Шантаж уже не тот
Атаки хакеров-вымогателей на российские компании сократились впервые за четыре года
Количество атак киберпреступников-вымогателей на российские компании за первые пять месяцев 2026 года сократилось на 20% впервые за последние четыре года. При этом активность проукраинских хакеров выросла более чем на 10%, а рекордный первоначальный запрос выкупа составил $3,8 млн. Лишь 8% жертв соглашаются платить, однако даже после перевода денег они рискуют не получить рабочий ключ дешифрования.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
В январе—мае 2026 года специалистам компании F6 удалось выявить более 220 атак различных группировок вымогателей на российские компании, что ниже показателя за аналогичный период предыдущего года на 20%, в то время как на протяжении последних четырех лет отмечался ежегодный рост числа таких атак. Главной тенденцией первых месяцев года стало значительное снижение активности в России киберпреступных группировок, имеющих ближневосточные корни, что связано с обострением ситуации в регионе и переключением групп на другие цели. В то же время количество атак вымогателей со стороны проукраинских группировок увеличилось более чем на 10%.
В 82% инцидентов главной целью киберпреступников стало получение выкупа и только в 18% атак злоумышленники стремились разрушить инфраструктуру и нанести российским организациям максимальный ущерб. Самая высокая сумма первоначального выкупа была запрошена одной из группировок у компании из финансового сектора и составила $3,8 млн (около 304 млн руб. на момент атаки). Пока это на 24% ниже рекорда 2025 года, когда группировка CyberSec’s потребовала 50 BTC (около 500 млн руб. на момент атаки) у крупной российской рыбопромысловой компании.
$175 тыс.
составила средняя сумма выкупа, запрашиваемая за расшифровку данных хакерами в 2026 году у российских компаний, по данным F6.
Группировки, атакующие западные компании, оценивают бизнес жертв по похищенным финансовым документам и устанавливают сумму выкупа порядка от 1% до 5% от годового оборота, отмечает руководитель лаборатории цифровой криминалистики компании F6 Антон Величко. «Проукраинские группы, по их заявлениям, также оценивают возможности жертв по выплатам. Но так как цели проукраинских групп — не только финансовая выгода, но и осуществление диверсий, это иногда приводит к «космическим» запросам выкупов. При получении же финансовой выгоды они достаточно прагматично относятся к размерам выкупа и по необходимости снижают первоначальные суммы»,— добавил он. В ряде случаев специалисты F6 фиксировали, что атакованным компаниям удавалось снизить размер выкупа на 30–50%.
Снижение числа атак на 20% не устойчивый тренд, а циклический спад: часть кластеров уходит на перегруппировку, а некоторые атаки смещаются в шпионаж, говорит руководитель группы анализа ВПО Sloar 4RAYS (ГК «Солар») Станислав Пыжов. Руководитель Bi.Zone Threat Intelligence Олег Скулкин не ожидает дальнейшего снижения активности вымогателей. Более того, он считает, что их доля выросла с 47% в 2025 году до 49% в первом квартале 2026 года.
В 8% случаев атакованные компании в этом году согласились на требования злоумышленников заплатить выкуп.
«В большинстве случаев после уплаты выкупа жертвам удается восстановить данные. Однако нередко бывают случаи, когда ошибки в действиях атакующих или в программах-вымогателях приводили к повреждению файлов при шифровании и безвозвратной потере информации. Также есть незначительный процент киберпреступных групп, которые обманывают жертв после уплаты выкупа и не предоставляют программы расшифровки»,— отметил Антон Величко. Даже если сумма кажется ниже стоимости самостоятельного восстановления, это не гарантирует возврат данных, так как вымогатели могут не предоставить рабочий ключ дешифрования или использовать полученный платеж для продолжения нелегитимной деятельности, отмечает руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов.