Введение и методология
Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак на тысячи организаций. Информация об угрозах, с которыми сталкиваются наши клиенты, поступает как от организаций-партнеров, так и из наших собственных источников: расследований инцидентов, анализа вредоносных инструментов, практики Threat Hunting и сети сенсоров сервиса PDNS, который осуществляет мониторинг коммуникаций зараженных инфраструктур российских организаций с серверами управления различных вредоносных программ на территории России. Эта информация используется в работе решения для защиты от кибератак через фильтрацию DNS-трафика Solar DNS RADAR. Дополнительно данные с сенсоров PDNS позволяют оценить распространенность угроз в стране.
DNS-серверы используются при интернет-соединении. Каждый раз, когда пользователь или приложение осуществляет попытку соединения с тем или иным веб-ресурсом (за исключением прямых подключений по IP-адресу), браузер делает обращение к DNS-серверу, который хранит информацию о том, какое доменное имя какому IP-адресу соответствует.
Информация о попытках соединений (резолвах) анализируется с помощью технологии Passive DNS. Она позволяет сравнить список IP-адресов, с которыми устанавливалось соединение, со списком IP-адресов, о которых известно, что они относятся к вредоносным программам и/или атакам.
Если в списке обнаруживаются резолвы к IP-адресам, которые относятся к угрозам, этот случай считается событием, потенциально указывающим на заражение инфраструктуры клиента телеком-оператора, и учитывается в статистике отчета.
В потоке данных, полученных на основе анализа PDNS, мы выделяем несколько типов угроз по их характерным признакам:
- деятельность известных профессиональных хакерских группировок (APT);
- работа инструментов удаленного администрирования (Remote Access Tools, RAT);
- заражение вредоносами-стилерами (ВПО, похищающее конфиденциальную информацию);
- присутствие ботов одного из известных ботнетов;
- заражение вымогателями;
- заражение ВПО для майнинга криптовалют;
- заражение загрузчиками — ВПО, способным устанавливать на атакованный компьютер дополнительные вредоносы;
- переход на фишинговые страницы.
Признаки заражения выявляются в российских организациях, классифицированных по двум критериям: географическое расположение и принадлежность к той или иной сфере экономики, среди которых мы выделяем семь:
- Государственный сектор
- Здравоохранение
- Образование
- Промышленность
- Топливно-энергетические компании
- Финансовая индустрия
- Телекоммуникационная индустрия
- IT-организации
Отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет получить примерное представление о том, какие угрозы таят наибольшую опасность.
В отчете мы рассматриваем статистику, собранную с сенсоров в первом квартале 2026 года и сравниваем ее с результатами первого квартала 2025 года.
Информация в отчете является субъективной оценкой ландшафта киберугроз, сделанной на основе доступной Solar 4RAYS информации с сенсоров.
Основные результаты 1-го квартала 2026 года
- Интенсивность заражений (среднее количество срабатываний на организацию) различным вредоносным ПО в 1-м квартале 2026 года возросла на 111% в сравнении с тем же периодом прошлого года, до почти 284 атак на одну организацию.
- Интенсивность подобных атак год к году больше всего выросла в ТЭК (+291%) и госсекторе (+240%).
- Инструменты APT-группировок — главная угроза для российских организаций. В 1-м квартале в сравнении с тем же периодом 2025 года их доля выросла на 12 процентных пункта, до 38,58%. На втором и третьем месте — стилеры и средства удаленного доступа.
- ТЭК стал наиболее атакуемой индустрией. На него пришлось почти 35% зарегистрированных срабатываний. На втором месте — здравоохранение (31% срабатываний).
Общая статистика
|
Показатель |
1-й кв. 2026 |
1-й кв. 2025 |
Изменение |
|---|---|---|---|
|
Среднее количество атак на организацию |
283,63 |
134,33 |
+111,14% |
Интенсивность (среднее число срабатываний, свидетельствующих о потенциальном заражении одной организации) выросла более чем вдвое.
