деловых связей возникнут новые цепочки поставок и партнерства, в которых подрядчики могут стать «узловыми точками» с доступом к данным и системам сразу нескольких организаций. Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры. Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации. В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки. DDoS-атаки в 2026 году полностью не исчезнут: они останутся актуальным инструментом давления, но будут чаще использоваться с целью получения выкупа за их прекращение. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности. Прежде всего под удар будут попадать региональные провайдеры, не обладающие достаточными ресурсами для эффективной защиты.

Фишинг с помощью ИИ

Если говорить про методы, то социальная инженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными. По сравнению с 2023 годом и первой половиной 2024-го их распространенность заметно возросла:

Доля успешных атак на организации с применением вредоносного ПО увеличилась с 56 до 71%, а доля атак с использованием социальной инженерии — с 49 до 60%.

Такой рост объясняется активной деятельностью финансово мотивированных и кибершпионских группировок, кампании которых, как правило, начинаются с фишинга и заражения систем жертв вредоносным ПО для дальнейшего развития атаки. Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать искусственный интеллект ^[2] для создания персонализированных писем и дипфейков, усиливая эффект психологического давления. При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям — одновременным утечкам данных и нарушениям бизнес-процессов. Это связано с тем, что злоумышленники не ограничиваются шифрованием информации, но также похищают ее для вымогательства или шантажа.

Тренды дарквеба

Отдельное внимание хочется уделить рынку киберпреступности ^[3], который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются; при этом ущерб для жертв не ограничивается выкупом и включает дорогостоящие простои и нарушения процессов. Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов.

Наиболее заметные тренды на рынке киберпреступности на данный момент:

• фокус на обход средств защиты,

• постоянная адаптация вредоносного ПО под изменения в браузерах и ОС,

• постепенная интеграция модулей ИИ.

При этом усиливается экосистемность: например, в панели управления вредоносами встраиваются магазины логов, появляются собственные криптомонеты и т. д.

Больше аналитических исследований ^[4] читайте в специальном разделе на нашем сайте. А мы вскоре продолжим знакомить вас с киберитогами и прогнозами. Stay safe!