Рост троянов для кибератак
Количество вредоносных программ для кибератак выросло в 18 раз, пишут «Ведомости». Главная причина их появления — индустриализация их ИТ-разработки.
По данным Positive Technologies, с января по апрель 2026 г. число уникальных образцов вредоносного программного обеспечения (ПО) в кибератаках на российские компании достигло 1174. Тогда как в аналогичный период 2025 г. их, по его словам, было лишь 66. С начала 2026 г. специалисты «Лаборатории Касперского» выявили более 2 тыс. уникальных вредоносных образцов ПО среди наиболее активных хакерских группировок, нацеленных на Россию, рассказал «Ведомостям» руководитель направления Центра исследования угроз в «Лаборатории Касперского» Владимир Кусков.
Все выявленные образцы троянов связаны с деятельностью 11 отслеживаемых хакерских группировок, уточнили в Positive Technologies. Наиболее активными в период с января по апрель 2026 г. признаны группы PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore. На их долю пришлось около 70% всех новых вирусных образцов за указанный период. Аналитика показывает резкий рост количества новых вредоносных программ начиная с марта 2026 г. Динамика по месяцам выглядит следующим образом: январь — 115 образцов; февраль — 247 образцов; март — 413 образцов; апрель — 399 образцов. Тогда как в аналогичные месяцы 2025 г. их было 21, 13, 8 и 24 соответственно.
Топовые фигуранты
Группировка PhaseShifters проводила целевую фишинговую кампанию против организаций авиационной промышленности и оборонно-промышленного комплекса России. В результате кибератак на устройства жертв устанавливался троян удаленного доступа Remcos, который позволял хакерам полностью контролировать зараженный персональный компьютер (ПК), вести наблюдение за экраном, перехватывать нажатия клавиш и получать доступ к конфиденциальным данным.
Другая группа, Rare Werewolf, использовала иной подход: она скрытно разворачивала в ИТ-системах жертв легитимный ИТ-инструмент удаленного доступа AnyDesk. Отличительной особенностью кибератак было применение вспомогательного скрипта, который автоматически подтверждал системные оповещения Windows, обходя предупреждения системы безопасности и запуская опасное ПО.
По данным Positive Technologies за первый квартал 2026 г., наиболее часто с помощью нового вредоносного ПО злоумышленники атаковали следующие отрасли: государственные учреждения — 17,86%; финансовый сектор — 9,82 %; организации гражданского общества — 9,82%; промышленные предприятия — 8,04%.
Главные причины
Такой рост количества уникальных образцов троянов специалист группы киберразведки Threat Intelligence (TI)-департамента экспертного центра безопасности Positive Technologies Денис Казаков связывает с геополитическим контекстом. Большинство отслеживаемых группировок ориентированы именно на Россию и страны Содружества Независимых Государств (СНГ). На фоне продолжающегося конфликта на Украине объективно увеличилось число активных кампаний против российской ИТ-инфраструктуры. Также, по словам Казакова, в 2025 г. появились ИТ-уязвимости, которые со временем начали использовать группировки. «Один раз попав в обращение, такой ИТ-инструмент тиражируется, и поток образцов ПО растет нелинейно», — поясняет он. Из особенностей появившихся с начала 2026 г. образцов вирусов Казаков назвал создание софта на новых языках — PhantomCore переписал свой бэкдор с языка программирования C# на Go, а также группировки в кибератаках стали использовать новые сommon vulnerabilities and exposures (CVE) т.е. список известных ИТ-уязвимостей.
Аналогичную динамику фиксируют также специалисты Kaspersky ICS-CERT и международной компании ESET.
Генеральный директор группы компаний ST IT, эксперт рынка TechNet Национальной технологической инициативы (НТИ) Антон Аверьянов отметил, что впечатляющий рост количества новых образцов вирусов требует корректной интерпретации. По его словам, существенное увеличение показателей в первую очередь связано с резким ростом числа вариаций и модификаций вредоносного кода, каждая из которых ИТ-системы мониторинга фиксируют как отдельный уникальный образец. Главной причиной роста числа новых образцов троянов является индустриализация разработки вредоносного ПО, считает Аверьянов. По его словам, один базовый вредоносный модуль может автоматически пересобираться в десятки и сотни вариаций с минимальными изменениями. Такие модификации позволяют обходить антивирусные решения и ИТ-системы обнаружения киберугроз. «Даже незначительные изменения на уровне кода дают новый образец с точки зрения систем аналитики, что приводит к кратному росту статистических показателей», — подчеркнул эксперт.
Бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова подтверждает, что современным хакерам больше не требуется быть экспертами во всех аспектах киберпреступлений. По ее словам, на теневых рынках доступны готовые конструкторы вредоносного ПО и ИТ-инфраструктура как услуга (IaaS). Стоимость таких ИТ-инструментов и услуг начинается от 20 тыс. руб. за кибератаку, что значительно снижает порог входа в киберпреступность и делает ее доступной даже для начинающих хакеров.
Поделиться
