Актуальные киберугрозы в странах Ближнего Востока

Ближний Восток — динамично развивающийся регион с неоднородной экономической и геополитической ситуацией. Сочетание высокого экономического потенциала, активных инвестиций в технологии, цифровой трансформации отраслей и геополитической нестабильности привлекает как группировки, сосредоточенные на шпионаже и выводе из строя ключевых инфраструктурных объектов, так и финансово мотивированных киберпреступников и хактивистов¹.

Настоящее исследование охватывает период со второго квартала 2025 года по первый квартал 2026 года включительно² (Q2 2025 — Q1 2026) и направлено на анализ ландшафта киберугроз в странах региона. Рассматривались следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.

Цели исследования:

• описать общий ландшафт киберугроз для региона на основе данных открытых источников и дарквеба, опираясь на периоды эскалации и смягчения геополитических конфликтов;

• проанализировать ландшафты киберугроз наиболее атакуемых стран региона и определить их взаимосвязь с развитием геополитических конфликтов, отраслевой и экономической характеристиками;

• дать прогноз по будущим кибегурозам региона и предоставить рекомендации по защите от них.

Для описания ландшафта киберугроз в странах Ближнего Востока использованы данные из открытых источников в сочетании с материалами дарквеба: трех крупнейших профильных форумов, более 60 Telegram-каналов, а также различных агрегаторов данных о дефейсах сайтов и о деятельности группировок, использующих вредоносное ПО (включая шифровальщики) и DDoS.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских группировок.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых из них может поступать в сеть значительно позже фактического времени кибератаки. Таким образом, данные, представленные в этом исследовании, актуальны на момент его публикации. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

1. Экономически-отраслевая картина позволяет отчасти объяснить действия и цели злоумышленников, несмотря на смещение их интереса к массовым и политически мотивированным кибератакам в ходе эскалации конфликтов.
2. Два витка эскалации вокруг Ирана (июнь — июль 2025 года и февраль — март 2026 года) значительно повлияли на ландшафт киберугроз региона. В большей степени это относится к обострению напряженности первого квартала 2026 года в силу географического расширения конфликта на множество стран региона. Именно на Q1 2026 пришелся 51% всех кибератак рассматриваемого периода.
3. Геополитической напряженности сопутствовала активизация политически мотивированных киберпреступников. Их действия можно условно разделить на таргетированные (нацеленные на объекты КИИ и ключевых отраслей) и массового характера (нацеленные на менее защищенные отрасли: СМИ, науку и образование).
4. За рассматриваемый период Q2 2025 — Q1 2026 наиболее атакуемыми странами Ближнего Востока стали Израиль (33%), Саудовская Аравия (12%) и ОАЭ (11%). Однако географическое расширение конфликта в первом квартале 2026 года приблизило Катар, Кувейт и Кипр к лидерам.
5. Отраслевую картину кибератак в регионе во многом сформировали данные первого квартала 2026 года. Основное число атак в этот период было направлено на госучреждения. За весь период их атаковали в 25% случаев, организации промышленности и торговли — в 15% и 10% случаев соответственно, что говорит об одновременном действии политически и финансово мотивированных киберпреступников.
6. На первое место в регионе в рассматриваемый период вышли DDoS-атаки. Они использовались в 42% успешных атак, значительный вклад внес первый квартал 2026 года — 83% кибератак были реализованы с помощью DDoS. Однако доля кибератак с использованием ВПО оказалась незначительно меньше (41% за рассматриваемый период), поскольку ВПО востребовано киберпреступниками независимо от геополитической ситуации. На третьем месте с долей 22% оказались атаки методом социальной инженерии, часто сопровождающие атаки с использованием ВПО.
7. В силу значительной доли DDoS-атак в регионе преобладающей категорией последствий оказалось нарушение основной деятельности (наблюдалось в 60% успешных атак). Далее идут утечка конфиденциальной информации (44%), характерная как для периодов эскалации конфликта, так и для периодов нормализации геополитических отношений, и использование ресурсов для проведения атак (10%), предположительно вызванное большим числом IoT-устройств в инфраструктуре и их использованием в ботнетах.
8. В период затишья прогнозируется переключение внимания киберпреступников на ключевые отрасли (IT-компании для Израиля, промышленные организации и сфера услуг для Саудовской Аравии, организации торговли, сферы услуг и промышленности для ОАЭ) и объекты развивающихся направлений (энергетические объекты и инфраструктура суверенного ИИ). В кибератаках на частных лиц прогнозируется более частое использование генеративного ИИ.
9. В случае дальнейшей эскалации конфликта прогнозируется увеличение числа сложных и таргетированных кибератак на критически важные объекты инфраструктуры, попыток воздействия на спутниковые системы. В методах кибератак ожидается сохранение высокой доли DDoS-атак на организации различных отраслей.

