Инструменты с плавающей вредоносностью
Хакерские атаки на финансовый сектор стали более сложными
В 2026 году хакеры серьезно усложнили атаки на финансовый сектор, о чем свидетельствует рост разнообразия используемых инструментов. Главной атакующей линией остается использование фишинга и социальной инженерии, однако все шире применяются шпионское ПО, шифровальщики и атаки на цепочки поставок. Многовекторные атаки значительно затрудняют их обнаружение даже с учетом повышения защищенности.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
К началу 2026 года значительно расширилась стратегия атак злоумышленников на финансовые организации. По итогам первого квартала, по данным системного интегратора «Информзащита», почти все направления атак показали заметный рост. Лидером остается сегмент фишинга и социальной инженерии, который за год вырос на 11 п. п., до 68%, а также вредоносное программное обеспечение (ВПО) с удаленным доступом — рост на 11 п. п., до 41%. Вместе с тем максимумов за два года достигли и доли использования шпионского ПО (16%), программ-шифровальщиков (21%), а также атак на цепочки поставок (почти 26%). Причем уверенный рост доли этих трех сегментов обозначился со второго полугодия прошлого года (см. “Ъ” от 13 октября 2025 года). При осуществлении хакерской атаки могут использоваться разные инструменты, общая их доля превышает 100%.
Такая «многоступенчатость» усложняет обнаружение, поскольку каждая отдельная активность может выглядеть легитимно, а средства защиты, настроенные на одиночные сигнатуры, не фиксируют цепочку целиком, поясняет технический директор MD Audit Юрий Тюрин.
Цель многовекторных атак — «перегрузить» внимание подразделения ИТ и ИБ организации, говорит руководитель департамента развития и архитектуры «Кросс технолоджис» Евгений Балк. В результате они дольше остаются незамеченными и наносят больший ущерб. Кроме того, злоумышленники все чаще действуют «как полноценные команды с разделением ролей и инструментов», указывает Юрий Тюрин.
Доля фишинга и социнженерии от общего числа атак остается самой большой, поскольку это один из самых простых способов первичного проникновения в инфраструктуру. Имея доступ к аккаунту внутреннего пользователя, можно получить доступ к чувствительным данным, разместить ВПО, отмечает Евгений Балк. Если раньше хакеры самостоятельно готовили сценарии, письма, вложения и создавали сайты-клоны, то сейчас существует целая теневая индустрия, которая предоставляет такие услуги под ключ, отмечает руководитель продукта Cyber Rating CICADA8 Никита Котиков.
Рост использования ВПО связан с экономикой атак, говорят эксперты.
Подрядчиков взломать проще и дешевле. Большинство контрагентов выполняют узконаправленные работы, не обладают достаточным бюджетом на собственную ИБ, чем пользуются злоумышленники, проникая через незащищенных подрядчиков в самые чувствительные системы заказчиков из финансового сектора, говорит руководитель направления «Средства контроля пользователей» компании Innostage Тагир Кабиров. ВПО для удаленного доступа позволяет закрепиться в системе с минимальными затратами и использовать инфраструктуру жертвы, поясняет. Шифровальщики и шпионское ПО остаются прибыльными: первые — через выкуп, вторые — через продажу данных. Это отработанные и масштабируемые модели, утверждает он.
Вместе с тем финсектор активно защищается от злоумышленников. По оценке «Информзащиты», в 2025 году было 1,07 тыс. успешных атак, сократившись по сравнению с предыдущим годом на 12% и более чем в три раза по сравнению с 2022 годом (см. “Ъ” от 25 декабря 2025 года). В частности, используется комплексный подход — от технических средств до организационных мер и работы с сотрудниками, внедряются системы мониторинга и реагирования, которые отслеживают цепочки событий, а не отдельные инциденты, и активно используется поведенческий анализ, отмечает ведущий инженер CorpSoft24 Михаил Сергеев. Кроме того, по словам господина Балка, банки вводят практику ИБ-анкет, совместных аудитов для своих контрагентов.
В 2026 году эксперты ожидают, что в первую очередь будет развиваться автоматизация, в том числе с использованием ИИ, которая будет способствовать ускорению разработки вредоносного ПО, его доставки и проведения атак в целом. Это, в свою очередь, упростит компрометацию организаций с низким уровнем зрелости ИБ, считает руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies Аскер Джамирзе.