Positive Technologies: число нового вредоносного ПО выросло на 38%

Главной жертвой атак остается правительственный сектор — на него пришлось почти 18% всех инцидентов

Специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили 808 уникальных образцов вредоносного ПО, которые связаны с деятельностью 11 отслеживаемых хакерских группировок. Четыре наиболее активные группы — Rare Werewolf, PhaseShifters, PhantomCore и Hive0117 — суммарно обеспечили около 72% нового ВПО в первом квартале 2026 года. Ключевой целью атак остается правительственный сектор: на него пришлось 17,86% всех зафиксированных инцидентов.

Согласно отчету PT ESC TI, в первом квартале 2026 года число уникальных образцов вредоносного ПО в атаках на российские компании выросло на 38% по сравнению с аналогичным периодом 2025 года. Динамика по месяцам показывает резкий рост числа новых образцов к концу первого квартала: 117 в январе, 283 в феврале и 408 в марте. Чаще всего злоумышленники атаковали правительственные учреждения (17,86%), финансовый сектор (9,82%), организации гражданского общества (9,82%) и производство (8,04%).

Почти три четверти всех новых образцов ВПО создали четыре группировки: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117.

Rare Werewolf скрытно разворачивала в системах жертв легитимный инструмент удаленного доступа AnyDesk, а полученный AnyDesk ID жертвы передавала операторам через комментарии на странице GitHub Gist. Далее атакующие использовали этот ID для подключения. Отличительной чертой атаки было то, что вспомогательный скрипт автоматически нажимал кнопки в окнах оповещений системы безопасности Windows. В этих окнах система запрашивает у пользователя разрешение на запуск или установку потенциально опасного ПО. Из-за автоматических нажатий жертва просто не успевала отклонить запросы и помешать работе вредоносного ПО.

PhaseShifters проводила фишинговую кампанию, нацеленную на организации авиационной промышленности и оборонно-промышленного комплекса. В результате атаки на устройство жертвы попадал троян Remcos. Он позволяет злоумышленникам полностью управлять зараженным компьютером, следить за экраном, перехватывать нажатия клавиш и получать данные.

PhantomCore рассылала фишинговые письма с вложениями — ярлыками Windows (LNK), которые при открытии запускали вредоносный PowerShell-скрипт.

Hive0117 атаковала бухгалтерские подразделения компаний с помощью трояна удаленного доступа DarkWatchman, который перехватывал нажатия клавиш и отправлял их операторам. Дополнительно зловред удалял точки восстановления Windows, чтобы лишить жертву возможности откатить систему к состоянию до заражения и удалить вредоносную программу штатными средствами. Для связи с C2-сервером DarkWatchman использовал алгоритм генерации доменов — на случай если основные адреса будут заблокированы.

Предотвратить массовые и целенаправленные фишинговые атаки на корпоративную почту поможет многоуровневая система защиты PT Email Security на базе сетевой песочницы PT Sandbox. Она позволит защититься как от классических фишинговых угроз, так и от сложных атак с применением вредоносного ПО. Для защиты компьютеров, серверов, удаленных рабочих станций и виртуальных рабочих мест от массовых и сложных целенаправленных угроз вы можете использовать MaxPatrol Endpoint Security, а для анализа трафика — PT Network Attack Discovery. Кроме того, чтобы своевременно усиливать защиту, эксперты рекомендуют работать с данными киберразведки на портале PT Fusion.