Компания F6, разработчик технологий для борьбы с киберпреступностью, представила ежегодный аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26». Исследование показывает, что в 2026 г. в условиях геополитического конфликта кибератаки на российские организации будут усиливаться, будет расти число атакующих группировок и наносимый ими ущерб. Вымогатели и прогосударственные APT-группы успешно заимствуют тактики друг у друга, а политически мотивированные группы всё чаще шифруют данные жертв с требованием выкупа. Об этом CNews сообщили представители F6.

Утечек меньше, строк с данными – больше

В 2025 г. аналитики Threat Intelligence компании F6 зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 250 новых случаев публичных утечек баз данных компаний СНГ, из них — 230 российских организаций. В 2024 г. было выявлено 455 случаев утечек в России и других странах СНГ.

Суммарно утечки баз данных за 2025 г. содержали более 767 млн строк с данными российских пользователей, а в 2024 г. количество строк в утечках составило 457 млн.

В списке топ-5 самых объемных по количеству строк утечек 2025 г находятся четыре госсервиса: на них в сумме приходится около 600 млн строк. Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения максимального ущерба компаниям и их клиентам.

Наибольший интерес у киберпреступников вызывают случаи публикации в открытом доступе электронных почтовых адресов, телефонных номеров и паролей пользователей. Злоумышленники по-прежнему крайне заинтересованы в публикациях, содержащих чувствительную информацию, которую они впоследствии могут использовать в мошеннических схемах и для совершения каскадных атак на крупные компании.

Из общего количества данных больше 315 млн записей содержали электронные адреса, причем только 88 млн из них были уникальными. Также зафиксировано, что 156 млн записей содержали пароли пользователей, из них уникальные – 142 млн.

Прогосударственные угрозы сохраняются

В 2025 г. эксперты F6 фиксировали активность 27 прогосударственных APT-групп, атакующих Россию и СНГ. Для сравнения: в 2024 г. были зафиксированы атаки на Россию и СНГ 24 группировок. Из выявленных 27 групп 24 атаковали компании в России, восемь — белорусские организации.

В условиях острого геополитического конфликта за большинством атак стоят проукраинские группы, при этом кибершпионажем в России по-прежнему занимаются группировки из других стран, преимущественно Азии.

Семь новых APT-групп были раскрыты впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081. Большая часть из них начала проводить атаки в предыдущие годы, но выявлены они были лишь в 2025 г.

Среди топ-5 российских индустрий, которые атаковали APT-группы в 2025 г., оказались госучреждения — их атаковали 13 групп, промышленность (11 групп), НИИ (девять групп), предприятия ВПК (восемь групп), ТЭК (семь групп).

Прогосударственные атакующие использовали в атаках против российских организаций 0-day-эксплойты, инструменты и доступы в инфраструктуру, вероятно, приобретенные на андеграундных форумах, что довольно уникально для APT-групп и больше свойственно вымогателям и другим финансово мотивированным группам.

Атаки через цепочку поставок (Supply chain) и подрядчиков (Trusted relationship) сохраняют свою опасную эффективность и стали более точечными и разрушительными. Известен инцидент, когда сразу две прогосударственные группы находились в сети ИТ-подрядчика компании-цели, а одна из них еще и атаковала клиентов жертвы. В 2026 г. такие техники будут активно применяться как вымогателями, так и APT-группами.

Вымогатели и политически мотивированные группировки: больше ущерба, коллаборации и чужие приемы

В 2026 г. продолжатся коллаборации прогосударственных групп, киберкриминала и хактивистов.

В 2025 г. количество атак программ-вымогателей выросло на 15% по сравнению с предыдущим годом (в 2024 г. рост количества атак составил 44%). В 15% подобных инцидентов целью злоумышленников был не выкуп, а диверсия — разрушение инфраструктуры и нанесение максимального ущерба жертве (в 2024 г. на подобные атаки приходилось 10%).

Кроме того, помимо групп-вымогателей, в 2025 г. была зафиксирована активность более 20 финансово-мотивированных группировок, в том числе Vasy Grek, Hive0117, CapFIX.

Наиболее активными проукраинскими группами в этом году стали Bearlyfy/ЛАБУБУ — на их счету не менее 55 атак, THOR (не менее 12 атак), 3119/TR4CK, Blackjack/Mordor и Shadow (у каждой не менее четырех атак). Активность отдельных групп значительно снизилась, по причине консолидации проукраинских группировок.

Рекорд по сумме первоначального выкупа в 2025 г. поставила группировка CyberSec’s, потребовавшая 50 BTC (около 500 млн руб. на момент атаки). В среднем суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 млн до 40 млн руб.

Фокус политически мотивированных групп также смещается на нанесение большего ущерба с помощью программ-вымогателей. В 2025 г. более 10 хактивистских группировок отметились хотя бы одной атакой с использованием программы-вымогателя. В 2026 г. эта тенденция продолжится.

Также усилится тренд на коллаборацию и совместное проведение атак у политически мотивированных группировок. Помимо реальных кибератак, злоумышленники будут проводить информационные атаки, заключающиеся в публикации фейковых новостей, рассылках писем с угрозами. Пик подобной активности будет приходиться на дни, когда публикуются громкие новости о взломах.

«Мы фиксируем, что в России фокус сместился с массовых атак на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов, кражу чувствительных данных. В отличие от общемирового тренда, когда атакующие стараются без лишнего шума закрепиться в инфраструктуре, чтобы незаметно шпионить за жертвой или готовиться к будущей масштабной диверсии, прошлогодние атаки на российские транспортные компании и торговые сети были очень громкими. Они сопровождались публикацией утечек данных, информационными вбросами и кампаниями по дискредитации пострадавших. В 2026 г. будет расти количество групп атакующих, ущерб от их деятельности, в том числе суммы выкупов за расшифровку данных», – сказал Валерий Баулин, CEO компании F6.

Подробный аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.

Уникальные данные об активности атакующих, их тактиках и инструментах были получены благодаря данным киберразведки F6 Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F6 Managed XDR, работе аналитиков Центра безопасности F6, реагирований на инциденты информационной безопасности специалистов Лаборатории цифровой криминалистики F6, функционалу платформы F6 для защиты цифровых активов Digital Risk Protection.

Короткая ссылка