Комментарий экспертов Solar 4RAYS: Интенсивность срабатываний показывает, с каким количеством угроз в среднем сталкивается одна российская организация. И как видно из статистики, этот показатель за год вырос практически вдвое, что указывает на рост напряжения на российском ландшафте киберугроз для организаций.
Типы угроз и индустрии
Распределение срабатываний по типу угроз в 1-м квартале 2026 г
Распределение срабатываний по типу угроз в 1-м квартале 2025 г
Главное изменение, произошедшее за год в распределении срабатываний по типам угроз — это значительный рост доли обнаружений инструментов APT-группировок (+11,89 п. п. в сравнении с первым кварталом 2025 года). Среди других изменений — значительное падение и без того невысокой доли вымогателей (с 2,54 до 0,19%).
Комментарий экспертов Solar 4RAYS: Активность APT-группировок планомерно росла в течение всего года. Показатель первого квартала 2026 года — один из самых высоких за последний год. Однако данный рост носит выраженный отраслевой характер. Основным направлением внимания профессиональных атакующих стал ТЭК, тогда как доля госсектора и IT в APT-активности заметно сократилась, что мы увидим дальше. Активность группировок профессиональных атакующих, как правило, коррелирует с уровнем напряженности в геополитической сфере, и поэтому неудивительно, что она выросла в начале этого года.
|
Тип угрозы |
1-й кв. 2026 г. |
1-й кв. 2025 г. |
Изменение |
|---|---|---|---|
|
Средства удаленного доступа (RAT) |
19,07% |
17,92% |
+1,15 п. п. |
|
APT |
38,58% |
26,69% |
+11,89 п. п. |
|
Ботнеты |
3,18% |
9,98% |
–6,8 п. п. |
|
Стилеры |
33,13% |
35,54% |
–2,42 п. п. |
|
Майнинг |
1,84% |
3,48% |
–1,64 п. п. |
|
Загрузчики |
2,32% |
2,69% |
–0,37 п. п. |
|
Фишинг |
1,68% |
1,17% |
+0,51 п. п. |
|
Вымогатели |
0,19% |
2,54% |
–2,35 п. п. |
Атакованные сферы экономики
Атакованные индустрии в 1-м квартале 2026 г.
Атакованные индустрии в 1 квартале 2025 г.
|
Доля событий |
1-й кв. 2026 г. |
1-й кв. 2025 г. |
Изменение |
|---|---|---|---|
|
Индустрия |
|
|
|
|
Здравоохранение |
31,23% |
21,06% |
+10,17 п. п. |
|
Промышленность |
14,33% |
29,56% |
–15,23 п. п. |
|
Образование |
1,85% |
14,15% |
–12,3 п. п. |
|
ТЭК |
34,94% |
12,10% |
+22,84 п. п. |
|
Государственный сектор |
14,72% |
9,06% |
+5,66 п. п. |
|
IT |
1,51% |
6,05% |
–4,54 п. п. |
|
Финансы |
1,11% |
5,46% |
–4,35 п. п. |
|
Телеком |
0,31% |
2,52% |
–2,21 п. п. |
Главным изменением за год стал значительный рост числа угроз в сетях предприятий топливно-энергетического сектора. Доля таких событий в 1 квартале 2026 года возросла на 22,84 п. п., до почти 35% всех зафиксированных срабатываний. Ни одна другая индустрия не показала такого заметного роста. При этом доля атак на промышленность и образование сократилась более чем на 10 п. п.
|
Среднее количество событий |
1-й кв. 2026 г. |
1-й кв. 2025 г. |
Изменение |
|---|---|---|---|
|
Индустрия |
|
|
|
|
Здравоохранение |
453 |
331 |
+37% |
|
Государственный сектор |
221 |
65 |
+240% |
|
Промышленность |
220 |
200 |
+10% |
|
Образование |
20 |
52 |
–61% |
|
ТЭК |
1225 |
313 |
+291% |
|
Телеком |
47 |
157 |
–70% |
|
Финансы |
60 |
118 |
–49% |
|
IT |
109 |
248 |
–56% |
Тенденция, отмечающая повышенное внимание атакующих к объектам ТЭК, заметна и в сравнительной таблице интенсивности атак. В 1 квартале 2026 года на одну организацию в этой отрасли в среднем приходится 1225 атак, что на 291% больше, чем годом ранее. Также значительно выросла интенсивность атак в организациях госсектора — на 240%, с 65 атак на организацию в 1 квартале 2025 года до 221 атаки по итогам первой четверти 2026-го.
Комментарий экспертов Solar 4RAYS: Взрывной рост атак на предприятия ТЭК — наиболее последовательный и подтвержденный тренд первого квартала. Он фиксируется одновременно в шести из восьми категорий угроз, включая APT, стилеры, RAT, фишинг, вымогатели и загрузчики. Это также говорит об усилении внимания профессиональных группировок к данной отрасли. ТЭК — отрасль, которая оказывает влияние не только на экономику России, но и других стран. В первом квартале ситуация на мировом рынке энергоносителей оставалась неспокойной, и на этом фоне пристальное внимание атакующих (прежде всего профессиональных кибершпионских группировок) к российским организациям едва ли можно считать неожиданностью. Вряд ли стоит ждать ослабления этого давления до завершения американо-иранского и украинского конфликтов.
Ситуация с госсектором не так однозначна. Несмотря на значительное увеличение давления на госсектор, общая его доля сократилась сразу в семи из восьми категорий угроз. Это может объясняться тем, что рост интенсивности во многом обусловлен общим увеличением давления на ландшафт, тогда как ТЭК перетянул на себя основную долю целевых атак. Но делать вывод об усилении геополитически мотивированного давления именно на госсектор пока рано.
Типы угроз: детали
Далее приведем графики, демонстрирующие то, какие киберугрозы представляли наибольшую опасность для каждой индустрии в отдельности, а также сравним, как активность угроз разных типов заражений изменилась в сравнении с 1 кварталом 2025 года.
Майнеры
Майнеры: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Майнеры остаются значительной угрозой для организаций:
- здравоохранения,
- промышленности,
- госсектора,
- образования.
Вымогатели
Вымогатели: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Вымогатели остаются значительной угрозой для организаций:
- здравоохранения,
- промышленности,
- ТЭК,
- госсектора.
Стилеры
Стилеры: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Стилеры чаще других встречаются в организациях:
- ТЭК,
- здравоохранения,
- промышленности.
Примечательно, что наряду с вымогателями, доля стилеров значительно сократилась в предприятиях госсектора, что, скорее всего, является следствием повышения уровня кибербезопасности в этих организациях.
Индикаторы APT-группировок
Индикаторы APT-группировок: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
APT-группировки являются главной угрозой для организаций:
- ТЭК,
- здравоохранения,
- промышленности,
- госсектора,
- IT.
При этом доля событий в здравоохранении и промышленности почти не изменилась за год, что свидетельствует о стабильном присутствии APT-групп в сетях медорганизаций и промышленных производств. Отмеченный ранее тренд на повышенное внимание к ТЭК хорошо заметен на графике выше. Значительно упала доля атак группировок на госсектор и IT.
Загрузчики
Загрузчики: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Загрузчики являются средством доставки другого вредоносного ПО, поэтому картина их распространенности во многом совпадает с другими типами угроз. Больше всего загрузчиков зафиксировано в организациях:
- здравоохранения,
- ТЭК,
- госсектора.
Примечательно, что в госсекторе, по сравнению с 1 кварталом 2025 года, доля загрузчиков сократилась практически вдвое, а в здравоохранении, наоборот, значительно возросла.
Ботнеты
Ботнеты: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Признаки заражения ботнетами стали чаще встречаться в организациях:
- здравоохранения,
- промышленности,
- образования.
При этом в образовании доля заражения ботнетами возросла с менее одного процента до более чем 20. Как и в случае с большей частью других типов ВПО, доля заражений в госсекторе значительно упала.
Фишинг
Фишинг: 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Чаще других фишинг встречался в организациях:
- промышленности,
- ТЭК.
