BI.ZONE выпустила исследование Threat Zone 2026 о киберугрозах для России и стран СНГ. Команда киберразведки отслеживала в 2025 году более 100 кластеров активности, которые атаковали организации в регионе.
Главная перемена — в мотивации атакующих. Финансовая выгода остается важной причиной атак, но ее доля снизилась до 47%. Зато шпионаж вырос до 37%, хактивизм — до 16%. Поэтому компании все чаще сталкиваются не с быстрым вымогательством, а с попытками закрепиться в инфраструктуре, украсть данные, получить доступ к смежным системам или нарушить работу сервисов.
Threat Zone 2026 разбирает полный жизненный цикл атаки. В исследовании выделены восемь этапов: первоначальный доступ, выполнение команд, закрепление в системе, связь с заражённой машиной, повышение прав, кража учётных данных, движение по инфраструктуре, сбор и вывод данных, воздействие на системы.
Мотивация атакующих меняется
В 2023 году финансовая мотивация была у 76% атак, в 2024 году — у 67%, в 2025 году — у 47%. За тот же период выросла доля атак ради шпионажа и хактивизма. Шпионаж поднялся с 21% до 37%, хактивизм — с 12% до 16%.
BI.ZONE отдельно отмечает: в абсолютных значениях финансово мотивированных атак остается много. Вымогательство удобно для преступников, потому что подходит почти любой отрасли. Компания может платить не за расшифровку файлов как таковую, а за возврат к работе, сохранение данных и снижение репутационного ущерба.
Но при этом атака все чаще может не заканчиваться выкупом. В инфраструктуру заходят ради документов, переписки, технической информации, доступа к партнерам, политически мотивированного ущерба или длительного наблюдения.
Больше всего атак пришлось на госсектор
Самой атакуемой отраслью в исследовании BI.ZONE стал госсектор — 14% всех атак. На втором месте финансовая отрасль — 11%. Транспорт, логистика и ритейл получили по 10%.
У этих отраслей есть общая черта: простой быстро приводит к последствиям. В госсекторе страдают цифровые услуги и документооборот. В финансах — платежи, клиентские данные и операционные процессы. В логистике — доставка, склады и цепочки поставок. В ритейле — продажи, программы лояльности, кассовые и складские системы.
Данные Solar JSOC по крупным российским компаниям показывают близкий по смыслу сдвиг. В 2025 году центр мониторинга выявил 1,16 млн событий ИБ после фильтрации ложных срабатываний. Заказчики подтвердили более 33 тыс. инцидентов против 31,5 тыс. годом ранее. В отраслевом разрезе выделились добывающая и пищевая промышленность — вместе 23%, госсектор — 14%, торговля, финансы и страхование, транспорт и логистика — по 10%.
Методики у BI.ZONE и Solar разные, поэтому их показатели нельзя суммировать. Но оба набора данных показывают одну тенденцию: атакующие выбирают организации, где нарушение ИТ-процессов быстро бьет по бизнесу, гражданским сервисам или производству.
Фишинг остается главным входом
Доля целевых атак, которые начинались с фишингового письма, выросла до 64%. Годом ранее было 57%. Вредоносные вложения регулярно использовал каждый четвертый кластер активности. BI.ZONE также ожидает, что атакующие будут чаще использовать мессенджеры и социальные сети.
Мировая статистика Kaspersky подтверждает масштаб проблемы с почтовыми угрозами. В 2025 году спам составил 44,99% всей мировой почтовой переписки и 43,27% писем в российском сегменте. Почтовый антивирус компании заблокировал 144,7 млн вредоносных вложений, антифишинговая система — 554 млн попыток перехода по фишинговым ссылкам.
На службы удаленного доступа пришлось 18% атак. Это второй результат после фишинга. BI.ZONE указывает два способа получения такого доступа: перебор паролей и стилеры.
Стилер — это вредоносная программа, которая крадёт из браузеров и приложений пароли, cookie-файлы, токены сессий и другие данные для входа. После такой кражи злоумышленник может не взламывать сервис напрямую. Он входит как обычный пользователь.
Поэтому одного пароля для защиты уже недостаточно. Нужна многофакторная аутентификация для почты, VPN, удаленного доступа и администраторских учетных записей.
