Центр мониторинга информационной безопасности УЦСБ SOC представил на конференции ЦИПР отчет «Ландшафт киберугроз 2025/2026: тренды, атаки, уязвимости» и прогноз развития киберрисков для российских компаний. Среди ключевых выводов — не менее 30% всех известных кибератак в 2025 году совершены через взлом подрядчиков, а число инцидентов с первичным доступом через уже описанные уязвимости выросло на 30%. Также специалисты УЦСБ SOC отмечают смещение фокуса злоумышленников на отечественное ПО и усложнение кибератак, включая комбинированные схемы вымогательства.

Кроме прогнозов эксперты поделились рекомендациями на что стоит делать упор при выстраивании информационной безопасности, чтобы успешно противостоять кибератакам в 2026 году.

2025 год: анализ ключевых киберугроз

Уязвимости

В своем исследовании, аналитики Threat Intelligence УЦСБ SOC выделили 65 уязвимостей, наиболее критичных для российского рынка. Большинство из них (44%) приходится на операционные системы и рабочие станции, 27% — на сетевую инфраструктуру и сервисы, 23% — на прикладное ПО и библиотеки, оставшиеся 6% — на корпоративные платформы. При этом уязвимости в продуктах Microsoft составляют порядка 43% среди всех активно используемых в атаках. Наиболее критичными являются уязвимости повышения привилегий в компонентах ядра Windows и Hyper-V. В то время как в российских ИТ-решениях эксплуатируются, в основном, уязвимости в серверах видеоконференцсвязи, почтовых системах и средствах защиты конечных точек.

APT-группировки

В отчете УЦСБ SOC говорится, что активность APT-группировок (Advanced Persistent Threat — продвинутая постоянная угроза, длительные целевые кибератаки высокого уровня сложности) против российских организаций в 2025 году выросла на 25–30% по сравнению с 2024 годом. Это связано не столько с появлением новых игроков, сколько с усилением и повышением интенсивности старых, которые переключились на крупные и стратегически значимые сектора.

Атаки через подрядчиков

По данным Threat Intelligence УЦСБ SOC, не менее 30% всех подтвержденных кибератак совершено хакерскими группами через компрометацию ИТ-подрядчиков — атаки на цепочки поставок стали ключевым трендом 2025 года, который уже получил продолжение в начале 2026-го. Среди мер противодействия специалисты указывают строгий контроль удаленного доступа для подрядчиков (VPN с MFA), сегментирование сети, применение принципа наименьших привилегий.

DDoS-атаки

Среди наиболее активных DDoS-группировок 2025 года в УЦСБ SOC отметили IT Army of Ukraine, CyberSec (BadB), Himars DDOS и «Киберкорпус». Их основной целью были российские телеком-провайдеры. В 2026 году ожидается рост мощности атак и переключение на объекты критической инфраструктуры с целью долгосрочной деградации, а не временного сбоя. При этом мультипликатором для таких атак становится ИИ: алгоритмы генерируют адаптивный трафик, обходят защиту и имитируют поведение человека.

Утечки данных

На основе анализа нескольких источников, включая открытые данные и ИБ-исследования, в отчете УЦСБ SOC отмечается, что средний объем одной утечки в России достиг 3,27 млн записей — на 26% больше, чем в 2024 году. Во всем объеме утекшей информации персональные данные составили 74%. Основным каналом публикации утечек в России остается Telegram — на него пришлось порядка 72% таких сообщений, доля даркнета и закрытых форумов — 26%.

Наиболее пострадавшими отраслями стали: госсектор (22% инцидентов), промышленность (21%), финансы (14%), ИТ (12%), транспорт и логистика (10%), ретейл (9%). В этих отраслях картина еще более тревожная: за последние два года совокупный объем скомпрометированных данных за год превысил 1,6 млрд записей, а доля инцидентов с утечкой более 10 млн записей выросла в три раза. Вместе с тем, около трети публично анонсированных хакерами утечек из госорганов оказались компиляциями старых баз, которые злоумышленники используют для манипуляции и разведки. Данные из утечек используются в том числе для фишинга — число фейковых ресурсов выросло в 1,5 раза, ссылки на часть из них встречаются в письмах по «слитым» базам.

Ключевые киберриски: прогноз на 2026 год

Аналитики Threat Intelligence УЦСБ SOC прогнозируют, что в 2026 году продолжит нарастать количество кибератак сразу с несколькими целями: шифрование данных будет дополняться их кражей и угрозами публикации. Возрастает риск атак на промышленные системы управления, IoT-оборудование и смарт-датчики, так как их взлом спровоцирует реальные простои производств.

Ключевой тенденцией DDoS станет не рост количества атак, а переход к прикладному характеру атак как инструменту давления, в том числе, в форме Ransom-DDoS, когда атаку сочетают с требованием выкупа. Атаки через цепочки поставок усилятся, фишинг за счет массового применения LLM-инструментов станет одновременно более дешевым и более прицельным. При этом привычные векторы сохранят лидирующие позиции: социальная инженерия, компрометация учетных данных из публичных утечек, эксплуатация старых, но не устраненных уязвимостей на периметре, использование легальных средств администрирования (PowerShell, AnyDesk). В совокупности эти методы формируют до 80% всех расследуемых киберинцидентов в корпоративном сегменте.

«Компрометация подрядчиков, удешевление и ускорение атак для злоумышленника за счет применения ИИ — вот главные факторы, которые будут определять ландшафт угроз в 2026 году. Время развития атаки значительно сокращается. Поэтому Компаниям необходимо обеспечивать качественный мониторинг с применение не только SIEM, но и EDR/XDR решений для всех критических систем, а также автоматизировать реагирование. Не стоит забывать и про харденинг, чтобы уменьшить варианты развития атаки. Только комплексный подход позволит снизить риски, связанные с растущей активностью злоумышленников», — отметил директор УЦСБ Константин Мушовец.

Источник: