ИБ-угрозы 2026: телефонные мошенники, ИИ-агенты и ретро-вирусы
Старые добрые троянцы вернулись в строй, замаскированные под скучные «досудебные претензии» в системах ЭДО, и устроили бизнесу настоящий стресс-тест. На свежей пресс-конференции «Лаборатории Касперского» стало ясно: мы стоим на пороге странного будущего, где высокотехнологичные ИИ-агенты соседствуют с «воскресшими» вирусами из прошлого, а мошенники крадут деньги, используя ваш собственный телефон против вас. Добро пожаловать в 2026 год — время, когда защищенных пользователей стало больше, но цена одной ошибки выросла до небес.
Настоящее, если верить их статистике, выглядит впечатляюще: защитные системы компании ежедневно обнаруживают уже около 500 тысяч новых вредоносных файлов против 467 тысяч годом ранее. На этом фоне закономерно растет спрос на «тяжелую артиллерию» — по данным компании, в 2025‑м продажи сложных решений увеличились на 31%, XDR‑платформ — на 80%, а сервисов управляемого мониторинга и реагирования (MDR) — более чем в три раза. Организации учатся воспринимать кибербезопасность как инфраструктуру, а не набор разрозненных «антивирусов на всякий случай».
При этом ландшафт атак в России становится все более нервным. По данным «Лаборатории Касперского», в 2025 году на организации в стране на 11% чаще нападали шифровальщики, на 61% выросло число атак с применением бэкдоров, а использование вредоносов для кражи денег через онлайн‑доступ к корпоративным счетам подскочило сразу на 128%. Параллельно эксперты зафиксировали не менее 30 новых целевых кампаний кибершпионажа и активность более 20 хактивистских групп. В ответ компании идут по пути, который лет пять назад казался скорее модным термином, чем практикой: строят SOC. Но строят по‑взрослому — с аутсорсингом.
Внутреннее исследование «Лаборатории Касперского» показало: свыше 90% российских организаций, которые только планируют создавать центры мониторинга, не видят смысла делать это исключительно своими силами. 67% готовы делегировать внешним подрядчикам часть задач, еще 25% — практически весь контур SOC‑как‑услуга. Главные причины звучат приземленно: у 57% нет ресурсов на круглосуточную защиту, 47% хотят разгрузить собственных ИБ‑специалистов, 42% рассчитывают за счет подрядчиков получить доступ к передовым технологиям, не разворачивая их у себя.
Но как только разговор заходит о деньгах, тон в зале меняется. Сергей Голованов, главный эксперт «Лаборатории Касперского», вывел на экран латинскую фразу Pecunia male parta non prodest — «плохо добытые деньги не приносят пользы». И предложил аудитории простую задачку: с какой вероятностью вы, выходя в интернет, встретите вредоносную программу? По их данным, 2025‑й стал первым годом с 2022‑го, когда доля российских пользователей, реально столкнувшихся с киберугрозами, опустилась ниже 50% — до 47,4% против 58% годом ранее. Вредоносов в абсолютных цифрах стало больше, но хорошо защищенных пользователей — тоже. Однако расслабляться рано: киберпреступники, по словам Голованова, переключили прицел с рядовых «физиков» на бизнес, прежде всего на малый и средний. И здесь «главной болью 2025 года» стали не модные шифровальщики, а, казалось бы, давно забытое — прямое хищение денег из бухгалтерии.
Летом 2025 года на российские компании обрушилась волна атак через системы электронного документооборота. Старый, больше десяти лет известный троянец Buhtrap, а также Pure и Venom внезапно вернулись в большом стиле. Злоумышленники рассылали по ЭДО фальшивые «досудебные претензии», проекты договоров и акты, маскируя вредоносные вложения под привычные бухгалтерские документы. Стоило сотруднику позволить системе скачать и открыть файл, на компьютер устанавливался троянец, который умел подменять реквизиты в счетах и использовать токен дистанционного банковского обслуживания для подтверждения платежей уже на счета преступников. В результате, по подсчетам «Лаборатории Касперского», с этими вредоносными программами за год столкнулись почти 12 тысяч корпоративных пользователей в России — в основном из производственных компаний, ритейла, консалтинга, транспорта, логистики и ИТ. До 2024 года столь массовых атак через ЭДО просто не фиксировалось, и эта «ностальгия по старым схемам» стала одним из неприятных сюрпризов года.
Крупный бизнес, по словам Голованова, живет немного в другой реальности: здесь по‑прежнему правят бал шифровальщики и вайперы. Характерный штрих 2025‑го — многие резонансные инциденты начинались не с массовых фишинговых рассылок, а с подрядчиков. Большая организация уже выстроила более‑менее зрелый периметр безопасности, а вот небольшая аутсорсинговая фирма — нет. И когда в нее попадает злоумышленник, дорога в инфраструктуру заказчика, с его куда более интересными бюджетами, уже приоткрыта. Показателен и принятый в 2025 году закон об оборотных штрафах за утечки персональных данных: пока регулятор только готовится массово применять новые полномочия, компании уже начали перестраивать процессы, и количество зафиксированных утечек, по словам Голованова, действительно снизилось. Но киберпреступники на пустом месте не сидят — они перешли от заработка на «сливах» персональных данных к куда более прямой монетизации: краже денег с расчетных счетов юрлиц.
В потребительском сегменте важнейшим сюжетом года стало телефонное мошенничество. По данным сервиса Kaspersky Who Calls, доля российских пользователей, которые в 2025‑м получали звонки с неизвестных номеров с подозрением на мошенничество, достигла 66%, а различные спам‑звонки получали около 95% людей. Любопытный штрих: в абсолютных цифрах звонков стало меньше примерно на миллион по сравнению с 2024‑м, но число людей, к которым дозвонились хотя бы один раз за год, остается огромным. В середине года рынок потрясла блокировка вызовов в мессенджерах: график обращений к антиспам‑решению резко просел, на время создалось ощущение победы. Но уже к осени злоумышленники компенсировали падение классической телефонией, сменив легенды. Под конец года, по словам Голованова, активно эксплуатировалась тема налогов: звонили «из регулятора», рассказывали о проблемах с декларацией и подводили к переводу денег на «безопасный» счет. Параллельно набирала обороты схема с «курьерской доставкой заказного письма», где цель — выманить код подтверждения от личного кабинета того или иного сервиса.
Дополнительное измерение в эту историю вносят мобильные вредоносы. В 2025 году особенно заметным стал банковский троянец Mamont: количество атакованных им пользователей мобильных устройств выросло почти в десять раз по сравнению с 2024‑м. Другой кейс — злоупотребление бесконтактными платежами через утилиту NFCGate. Если «прямой» NFCGate, когда мошенник незаметно считывает карту в случайной толпе, правоохранителям в прошлом году удалось сильно прижать, то на смену пришла схема «обратного NFC». Жертве звонят или пишут, убеждают установить APK‑файл под видом легитимного приложения «для бесконтактных платежей» или «защиты карты», затем отправляют к банкомату и под предлогом «перевода самому себе» просят приложить телефон к NFC‑модулю. На самом деле в этот момент смартфон жертвы превращается в дубликат карты злоумышленника: банкомат списывает деньги с его счета, а объективно деньги кладет сам пользователь. Фиксировались десятки тысяч попыток таких атак, причем пик пришелся на вторую половину года.
Персональные данные - главная цель
Когда кажется, что дальше уже некуда, слово берет Дмитрий Галов, руководитель российского подразделения Kaspersky GReAT, и переносит дискуссию из мира быстрых денег в мир долгой и терпеливой слежки. Его цифры звучат не менее жестко: в 2025‑м число атак со стилерами по России выросло на 62%, со шпионскими программами — на 49%, с бэкдорами — на 25%. Если смотреть только на частных пользователей ПК, то рост атак стилеров составил 54%, а шпионского ПО — 39%. Один из ярких примеров — стилер StealKa, который распространялся под видом «полезностей»: модов для игр вроде Roblox или взломанных активаторов для Microsoft Visio. На красивых лендингах предлагали «премиальные скрипты» и «версии с ключом», по факту же на компьютер попадало ПО, которое вычищало логины, пароли, файлы cookie, автозаполненные формы и сид‑фразы от криптокошельков.
Не обошлось и без мобильной драмы. Опытные исследователи уже почти с ностальгией называют троян Triada «динозавром»: он присутствует на андроид‑сцене около десяти лет, постоянно мутируя и усложняясь. В 2025 году число атакованных им пользователей в России выросло примерно в 4,5 раза. Triada умеет почти все, что нужно современному злоумышленнику: красть аккаунты в мессенджерах и соцсетях, переписку, подменять ссылки в браузере, отправлять сообщения якобы от лица жертвы, перенаправлять звонки на нужные номера и скачивать другие вредоносы. На этом фоне почти юным выглядит новичок LunaSpy, появившийся в 2025 году. С февраля по декабрь «Лаборатория Касперского» зафиксировала порядка 13 тысяч атак этого семейства. LunaSpy идет дальше классической кражи переписки: он умеет записывать происходящее вокруг на микрофон и камеру, делать запись экрана, следить за геолокацией, читать SMS и вытаскивать пароли. По сути, чтобы придумать, какие еще данные может собирать такой шпион, нужно постараться — набор возможностей уже почти исчерпывающий.
При этом, как подчеркнул Галов, злоумышленникам в массе своей абсолютно все равно, кто конкретно стал жертвой: важны не личности, а наборы данных, которые можно монетизировать. Исключение — сталкерское ПО. Отдельный класс программ, которые устанавливают на смартфоны не ради денег, а ради контроля: ревнивые партнеры, токсичные родственники, преследователи. Здесь мотивация уже не финансовая, а эмоциональная, и ущерб — не только цифровой, но и психологический. На уровне организаций картина не менее тревожная. В 2025 году, по данным компании, число атак на российские компании с использованием бэкдоров выросло на 61%, со стилерами — на 55%, со шпионскими программами — на 49%. Исследователи только за год описали более 30 целевых кампаний против российских организаций, где конечной целью была кража конфиденциальных документов и внутренней переписки.
Характерный пример — новая волна активности китайскоязычной группировки HoneyMyte. В свежих атаках на Россию и страны Азии она использовала обновленный бэкдор CoolClient. Тот, помимо классического сбора информации о системе, пользователях и их поведении, научился извлекать учетные данные HTTP‑прокси прямо из сетевого трафика и отслеживать используемые корпоративные приложения. Фокус явно смещен на корпоративных пользователей: интерес представляют уже не отдельные файлы, а способы проникновения глубже в инфраструктуру. Еще один сюжет — «киберпартизаны», группа, которая начинала в Беларуси в 2020 году как хактивистский коллектив «непрофессионалов» на волне протестов. За пять лет, по оценке Гало ва, их инструментарий и подготовка сравнялись с уровнем продвинутых APT‑групп. Сегодня они сотрудничают с проукраинскими структурами, проводят атаки на российские организации и уже не ограничиваются символическим дефейсом сайтов: их интересуют уничтожение данных, кибершпионаж и нанесение максимального деструктивного эффекта.
Самая болезненная, пожалуй, история Галова — атаки на российские медицинские учреждения, которые аналитики внутри компании неформально окрестили «доктор Зло». В конце 2025 года десятки клиник и больниц получили электронные письма якобы от известных страховых компаний или других медучреждений. В одном сценарии речь шла о претензии по договору ДМС: «клиент недоволен качеством лечения, все документы во вложении, давайте уладим ситуацию мирно». В другом — якобы просили срочно принять пациента на специализированное лечение. Во вложениях скрывался архив с паролем (пароль корректно указывался в теле письма), а внутри архива — бэкдор BrockenDoor, впервые замеченный в конце 2024 года. После установки он связывался с сервером злоумышленников, отправлял им имя пользователя и компьютера, версию ОС и список файлов на рабочем столе. Если содержимое казалось интересным, бэкдор получал команды на дальнейшее развитие атаки. В худшем случае это означало бы кражу не только служебной информации клиники, но и данных пациентов с последующим вымогательством — сценарий, уже реализованный за рубежом, вплоть до историй про публикацию архивов психиатрических больниц.
Как понять, что за тобой следят?
Замыкая шпионскую линию, Галов напомнил и о коммерческом шпионском ПО — рынке, который удобен тем, кто предпочитает не разрабатывать свои вредоносы, а покупать готовый «комплект». В 2024–2025 годах «Лаборатория Касперского» подробно описала операцию «Формула тролля»: высокопоставленные фигуранты и журналисты, связанные с форумом «Примаковские чтения», получали рассылку от якобы организаторов, после перехода по ссылке в браузерах на базе Chrome эксплуатировалась неизвестная ранее уязвимость, а дальше — классическая цепочка эксплуатации вплоть до полного контроля над устройством. Вскоре уязвимость была исправлена, но история на этом не закончилась: осенью исследователи связали цепочку компрометации с коммерческой компанией Dante и ее инструментарием LeetAgent. За Dante, в свою очередь, стоят разработчики Memento Labs — той самой структуры, которая раньше называлась Hacking Team. После публикации отчета CEO компании был вынужден публично признать, что один из ее заказчиков действительно использовал описанное ПО. Потенциальные жертвы таких операций — люди с высокой политической, экономической или репутационной ценностью: политики, топ‑менеджеры, активисты, дипломаты, исследователи и, что особенно актуально для нас с вами, журналисты.
На вопрос из зала «как самому понять, что за тобой следят», Галов ответил, пожалуй, самой честной фразой конференции: никак. Современное шпионское ПО, особенно коммерческое, настолько хорошо прячется, что все бытовые советы вроде «следить за перегревом телефона» или «бояться быстро садящейся батареи» попросту не работают. Единственный реалистичный способ — ставить защитное ПО, не открывать сомнительные вложения и не устанавливать программы «с рук». Для организаций рецепт традиционно комплексный: от обучения сотрудников цифровой гигиене до внедрения XDR‑платформ, сервисов Threat Intelligence и построения SOC. А для тех, кому хочется понять, как все это выглядит «на земле», команда GReAT готовит подкаст «Кибертрукрейм» — с реальными историями расследований за последние годы.
Продолжение читайте здесь.
