В России количество атак киберпреступников-вымогателей снизилось, но это лишь передышка

В этом году впервые за последние четыре года количество атак киберпреступников-вымогателей на российские компании сократилось — на 20 % год к году за первые пять месяцев. По мнению экспертов, это связано с циклическим спадом, а не наметившимся трендом, пишет «Коммерсантъ».

Специалисты F6 выявили более 220 атак различных группировок вымогателей на российские компании, что меньше год к году на 20 %, в то время как последние четыре года число таких атак ежегодно росло. Исследователи отметили значительное снижение активности в России киберпреступных группировок с ближневосточными корнями в связи их переключением на другие объекты из-за обострения ситуации в регионе. Вместе с тем выросла активность проукраинских группировок, количество атак которых увеличилось более чем на 10 %.

В большинстве случаев (82 %) киберпреступники были нацелены на получение выкупа и только в 18 % атак стремились разрушить инфраструктуру и нанести жертве максимальный ущерб. Самая высокая сумма первоначального выкупа, запрошенная преступниками у компании из финансового сектора, составила $3,8 млн (около 304 млн руб. на момент атаки). Это на 24 % ниже рекордного требования выкупа в 2025 году группировки CyberSec’s в размере 50 BTC (около 500 млн руб. на момент атаки), потребовавшей эту сумму у крупной российской рыбопромысловой компании.

Согласно данным F6, в 2026 году средняя сумма выкупа, запрашиваемая хакерами у российских компаний за возобновление доступа к заблокированным данным, составила $175 тыс.

По словам руководителя лаборатории цифровой криминалистики компании F6 Антона Величко, после оценки бизнеса жертв по похищенным финансовым документам, хакеры, атакующие западные компании, назначают сумму выкупа порядка от 1 до 5 % от годового оборота. В случае проукраинских группировок, целью которых является не только финансовая выгода, но и осуществление диверсий, это иногда приводит к «космическим» запросам выкупов. Если же задача заключается только в получении финансовой выгоды, они достаточно прагматично относятся к размерам выкупа и по необходимости снижают первоначальные суммы, в ряде случае — на 30–50 %.

Как отметил руководитель группы анализа ВПО Sloar 4RAYS (ГК «Солар») Станислав Пыжов, снижение числа атак на 20 % не устойчивый тренд, а циклический спад: часть кластеров уходит на перегруппировку, а некоторые атаки переключаются на шпионаж.

Руководитель Bi.Zone Threat Intelligence Олег Скулкин полагает, что активность вымогателей дальше снижаться не будет. Он также считает, что их доля выросла с 47 % в 2025 году до 49 % в первом квартале 2026 года.

Антон Величко отметил, что даже после выплаты выкупа жертвам по разным причинам не всегда удаётся восстановить данные. Нередко встречаются случаи, когда ошибки в действиях атакующих или в программах-вымогателях приводили к повреждению файлов при шифровании и безвозвратной потере информации. Даже если сумма окажется ниже стоимости самостоятельного восстановления, это не гарантирует возврата данных, так как вымогатели могут не предоставить рабочий ключ дешифрования, предупредил руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов.