Число вымогательских кибератак на российский бизнес снизилось впервые за четыре года

Количество кибератак хакеров-вымогателей на российские компании за первые пять месяцев 2026 г. сократилось на 20%, это первое снижение показателя с 2021 г. В то же время активность проукраинских хакерских группировок выросла более чем на 10%. Рекордный первоначальный запрос выкупа составил $3,8 млн. По данным экспертов, лишь 8% пострадавших российских компаний соглашаются на выплату, но при этом даже после перевода денег жертвы рискуют не получить рабочий ключ для расшифровки данных. Кибератаки хакеров-вымогателей на российские компании сократились впервые с 2021 г., пишет «Коммерсант». При этом рекордный первоначальный запрос выкупа достиг $3,8 млн. По данным специалистов компании F6, в январе-мае 2026 г. было зафиксировано более 220 кибератак программ-вымогателей на российские компании. Показатель снизился на 20% по сравнению с аналогичным периодом 2025 г., впервые с 2021 г. отмечается сокращение числа подобных ИТ-инцидентов. Главной тенденцией первого полугодия стало значительное снижение активности в России киберпреступных группировок ближневосточного происхождения. Это связано с обострением ситуации в регионе и переориентацией данных хакерских групп на другие цели. В то же время количество кибератак со стороны проукраинских хакерских группировок выросло более чем на 10%. В 82% случаев основной целью киберпреступников было получение выкупа, и лишь в 18% кибератак злоумышленники стремились разрушить ИТ-инфраструктуру и нанести максимальный ущерб российским организациям, писал CNews. Самая высокая сумма первоначального выкупа в 2026 г. была запрошена у компании финансового сектора и составила $3,8 млн, примерно 304 млн руб. Средняя же сумма выкупа, которую хакеры требовали у российских компаний за расшифровку данных в 2026 г., составила $175 тыс. Этот показатель на 24% ниже рекорда 2025 г., когда группировка CyberSec’s потребовала около 500 млн руб. у крупной российской рыбопромысловой компании. Группировки хакеров, атакующие западные компании, оценивают размер бизнеса жертвы по похищенным финансовым документам и, как правило, запрашивают выкуп в размере от 1% до 5% от годового оборота, отметил руководитель лаборатории цифровой криминалистики компании F6 Антон Величко. «Проукраинские группы также анализируют платежеспособность жертв. Однако поскольку их цели включают не только финансовую выгоду, но и проведение диверсий на территории России, это нередко приводит к завышенным т.е. космическим требованиям. При этом в случае стремления получить деньги они демонстрируют прагматичный подход и при необходимости существенно снижают первоначальную сумму», — добавил эксперт. По данным F6, в ряде случаев компаниям-жертвам удавалось снизить размер выкупа на 30-50%. Снижение количества кибератак программ-вымогателей на 20% не является устойчивым трендом, а носит циклический характер, считает руководитель группы анализа вредоносного программного обеспечения (ПО) Sloar 4RAYS группы компаний (ГК) «Солар» Станислав Пыжов. По его словам, часть хакерских групп уходит на перегруппировку, а некоторые кибератаки смещаются в сферу кибершпионажа, предупреждал CNews. Руководитель Bi.Zone Threat Intelligence Олег Скулкин не прогнозирует дальнейшего снижения активности вымогателей. Напротив, по его данным, доля таких кибератак выросла с 47% в 2025 г. до 49% в I квартале 2026 г. «В большинстве случаев после уплаты выкупа жертвам удается восстановить данные. Однако нередки ситуации, когда из-за ошибок в действиях злоумышленников или в самом вредоносном ПО происходит повреждение файлов в процессе шифрования, что приводит к их безвозвратной потере. Кроме того, существует небольшой процент киберпреступных групп, которые после получения выкупа обманывают своих жертв и не предоставляют рабочий дешифратор», — отметил Антон Величко. Даже если запрашиваемая сумма выкупа выглядит ниже стоимости самостоятельного восстановления данных, это не гарантирует их возврат, подчеркнул руководитель глобальной команды по реагированию на ИТ-инциденты «Лаборатории Касперского» Константин Сапронов. Вымогатели могут не предоставить рабочий ключ дешифрования либо использовать полученные средства для продолжения противоправной деятельности.