Фишинг часто служит одной из начальных стадий целевой атаки, а наиболее подверженные индустрии сейчас в зоне особого внимания профессиональных атакующих, так что увеличение доли срабатываний в этих индустриях — ожидаемое явление.
Средства удаленного доступа (RAT)
Средства удаленного доступа (RAT): 1-й кв 2026 г. и 1-й кв 2025 г.
2026 год
2025 год
Средства удаленного доступа представляют наибольшую угрозу для организаций:
- здравоохранения,
- ТЭК,
- промышленности,
- госсектора.
RAT часто являются заменой стилерам или инструментом, использующимся наряду с этим типом угрозы. Высокая доля их присутствия в организациях, которые часто атакуют кибершпионы, закономерна.
Комментарий экспертов Solar 4RAYS: Хотя в случае с каждым конкретным типом угрозы распределение по индустриям может быть неоднородно, на графиках видно, что главные цели вредоносных атак в первом квартале неизменны: здравоохранение, ТЭК, промышленность и госсектор. Примечательно, что по семи категориям угроз организации госсектора хоть и выделяются среди других отраслей все еще значимой долей заражений, но все же показывают существенное сокращение по сравнению с 1 кварталом 2025 года. Это может быть свидетельством усилий, которые ИБ-команды таких организаций прилагают для борьбы с угрозами.
Промышленность, показавшая падение совокупной доли срабатываний и небольшой рост интенсивности атак, демонстрирует тревожный рост в трех категориях: вымогатели выросли с минимальных значений до 23%, фишинг — с 12 до 43%, ботнеты — с 10 до 22%. Это говорит о том, что отрасль заслуживает отдельного внимания.
Также характерной особенностью ландшафта начала 2026 года стал рост «тихих» угроз в сетях, где традиционно недостает ресурсов администрирования ИБ. Речь прежде всего о майнерах и ботнетах. Это касается образования, где доля ботнетов выросла с менее 1% до более чем 20%, а майнеров — с 2 до 7%, и здравоохранения, где зафиксирован рост по обоим типам атак. Здесь важно оговориться, что в совокупной статистике и майнеры, и ботнеты показали падение общей доли среди всех срабатываний. Речь идет именно о структурном сдвиге в отношении конкретных отраслей, а не об общем росте этих угроз на всем ландшафте. Стабильно высокая доля майнеров в госсекторе при одновременном снижении других типов угроз также заслуживает внимания. Возможно, это связано с тем, что IT-инфраструктуры таких организаций часто имеют большие размеры и могут содержать в себе системы, на которые долгое время никто внимательно не смотрел. При этом майнеры, как правило, не совершают заметных деструктивных действий и потому могут долгое время оставаться без внимания администраторов.
Заключение и рекомендации
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов. Похищение конфиденциальной информации остается основной целью злоумышленников — об этом свидетельствует распространенность угроз, связанных со шпионажем: стилеров, инструментария APT-группировок и средств удаленного доступа.
ТЭК стала самой часто атакуемой индустрией, командам ИБ в таких организациях стоит учитывать это при построении защиты: в том числе в связи с геополитической обстановкой в мире. Их IT-инфраструктуры — в особом фокусе атакующих.
Для надежной защиты инфраструктуры организации от кибератак эксперты Solar 4RAYS рекомендуют следующие меры:
- Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей (Vulnerability Management).
- Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети.
- Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные. А кроме того, использовать решения, способные распознавать атаки в DNS-трафике, например Solar DNS RADAR.
- Оперативно обновлять все используемое в инфраструктуре ПО.
- Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков (PAM).
- Предельно ответственно относиться к соблюдению парольных политик, пользоваться сервисами мониторинга утечек учетных записей и вовремя их обновлять. Обеспечить защиту от автоматизированных атак методом подбора.
- Создавать инфраструктуру бэкапов, следуя принципу «3–2–1», который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа и наличие минимум одной копии за пределами основной инфраструктуры.
- В случае подозрения на атаку не медлить с оценкой компрометации, а лучше — делать ее на регулярной основе.
- Заниматься повышением киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре.
- Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации (например, через сервисы Threat Intelligence).
