Тренды кибератак на промышленность в 2026 году: DDoS и APT-тренды

DDoS-атаки

В этом разделе описаны атаки, зафиксированные и отраженные сервисом мониторинга трафика и защиты от DDoS-атак (Anti-DDoS). DDoS-атака— это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают нелегитимный трафик, чтобы сделать ресурсы недоступными для интернет-пользователей.

Количество атак

С января по март 2026 года эксперты сервиса Anti-DDoS ГК «Солар» зафиксировали 2,1 тыс. DDoS-атак на отрасль промышленности. При этом в среднем на одну компанию из этого сектора с начала года приходилось 109 DDoS-атак – это в 2,5 раза меньше, чем в аналогичном периоде прошлого года.

Однако стоить отметить, что в первом полугодии 2025 атаки значительно выросли на фоне различных геополитических событий. Это могло быть связано с временным повышением интереса хакеров после объявления нового пакета санкций со стороны ЕС, который также коснулся компаний данного сектора. Во втором полугодии количество атак снизилось и показывало стабильную динамику до конца 2025 г. Это может быть обусловлено тем, что хакеры сменили тактику и переключились с малоэффективных DDoS-атак на другие методы причинения вреда инфраструктуре «потенциальной жертвы».

Среднее число DDoS-атак на одну компанию

2025 год
2026 год

Категория	Значение 1	Значение 2
Январь	85	30
Февраль	45	59
Март	143	20
Апрель	47
Май	66
Июнь	46
Июль	31
Август	28
Сентябрь	22
Октябрь	31
Ноябрь	23
Декабрь	26

При этом небольшой рост среднего числа атак наблюдался в феврале 2026 года – это может быть связано с активизацией попыток злоумышленников вывести из строя инфраструктуру одного из крупных государственно значимых промышленных предприятий, которое в этот период готовило важный запуск.

Среднее число DDoS-атак на одну компанию в регионах за 1-й квартал

2025 год
2026 год

Категория	Значение 1	Значение 2
Москва	670	73
Сибирь	309	105
Урал	222	139
Дальний Восток	207	208
Центр	131	132
Поволжье	87	39
Юг	84	86
Северо-Запад	9	14

Наиболее интенсивные DDoS-атаки в разрезе одной организации из отрасли промышленности приходятся на Дальневосточный (208 атак на одну компанию), Уральский (139) и Центральный (132) федеральные округа. Далее находится Сибирь (105), Южный федеральный округ (86) и Москва (73). Отметим, что активность хакеров на столичные промышленные организации значительно снизилась – злоумышленники переместились в регионы, что говорит о необходимости обеспечения комплексной защиты от DDoS-атак.

Средняя мощность атаки в Гбит/сек 2026 году совпадает со значениями показателей 2025 года и составляет 0,48 Гбит/сек за квартал, каких-либо трендов к увеличению не наблюдается. Динамика в Mpps показывает незначительный рост значений на 10% в сравнении с тем же периодом 2025 года.

Максимальная мощность атак также была значительно ниже показателей 2025 года и составила 0,649 Mpps в феврале. Это дополнительно говорит о том, что хакеры не тратят большое количество мощностей на проведение DDoS и концентрируются на других видах вредоносной активности.

Веб-атаки

В данном разделе представлены результаты аналитики по веб-атакам (уровень L7) на онлайн-ресурсы группы компаний промышленного сектора в 2025 году и в начале 2026 года, зафиксированных и отраженных сервисом WAF платформы Solar MSS ГК «Солар». Среди компаний-клиентов сервиса – организации из добывающей промышленности и машиностроения.

Общее количество веб-атак на промышленные компании

2024 год
2025 год
2026 год

Категория	Значение 1	Значение 2	Значение 3
Январь	63857	13071	33642
Февраль	54911	17924	17595
Март	59820	22584	22204
Апрель	65638	36070
Май	1461141	40997
Июнь	16059	79197
Июль	22430	99905
Август	31100	12490
Сентябрь	33418	47712
Октябрь	16082	25126
Ноябрь	7579	20309
Декабрь	8545	26635

Всего за 1-й квартал на организации произошло 73,4 тысяч веб-атак – это на 32% больше в сравнении с аналогичным периодом прошлого года.

Среднее число веб-атак на промышленные компании

2024 год
2025 год
2026 год

Категория	Значение 1	Значение 2	Значение 3
Январь	21286	6536	11214
Февраль	18304	8962	5865
Март	19940	11292	7401
Апрель	21879	18035
Май	487047	20499
Июнь	8030	26399
Июль	11215	33302
Август	15550	4163
Сентябрь	16709	15904
Октябрь	8041	8375
Ноябрь	3790	6770
Декабрь	4273	8878

Что касается среднего числа атак, то на одну организацию приходилось 24,5 тыс. веб-атак, что в целом соответствует показателям последних двух лет.

При этом 90% веб-атак составили сканеры. В данном случае основная цель злоумышленников – найти уязвимость, с помощью которой можно будет совершить атаку на веб-приложение с целью выведения его из строя или кражи конфиденциальных данных промышленных компаний и ее клиентов.

Промышленные предприятия часто оказываются целью злоумышленников, стремящихся завладеть конфиденциальной информацией, включая проектные документы, данные о технологических процессах или интеллектуальную собственность.

В связи с этим мы советуем всем организациям, особенно в промышленной сфере, внедрять надежную защиту веб-приложений от атак, чтобы минимизировать финансовые и репутационные потери, такие как утечка данных, остановка производства и наложение штрафов.

Статистика заражений ВПО

В этом разделе представлена аналитика экспертов центра исследования киберугроз Solar 4RAYS, собранная с сети сенсоров в 1 квартале 2026 года в сравнении с 1 и 4 кварталами 2025 года.

Сенсоры считывают обращения ВПО к управляющим серверам из инфраструктур организаций, что помогает выделить индикаторы компрометации, относящиеся к разным типам угроз (вредоносное ПО конкретного типа). Эти данные позволяют экспертам Solar 4RAYS выявлять: ВПО для майнинга, программы-вымогатели (шифровальщики), стилеры, сложные киберугрозы (APT), загрузчики (ВПО для загрузки другого ВПО), ботнеты, фишинг и средства удаленного доступа (Remote Access Tools, RAT).

По итогам первого квартала 2026 года в российских предприятиях промышленности было зафиксировано 14% срабатываний от общего объема заражений ВПО в остальных индустриях. Это на 15 процентных пунктов меньше, чем было годом раньше, в 1 квартале 2025 года. При этом после небольшого роста заражений в отрасли промышленности во втором квартале доля срабатываний снижалась в течение всего года.

Доля заражений ВПО в промышленности на фоне других индустрий

Категория	Значение
1 кв. 2025	30%
2 кв. 2025	33%
3 кв. 2025	27%
4 кв. 2025	21%
1 кв. 2026	14%

В свою очередь «интенсивность» срабатываний (среднее число событий, указывающих на возможное заражение) практически весь год оставалась на стабильно высоком уровне. Так, в 1-м квартале 2026 года показатель вырос:

Среднее число заражений на одну промышленную организацию

Категория	Значение
1 кв. 2025	201
2 кв. 2025	236
3 кв. 2025	115
4 кв. 2025	171
1 кв. 2026	221

Основная «тройка» наиболее часто встречающихся угроз в отрасли за год не изменилась: это стилеры, средства удаленного доступа и индикаторы присутствия профессиональных группировок атакующих (APT-группировки).

Однако сменились акценты. Если в начале 2025 года основной угрозой для промышленности являлись стилеры, то по итогам первой четверти 2026 года первое место заняли APT-группировки – их доля на фоне других киберугроз выросла ровно в 2 раза, до 38%. Доля стилеров, в свою очередь, снизилась на 5 п.п., до 35%, а средства удаленного доступа (RAT) – на 8 п.п.

Распределение заражений по типу угроз в 1 кв. 2026 г.

Категория	Значение	Цвет
Индикаторы APT-группировок	38	#fe6e36
Стилеры	35	#5f1224
Средства удаленного доступа	13	#ffb84d
Ботнеты	5	#fddc5c
Вымогатели	0	#9fc131
Загрузчики	2	#1f8a70
Майнинг	2	#0fa4cd
Фишинг	5	#69306d

Распределение заражений по типу угроз в 1 кв. 2025 г.

Категория	Значение	Цвет
Индикаторы APT-группировок	19	#fe6e36
Стилеры	40	#5f1224
Средства удаленного доступа	21	#ffb84d
Ботнеты	9	#fddc5c
Вымогатели	4	#9fc131
Загрузчики	3	#1f8a70
Майнинг	3	#0fa4cd
Фишинг	1	#69306d

Комментарий экспертов Solar 4RAYS:

Предприятия промышленности традиционно являются одной из излюбленных целей злоумышленников всех мастей: от финансово-ориентированных группировок, до профессиональных, спонсируемых иностранными государствами групп атакующих (APT). Причин привлекательности несколько: такие предприятия часто обладают ценной интеллектуальной собственностью, которая может пользоваться спросом на чёрном рынке.

Кроме того, промышленные предприятия часто зависят от непрерывности технологического процесса, и нарушение непрерывности этого процесса часто является целью хактивистских APT-группировок. Мы можем наблюдать, что доля APT-атак выросла почти в 2 раза по сравнению с прошлым годом, также значительно увеличилась доля фишинговых атак, которые часто используются APT-группами для первоначального доступа. Тренд на снижение доли срабатываний в общем объеме, который мы наблюдали в промышленных предприятиях в течение года – это, скорее, следствие увеличения доли других индустрий. Как видно из показателя среднего числа срабатываний на организацию, в течение года он снижался лишь в третьем квартале, а к первому кварталу этого года вырос до заметно более высокого показателя, чем годом ранее. Это означает, что уровень угрозы для промышленных предприятий в среднем не снижается.

Данные мониторинга кибератак

В этом разделе представлены данные мониторинга инфраструктур клиентов центра противодействия кибератакам Solar JSOC из промышленной отрасли – в период с января 2025 по март 2026 г. включительно. В статистику попали ИБ-события, зафиксированные Solar JSOC.

Динамика инцидентов в 2025 - 1 квартале 2026 г.

Категория	Значение
2025-01	14 400
2025-02	12 645
2025-03	15 699
2025-04	21 627
2025-05	16 095
2025-06	16 509
2025-07	19 608
2025-08	16 356
2025-09	24 387
2025-10	18 432
2025-11	18 357
2025-12	19 926
2026-01	16 053
2026-02	14 649
2026-03	18 105

Как видно из графика, с января 2025 по март 2026 года плотность атак сохраняется на достаточно высоком уровне. При этом наблюдается сезонные колебания количества инцидентов с пиком в сентябре, что может указывать на активизацию злоумышленников перед завершением года. В конце 2025 — январе 2026 года количество атак падает, а затем немного возрастает в марте 2026. В целом же динамика 1 квартала 2026 коррелирует с аналогичным периодом 2025 года.

Распределение типов инцидентов в 2025 г.

Распределение типов инцидентов в 1 квартале 2026 г.

В техниках и тактиках злоумышленников также наблюдается определенная «стабильность». Сохраняющаяся высокая доля атак с использованием ВПО подчеркивает необходимость усиления антивирусной защиты и мониторинга. Рост доли атак, связанных с изменениями инфраструктуры (с 8% до 10%), говорит о том, что хакеры все чаще используют манипуляции с системными компонентами, вероятно, для обхода защиты или закрепления доступа.

