«Cолар»: сложные атаки для парализации производства — главная угроза промышленности РФ в 2026 году

По данным экспертов группы компаний «Солар», доля признаков присутствия профессиональных APT-группировок в российских промышленных предприятиях за год выросла в два раза — до 38%. При этом сегодня хакеры методично переходят от простых кибератак на отрасль к более длительным и сложным, и чаще атакуют для срыва цепочки поставок и парализации российского производства. Такие выводы следуют из отчета «Кибератаки на промышленность в 2026 году», подготовленного к XI конференции «Цифровая индустрия промышленной России» (ЦИПР). ГК «Солар» выступает партнером конференции ЦИПР по обеспечению информационной безопасности.

Отчет отражает ключевые киберугрозы, характерные для отрасли промышленности в 1-м квартале 2026 и в 2025 гг. Он составлен на основе анализа подтвержденных инцидентов клиентов центра противодействия кибератакам Solar JSOC; данных центра исследования киберугроз Solar 4RAYS, состоящих из более 200 млрд ИБ-событий в сутки с сенсоров в самой масштабной в РФ телеком-сети «Ростелекома»; зафиксированных и отраженных кибератак на клиентов cервисов Anti-DDoS и WAF.

По данным Solar JSOC, всего в 1-м квартале 2026 года на российские промышленные предприятия пришлось 48,8 тыс. кибератак — ИБ-инцидентов, подтвержденных заказчиками. Это на 14% больше аналогичного периода 2025 года. Эксперты также отмечают, что в целом на протяжении всего года фиксировалась довольно высокая плотность атак на отрасль с небольшими всплесками в апреле и сентябре. По данным специалистов «Солара», хакеры переходят к более продвинутым и автоматизированным методам атак, чтобы дольше скрываться в ИТ-системах промышленных организаций.

Основным инструментом злоумышленников для атак на данный сектор стало вредоносное ПО (ВПО) — на инциденты с их использованием в 1-м квартале этого года пришлось почти 44%. Также незначительно (с 8% до 10%), выросла доля кибератак, связанных с изменением инфраструктуры. Это значит, что хакеры все чаще используют манипуляции с системными компонентами для обхода защиты или закрепления доступов в инфраструктурах организаций-жертв.

О росте интенсивности атак с применением ВПО говорят и данные, собранные с сети сенсоров, которые позволяют экспертам Solar 4RAYS выявлять различные типы вредоносов, зафиксированные в российских промышленных организациях. Так, в 1-м квартале 2026 года на одно такое предприятие приходилось в среднем 221 заражение — это на 10% больше, чем в том же периоде прошлого года.

При этом, если в предыдущем году наибольшую угрозу для отрасли среди ВПО представляли стилеры, то в 1-м квартале 2026 на первый план вышли индикаторы заражения инструментами профессиональных APT-группировок — их доля среди различных типов ВПО заняла 38%, увеличившись в два раза год к году. Доля программ-стилеров для кражи конфиденциальных данных, в свою очередь, снизилась на 5 п.п. год к году, до 35%, а средств удаленного доступа (RAT), — на 8 п.п., до 13%.

По словам экспертов Solar 4RAYS, в целом предприятия промышленности традиционно вызывают интерес как финансово-ориентированных группировок, так и профессиональных, спонсируемых иностранными государствами групп атакующих (APT) — хотя бы потому, что они часто обладают ценной информацией, которая будет иметь спрос и у недружественных государств, и у черного рынка.

Отдельно отметим, что в 1-м квартале 2026 года на одно промышленное предприятие приходилось 109 DDoS-атак. Это в 2,5 раза меньше, чем в аналогичном периоде прошлого года, что говорит о снижении интенсивности простых в реализации кибератак. Число веб-атак для выявления уязвимостей в веб-приложениях промышленных организаций, напротив, выросло на 32% год к году, до 73,4 тысяч. Такие удары нередко совершаются для выведения из строя онлайн-ресурсов или кражи секретной информации, включая проектные документы, данные о технологических процессах или интеллектуальной собственности.

Дмитрий Иванов

директор по развитию сервисного портфеля ГК «Солар»

«Хакерские группировки проводят все более сложные и целевые кибератаки на российские промышленные предприятия для срыва гособоронозаказа. С этой целью они атакуют не только крупные предприятия с высоким уровнем защиты от киберугроз, где обычно происходит финальная сборка, но и их поставщиков и дочерние структуры. Это ведет к срыву поставок и, как следствие, к приостановке важных производственных процессов. Мы рекомендуем всем предприятиям отрасли обеспечить комплексную ИБ за счет внедрения эффективных и доступных по стоимости инструментов во все организации цепочки поставок. В настоящее время «Солар» активно участвует в этом процессе, прорабатывая решения для этой задачи и ведя переговоры с участниками рынка о пилотных проектах».

Для надежной защиты от киберугроз эксперты ГК «Солар» рекомендуют организациям из сферы промышленности:

• Использовать продвинутые системы безопасности (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать ИБ-события в инфраструктуре и вовремя выявить нежелательные. Такие решения не только эффективно обнаруживают массовое ПО (подобное стилерам), но и могут помочь обнаружить и остановить целевую атаку.
• Заниматься повышением киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в хорошо защищенной инфраструктуре.
• Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.
• Расширять и интегрировать комплексные меры защиты для всей цепочки поставок промышленных предприятий, включая малый и средний бизнес.

С полным отчетом о киберугрозах в промышленности можно ознакомиться по ссылке.