Число уникальных троянов для атак на российские компании выросло в 18 раз
За первые четыре месяца 2026 года количество уникальных образцов вредоносного ПО, используемых в кибератаках на российские компании, достигло 1174, что почти в 18 раз больше по сравнению с аналогичным периодом 2025 года (66 образцов), сообщает CNews со ссылкой на данные Positive Technologies.
С января по апрель 2026 года специалисты компании отслеживали деятельность 11 хакерских группировок. Наиболее активными признаны PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore, на которые пришлось около 70% всех новых вирусных образцов.
Динамика по месяцам 2026 года, по данным Positive Technologies, выглядит следующим образом: январь — 115 образцов, февраль — 247, март — 413, апрель — 399. Для сравнения, в те же месяцы 2025 года фиксировалось 21, 13, 8 и 24 образца соответственно.
Как сообщили в Positive Technologies, группировка PhaseShifters проводила целевую фишинговую кампанию против организаций авиационной и оборонно-промышленной отраслей России с установкой трояна удалённого доступа Remcos. Rare Werewolf использовала легитимный инструмент удалённого доступа AnyDesk, а также вспомогательный скрипт для автоматического подтверждения системных оповещений Windows.
За первый квартал 2026 года наиболее часто атакуемыми с помощью нового вредоносного ПО отраслями стали государственные учреждения (17,86%), финансовый сектор (9,82%), организации гражданского общества (9,82%) и промышленные предприятия (8,04%).
В качестве основных причин роста числа уникальных образцов в Positive Technologies называют геополитический контекст и увеличение числа активных кампаний против российской ИТ-инфраструктуры на фоне продолжающегося конфликта. Кроме того, отмечается, что ранее появившиеся ИТ-уязвимости со временем начали использовать хакерские группировки, а один раз попавший в обращение инструмент тиражируется.
Среди особенностей новых образцов — создание вредоносного софта на других языках программирования (например, переписывание бэкдора с C# на Go) и использование свежих CVE (список известных ИТ-уязвимостей).
Как отмечается в материале, аналогичную динамику фиксируют также специалисты Kaspersky ICS-CERT и компании ESET. Дополнительно эксперты указывают, что рост числа образцов связан с индустриализацией разработки вредоносного ПО: один базовый модуль может автоматически пересобираться в десятки и сотни вариаций для обхода антивирусных решений.
На теневых рынках доступны готовые конструкторы вредоносного ПО и ИТ-инфраструктура как услуга (IaaS). Стоимость таких инструментов, по имеющимся данным, начинается от 20 тыс. руб. за кибератаку.