Наряду с этим, некоторые изменения в распределении типов инцидентов в совокупности свидетельствует о постепенном переходе группировок к более продвинутым методам атак и обеспечению более скрытного присутствия в инфраструктурах промышленных предприятий. Например, снижение активности разведки с 3% в 2025 году до 2% в 2026 может означать, что злоумышленники ориентируются на уже подготовленные наработки или автоматизированные атаки. Рост применения хакерских утилит (с 2,9% до 4,9%, соответственно) также говорит о том, что атаки становятся более автоматизированными, в них используются готовые инструменты, что позволяет хакерам проще масштабировать свои операции.

Увеличение доли атак на веб-приложения (с 0,9% до 2,6%) подтверждает, что злоумышленники стали активнее использовать уязвимости веб-приложений для получения доступов. Рост кражи учетных данных (с 5,9% до 8%) и подозрительных действий с учетными записями (с 6% до 7,4%) подразумевает, что хакеры используют более тонкие и скрытные методы обращения с учетными записями, возможно, для закрепления доступа, обхода обнаружения и проведения последующих атак.

Комментарий экспертов Solar JSOC:

Сегодня главная цель кибератак на промышленность — срыв гособоронзаказа. Для ее достижения злоумышленники фокусируются на двух основных направлениях: выявлении цепочки поставок (сборе информации о структуре и участниках производственных процессов), а также на атаках непосредственно на цепочку поставок, в первую очередь на слабые ее звенья — поставщиков и субподрядчиков. Крупные предприятия, где организована финальная сборка, защищены на высоком уровне, но их поставщики или дочерние структуры часто остаются уязвимыми. Даже если атака на крупное предприятие не удалась, злоумышленники могут достичь своей цели через срыв поставок: отсутствие ключевых деталей или сырья парализует весь производственный процесс.

SOC крупных предприятий сосредоточены на мониторинге своих контуров инфраструктуры, что ограничивает видимость атак на более мелких участников цепочки. Это создает пробелы в аналитике и защите, которые хакеры активно используют. Атаки на подрядчиков и дочерние структуры теперь происходят заметно чаще, чем раньше – мы это видим в том числе по участившимся запросам к нам на защиту со стороны среднего бизнеса.

Кибератаки на промышленность стали более сложными и целевыми, что требует комплексного подхода к обеспечению кибербезопасности для всей цепочки поставок. Сегодня критически важно распространить эффективные и при этом доступные по цене инструменты защиты на всех участников производственного процесса, включая небольших подрядчиков. В настоящее время «Солар» прорабатывает решения для данной задачи - уже ведутся переговоры о пилотных проектах центра противодействия кибератакам Solar JSOC с предприятиями добывающей и обрабатывающей промышленности, а также с их дочерними структурами и поставщиками.

Основные выводы

Хакеры последовательно переходят от простых в исполнении атак типа DDoS к более сложным, целенаправленным, использующим автоматизированные инструменты и уязвимости веб-приложений.
Доля событий, сигнализирующих о потенциальном заражении вредоносным ПО в промышленных предприятиях в 1 квартале 2026 года упала на 15 процентных пунктов в сравнении с тем же периодом 2025 года. При этом среднее число заражений на одну компанию выросло до 220 событий, что в целом говорит о сохранившейся угрозе вредоносных атак на отрасль промышленности.
Атаки профессиональных кибершпионских группировок, стилеры и средства удалённого доступа (RAT) составляют тройку наиболее часто встречающихся угроз в сетях предприятий промышленности. Злоумышленники стремятся похитить и использовать учетные данные, чтобы обеспечить себе долгосрочный доступ.
Доля признаков присутствия профессиональных APT-группировок за год выросла в 2 раза – до 38% в 1-м квартале 2026 года, что означает высокий уровень угрозы сложных атак для промышленных предприятий.
Активизируются тактики, позволяющие маскировку и скрытность, что говорит о попытках увеличить время пребывания внутри систем без обнаружения.
Злоумышленники предпочитают атаковать наиболее уязвимых участников производственной цепочки – поставщиков и субподрядчиков – для срывов поставок и парализации производства. Все это требует расширения и интеграции комплексных мер защиты всей цепочки поставок, включая малый и средний бизнес.