Компрометация подрядчиков дала 9% атак и стала третьим способом первоначального доступа. Подрядчик может иметь доступ к VPN, внутреннему порталу, системе разработки, сервисной учётной записи, документообороту или облачному хранилищу. Если его защита слабее, он дает атакующему обходной маршрут к более крупной компании.
BI.ZONE фиксирует снижение доли атак через публично доступные приложения: с 13% в 2024 году до 7% в 2025 году. Снижение доли означает только то, что в этой выборке атакующие чаще выбирали другие способы входа: фишинг, удаленный доступ и подрядчиков. Уязвимости по-прежнему остаются рабочим вектором, особенно для сервисов на периметре, VPN-шлюзов, веб-приложений и систем удаленного администрирования.
BI.ZONE указывает, что доля атак с использованием искусственного интеллекта пока не превышает 1%. При этом исследователи ожидают усиления тренда, потому что ИИ-инструменты снижают порог входа для менее квалифицированных атакующих.
Промышленность остается удобной целью
Positive Technologies зафиксировала в первом полугодии 2025 года рост доли атак на промышленность: с 8% в первом квартале до 19% во втором. В 21% таких инцидентов использовались программы-вымогатели.
Для промышленности простой особенно дорого обходится. Атака может затронуть технологические процессы, склад, отгрузку, ERP-систему, закупки и взаимодействие с подрядчиками.
Solar также выделяет промышленность среди наиболее атакуемых отраслей в России. Добывающая промышленность дала 12% инцидентов, пищевая — 11%. Среди причин называются значимость отраслей, цифровизация, связка ИТ- и промышленной инфраструктуры, устаревшие системы и зависимость от подрядчиков.
Легитимные инструменты мешают обнаружению
BI.ZONE ожидает рост использования обычных инструментов на всех этапах атаки. Это снижает эффективность защиты, которая ищет только известные вредоносные файлы.
Утилита удаленного доступа, PowerShell, архиватор, средство туннелирования или системная команда сами по себе не всегда вредоносны. Но для атакующего — это способ закрепиться, собрать данные, передать команды и замаскироваться под обычную активность.
Поэтому мониторинг должен отвечать не только на вопрос «что запущено», но и на вопросы «кто запустил», «откуда», «в какое время», «с какими правами» и «к каким системам получен доступ».
Без журналов по удаленным подключениям, запуску команд, изменению групп, созданию задач и массовому чтению файлов такие атаки легко теряются в общем шуме.
Точки риска
Threat Zone 2026 показывает несколько конкретных точек риска.
-
Фишинг за пределами почты. Защита должна учитывать мессенджеры, QR-коды, ссылки на облачные документы и поддельные формы входа.
-
Удаленный доступ. VPN, RDP, сервисы удаленной поддержки и администраторские панели должны быть закрыты многофакторной аутентификацией и журналированием.
-
Подрядчики. Их доступы нужно выдавать под задачу, ограничивать по времени и регулярно пересматривать.
-
Учетные данные. Пароли в браузерах, общие учетные записи и постоянные привилегии создают короткий путь для атаки.
-
Видимость действий внутри сети. Логи запусков, удаленных подключений, изменения прав, массового чтения файлов и создания архивов необходимы для раннего выявления атаки.
Прогноз BI.ZONE на 2026 год
BI.ZONE ожидает, что интенсивность кибератак на российские организации существенно не снизится. Финансовая мотивация сохранит ключевую роль, а вымогательство останется одним из основных сценариев атак.
Исследователи также прогнозируют рост роли ИИ в подготовке атак. Такие инструменты помогают злоумышленникам компенсировать нехватку технических знаний, быстрее автоматизировать рутинные операции и улучшать качество фишинговых приманок.
Крупные компании продолжат атаковать через менее защищенных участников цепочки. В зоне риска — подрядчики, интеграторы и сервисные организации, у которых есть доступ к инфраструктуре заказчиков, но уровень защиты ниже.
Атакующие будут чаще использовать общедоступные и менее заметные инструменты вместе с массовым вредоносным ПО. Это усложнит обнаружение, потому что часть действий может выглядеть как обычная административная активность.
Фишинг выйдет дальше за пределы корпоративной почты. Помимо email, злоумышленники будут активнее использовать мессенджеры и социальные сети. Легитимные инструменты и утечки учетных данных также останутся важной частью атак: они помогают получить первоначальный доступ, закрепиться в инфраструктуре и двигаться внутри сети без явных признаков взлома.
