Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила ежегодный аналитический отчет «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26». Исследование показывает, что в 2026 году в условиях геополитического конфликта кибератаки на российские организации будут усиливаться, будет расти число атакующих группировок и наносимый ими ущерб. Вымогатели и прогосударственные APT-группы успешно заимствуют тактики друг у друга, а политически мотивированные группы всё чаще шифруют данные жертв с требованием выкупа.

Утечек меньше, строк с данными — больше

В 2025 году аналитики Threat Intelligence компании F6 зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 250 новых случаев публичных утечек баз данных компаний СНГ, из них — 230 российских организаций. В 2024 году было выявлено 455 случаев утечек в РФ и других стран СНГ.

Суммарно утечки баз данных за 2025 год содержали более 767 млн строк с данными российских пользователей, а в 2024 году количество строк в утечках составило 457 млн.

В списке топ-5 самых объемных по количеству строк утечек 2025 года находятся четыре госсервиса: на них в сумме приходится около 600 млн строк. Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения максимального ущерба компаниям и их клиентам.

Наибольший интерес у киберпреступников вызывают случаи публикации в открытом доступе электронных почтовых адресов, телефонных номеров и паролей пользователей. Злоумышленники по-прежнему крайне заинтересованы в публикациях, содержащих чувствительную информацию, которую они впоследствии могут использовать в мошеннических схемах и для совершения каскадных атак на крупные компании.

Из общего количества данных больше 315 млн записей содержали электронные адреса, причем только 88 млн из них были уникальными. Также зафиксировано, что 156 млн записей содержали пароли пользователей, из них уникальные — 142 млн.

Прогосударственные угрозы сохраняются

В 2025 году эксперты F6 фиксировали активность 27 прогосударственных APT-групп, атакующих Россию и СНГ. Для сравнения: в 2024 году были зафиксированы атаки на Россию и СНГ 24 группировок. Из выявленных 27 групп 24 атаковали компании в России, 8 — белорусские организации.

В условиях острого геополитического конфликта за большинством атак стоят проукраинские группы, при этом кибершпионажем в России по-прежнему занимаются группировки из других стран, преимущественно Азии.

Семь новых APT-групп были раскрыты впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081. Большая часть из них начала проводить атаки в предыдущие годы, но выявлены они были лишь в 2025 году.

Среди топ-5 российских индустрий, которые атаковали APT-группы в 2025 году, оказались госучреждения — их атаковали 13 групп, промышленность (11 групп), НИИ (9 групп), предприятия ВПК (8 групп), ТЭК (7 групп).

Прогосударственные атакующие использовали в атаках против российских организаций 0-day-эксплойты, инструменты и доступы в инфраструктуру, вероятно, приобретенные на андеграундных форумах, что довольно уникально для APT-групп и больше свойственно вымогателям и другим финансово мотивированным группам.

Атаки через цепочку поставок (Supply chain) и подрядчиков (Trusted relationship) сохраняют свою опасную эффективность и стали более точечными и разрушительными. Известен инцидент, когда сразу две прогосударственные группы находились в сети ИТ-подрядчика компании-цели, а одна из них еще и атаковала клиентов жертвы. В 2026 году такие техники будут активно применяться как вымогателями, так и APT-группами.

Вымогатели и политически мотивированные группировки: больше ущерба, коллаборации и чужие приемы

В этом году продолжатся коллаборации прогосударственных групп, киберкриминала и хактивистов.

В 2025 году количество атак программ-вымогателей выросло на 15% по сравнению с предыдущим годом (в 2024 году рост количества атак составил 44%). В 15% подобных инцидентов целью злоумышленников был не выкуп, а диверсия — разрушение инфраструктуры и нанесение максимального ущерба жертве (в 2024 году на подобные атаки приходилось 10%).

Кроме того, помимо групп-вымогателей, в 2025 году была зафиксирована активность более 20 финансово-мотивированных группировок, в том числе Vasy Grek, Hive0117, CapFIX.

Наиболее активными проукраинскими группами в этом году стали Bearlyfy/ЛАБУБУ — на их счету не менее 55 атак, THOR (не менее 12 атак), 3119/TR4CK, Blackjack/Mordor и Shadow (у каждой не менее 4 атак). Активность отдельных групп значительно снизилась, по причине консолидации проукраинских группировок.

Рекорд по сумме первоначального выкупа в 2025 году поставила группировка CyberSec’s, потребовавшая 50 BTC (около 500 млн рублей на момент атаки). В среднем суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 млн до 40 млн рублей.

Фокус политически мотивированных групп также смещается на нанесение большего ущерба с помощью программ-вымогателей. В 2025 году более десяти хактивистских группировок отметились хотя бы одной атакой с использованием программы-вымогателя. В 2026 году эта тенденция продолжится.

Также усилится тренд на коллаборацию и совместное проведение атак у политически мотивированных группировок. Помимо реальных кибератак, злоумышленники будут проводить информационные атаки, заключающиеся в публикации фейковых новостей, рассылках писем с угрозами. Пик подобной активности будет приходиться на дни, когда публикуются громкие новости о взломах.

«Мы фиксируем, что в России фокус сместился с массовых атак на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов, кражу чувствительных данных. В отличие от общемирового тренда, когда атакующие стараются без лишнего шума закрепиться в инфраструктуре, чтобы незаметно шпионить за жертвой или готовиться к будущей масштабной диверсии, прошлогодние атаки на российские транспортные компании и торговые сети были очень громкими. Они сопровождались публикацией утечек данных, информационными вбросами и кампаниями по дискредитации пострадавших. В 2026 году будет расти количество групп атакующих, ущерб от их деятельности, в том числе суммы выкупов за расшифровку данных», — говорит Валерий Баулин, CEO компании F6.

Подробный аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.

Уникальные данные об активности атакующих, их тактиках и инструментах были получены благодаря данным киберразведки F6 Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F6 Managed XDR, работе аналитиков Центра безопасности F6, реагирований на инциденты информационной безопасности специалистов Лаборатории цифровой криминалистики F6, функционалу платформы F6 для защиты цифровых активов Digital Risk Protection.

Источник: компания F6