Доля признаков присутствия профессиональных APT-группировок в российских промышленных предприятиях за год выросла в два раза — до 38%, при этом сегодня хакеры методично переходят от простых кибератак на отрасль к более длительным и сложным, и чаще атакуют для срыва цепочки поставок и парализации российского производства, следует из отчёта «Кибератаки на промышленность в 2026 году», подготовленного ГК «Солар».
Отчёт отражает ключевые киберугрозы, характерные для отрасли промышленности в первом квартале 2026 и в 2025 году.
Всего в первом квартале 2026 года на российские промышленные предприятия пришлось 48,8 тысячи кибератак — ИБ-инцидентов, подтверждённых заказчиками. Это на 14% больше аналогичного периода 2025 года. Эксперты также отмечают, что в целом на протяжении всего года фиксировалась довольно высокая плотность атак на отрасль с небольшими всплесками в апреле и сентябре. Хакеры переходят к более продвинутым и автоматизированным методам атак, чтобы дольше скрываться в ИТ-системах промышленных организаций.
Основным инструментом злоумышленников для атак на данный сектор стало вредоносное ПО (ВПО) — на инциденты с их использованием в первом квартале этого года пришлось почти 44%. Также незначительно (с 8% до 10%), выросла доля кибератак, связанных с изменением инфраструктуры. Это значит, что хакеры все чаще используют манипуляции с системными компонентами для обхода защиты или закрепления доступов в инфраструктурах организаций-жертв.
О росте интенсивности атак с применением ВПО говорят и данные, собранные с сети сенсоров, которые позволяют выявлять различные типы вредоносов, зафиксированные в российских промышленных организациях. Так, в первом квартале 2026 года на одно такое предприятие приходилось в среднем 221 заражение — это на 10% больше, чем в том же периоде прошлого года.
При этом, если в предыдущем году наибольшую угрозу для отрасли среди ВПО представляли стилеры, то в первом квартале 2026 на первый план вышли индикаторы заражения инструментами профессиональных APT-группировок — их доля среди различных типов ВПО заняла 38%, увеличившись в два раза год к году. Доля программ-стилеров для кражи конфиденциальных данных, в свою очередь, снизилась на 5 п.п. год к году, до 35%, а средств удаленного доступа (RAT), — на 8 п.п., до 13%.
В целом предприятия промышленности традиционно вызывают интерес как финансово-ориентированных группировок, так и профессиональных, спонсируемых иностранными государствами групп атакующих (APT) — хотя бы потому, что они часто обладают ценной информацией, которая будет иметь спрос и у недружественных государств, и у чёрного рынка.
Отдельно в докладе отмечено, что в первом квартале 2026 года на одно промышленное предприятие приходилось 109 DDoS-атак. Это в 2,5 раза меньше, чем в аналогичном периоде прошлого года, что говорит о снижении интенсивности простых в реализации кибератак. Число веб-атак для выявления уязвимостей в веб-приложениях промышленных организаций, напротив, выросло на 32% год к году, до 73,4 тысяч. Такие удары нередко совершаются для выведения из строя онлайн-ресурсов или кражи секретной информации, включая проектные документы, данные о технологических процессах или интеллектуальной собственности.
