В 2026 году в информационных системах российских компаний обнаружены хакерские группы, которые долгое время собирали данные, не нарушая существенно работу систем. Согласно данным BI.ZONE Compromise Assessment, такие случаи чаще всего связаны с кибершпионажем. В отличие от групп, занимающихся вымогательством и действующих быстро, хакеры-шпионы могут оставаться в корпоративных сетях на длительное время. Примерно 20% кибератак совершаются xактивистами.
Исследование центра Solar на ноябрь 2025 года показало, что профессиональные хакеры проникли в 35% российских компаний. Анализ Threat Zone 2026 указывает, что 37% инцидентов, связанных с атаками на российские организации, направлены на шпионаж.
Длительное нахождение злоумышленников в сети увеличивает риски для компании. Начальные действия хакеров включают сбор разведывательной информации и учетных данных. Затем они закрепляются на ключевых узлах сети, таких как доменные контроллеры, серверы виртуализации и резервного копирования. Контроль над этими элементами позволяет злоумышленникам в любой момент зашифровать данные, остановить работу систем или опубликовать конфиденциальную информацию.
Эксперты оценивают ущерб, который наносится малому и среднему бизнесу из-за кибератак, в 1,5 трлн рублей, а число инцидентов увеличилось на 35%. Особую тревогу вызывает использование искусственного интеллекта в киберпреступности. Количество утечек данных через публичные сервисы возросло в 30 раз, при этом у 60% компаний отсутствуют регламентированные процедуры их использования.
Продолжающееся присутствие хакеров в сети способствует увеличению объема утечек данных. Только в феврале 2026 года в открытый доступ было опубликовано около 49,1 миллиона записей пользователей, что составило 34 инцидента за месяц.
Наибольшее количество утечек зафиксировано в секторе онлайн-платформ и интернет-магазинов — 31,3 миллиона записей. На втором месте оказалась образовательная сфера с 13,6 миллиона записей. Финансовый сектор потерял 2,38 миллиона записей, государственный сектор — 1 миллион, телекоммуникации — 656 тысяч, а коммерческие организации — 126,8 тысяч.
Опубликованные данные включали персональные данные, контактную информацию, адреса доставки, финансовые сведения и учетные записи.
С февраля по март 2026 года группа Hive0117 атаковала бухгалтеров, распространяя вредоносное ПО через фишинговые письма и получая доступ к системам дистанционного банковского обслуживания. Злоумышленники выводили денежные средства под видом заработной платы, как сообщил разработчик F6.
Вредоносные рассылки затронули более 3 тысяч российских организаций. Средний ущерб от успешной атаки составил около 3 миллионов рублей, максимальный ущерб превысил 14 миллионов рублей.
В феврале специалисты BI.ZONE обнаружили кибершпионскую кампанию, в рамках которой вредоносное ПО распространялось под видом сервисов для регистрации устройств Starlink и приложений для обучения управлению беспилотниками. Атаке подверглись русскоязычные пользователи.
«Лаборатория Касперского» рекомендует учитывать возможность наличия существующих угроз и строить систему защиты с учетом этого сценария. Наиболее эффективным методом является активное обнаружение угроз.