Компания F6, российский разработчик технологий для борьбы с киберугрозами, проанализировала активность группировок вымогателей, атаковавших российские компании в 2026 году. За 5 месяцев этого года было зафиксировано 220 атак, причем число атак со стороны проукраинских группировок увеличилось более чем на 10%. В 82% инцидентов главной целью киберпреступников стало получение выкупа: средняя запрашиваемая сумма для российских предприятий составила от $50 тыс. до $300 тыс. Рекорд по сумме первоначального выкупа в 2026 году — $3,8 млн (304 млн рублей).
Эксперты Лаборатории цифровой криминалистики компании F6 изучили активность киберпреступных группировок вымогателей, атаковавших российские компании и организации с начала 2026 года. В январе-мае специалистам F6 удалось выявить более 220 атак различных группировок вымогателей на российские компании. По сравнению с аналогичным периодом 2025 года общее количество атак с использованием программ-вымогателей уменьшилось на 20%, в то время как на протяжении последних четырёх лет отмечался ежегодный рост числа таких атак.
Снижение количества атак может быть связано с главной тенденцией первых месяцев 2026 года – значительно снизилось число атак на Россию киберпреступных группировок, имеющих ближневосточные корни. В то же время количество атак вымогателей со стороны проукраинских группировок увеличилось более чем на 10%.
В 82% инцидентов главной целью киберпреступников стало получение выкупа (финансовая мотивация), и только в 18% атак злоумышленники стремились разрушить инфраструктуру и нанести российским организациям максимальный ущерб (диверсия).
Среди проукраинских группировок самые активные в 2026 году – Bearlyfy (не менее 25 атак), hacking_cat (не менее 7 атак), PadLock (не менее 5 атак), 3119/SHMX (не менее 4 атак), Sent1nel и AyazL0CKER (не менее 3 атак у каждой). Среди восточных группировок, наиболее активно действовавших против российских компаний – Proton/Shinra, C77L, Sauron, Mimic/Pay2Key и BlackFL.
Самая высокая сумма первоначального выкупа, которую злоумышленники из Bearlyfy первоначально запрашивали за расшифровку данных в 2026 году у компании из финансовой сферы – 304 млн рублей ($ 3 800 000). Пока это на 24% ниже рекорда жадности вымогателей, поставленного в 2025 году группой CyberSec’s, потребовавшей 50 BTC (около 500 млн рублей на момент атаки). Вместе с тем средние суммы выкупа в 2026-м остались на уровне прошлого года – от $50 тыс. до $300 тыс.
В ряде случаев специалисты F6 наблюдали, что атакованным компаниям удавалось снизить размер выкупа на 30-50%. Это связано как с завышенными запросами киберпреступников, так и с тем, что финансово мотивированные группировки прежде всего нацелены на получение денежных средств: они могут себе позволить снизить выкуп вдвое. По данным F6, в 8% случаев атакованные компании согласились на требования злоумышленников заплатить выкуп.
«Сейчас в России под угрозой атак вымогателей находится каждая компания, включая малый бизнес. Небольшие организации атакуют обычно только из-за денег. В отношении средних и крупных компаний киберпреступники действуют, исходя от их специализации: если взлом не вызовет ажиотажа – будут требовать выкуп, если компания связана с госсектором, то скорее всего, злоумышленники попытаются похитить её данные, а затем уничтожить инфраструктуру», – отмечает Антон Величко, руководитель Лаборатории цифровой криминалистики компании F6.
Чаще других с целью выкупа российский малый и средний бизнес в 2026 году атаковали группировки Proton/Shinra, Mimic/Pay2Key, C77L, Sauron, BlackHunt/BlackFL, Salted2020, VoidCrypt, DCHelp, room155, Bobcat и Proxima/BlackShadow. Средние суммы выкупа, которые злоумышленники запрашивали у атакованных ими компаний малого и среднего бизнеса, составили от $3 тыс. до $50 тыс.