1. Катар. Основу экономики Катара составляют добыча нефти и газа, а текущие правительственные меры по диверсификации экономики направлены на увеличение вклада промышленного и обрабатывающего секторов в ненефтяной⁴ сектор экономики страны (до 3,4% к 2030 году) и на привлечение прямых иностранных инвестиций в размере 100 млрд $.

2. ОАЭ. Розничная торговля процветает в стране, составляя 25,3% ВВП Дубая, чему способствуют высокие потребительские расходы и стабильный приток мирового капитала. Для диверсификации экономики в государстве развиваются не связанные с нефтедобычей отрасли торговли, туризма, финансов и недвижимости. В силу большого потока обеспеченных туристов именно в ОАЭ значительные инвестиции идут на развитие сервисных секторов экономики, что отличает экономическую картину Эмиратов от других стран региона и делает ее более разнообразной по сравнению с газо- и нефтедобывающими Катаром и Саудовской Аравией.

3. Саудовская Аравия. Ее экономическая картина схожа с ОАЭ в части развития сервисных секторов экономики. Вместе с тем одна из ключевых промышленных корпораций страны — Saudi Aramco — производит почти 12% мировой добычи нефти и по прибыльности превосходит даже таких технологических гигантов, как Apple и Microsoft. Промышленность в стране цифровизируется с использованием искусственного интеллекта и промышленного IoT. По оценкам P&S Intelligence, объем рынка промышленного IoT в Саудовской Аравии вырастет на 13% в период с 2026 по 2032 гг. и достигнет 10,1 млрд $.

На рассматриваемый период (Q2 2025 — Q1 2026) пришлись сразу две острые фазы конфликта вокруг Ирана — в период с 13 по 24 июня 2025 года (однако часть кибератак была обнаружена уже в июле, это отразилось на данных за Q2 и Q3) и в феврале — марте 2026 года — что значительно повлияло на ландшафт киберугроз в регионе.

Инциденты, произошедшие в июне, затрагивали в основном Иран и Израиль, а инциденты Q1 2026, сопровождавшие военную операцию США и Израиля, стартовавшую 28 февраля, отразились и на других странах Ближнего Востока, затронутых конфликтом. Общим оставался характер кибератак: в основном они были направлены на остановку работы отраслеобразующих объектов инфраструктуры и на формирование общественного мнения за счет кибератак на СМИ, распространения дезинформации в соцсетях и демонстрации уязвимости крупнейших учреждений государств.

В июне 2025 года в результате кибератак пострадали крупные компании. В Иране это были организации преимущественно финансового сектора (83% успешных атак): у крупнейшего банка страны была отключена часть инфраструктуры, из иранской криптовалютной биржи было выведено 90 млн $, а клиенты нескольких банков столкнулись с проблемами доступа к своим счетам.

В Израиле с масштабными утечками данных столкнулись две крупные компании: первая занимается кейтерингом и логистикой, вторая является ключевым игроком в сфере финансовых технологий Израиля, специализируясь на создании автоматизированных видеороликов с финансовыми новостями для брокеров и инвесторов. Предположительно, раскрытые данные финтех-компании включали исходный код, шаблоны пользователей, краткие обзоры для инвесторов, файлы для создания пользовательского фирменного стиля и внутренние технические журналы.

Таким образом, ключевой целью кибератак на Иран была дестабилизация экономики за счет одновременного лишения страны возможности использовать как обычные валюты, так и криптовалюту в торговых отношениях и для финансирования военных программ. Кибератаки на организации Израиля больше характеризовали попытки оказать психологическое давление на страну путем дискредитации организаций государственного масштаба.

В период с 13 по 20 июня, на который пришлась острая фаза конфликта, в киберпространстве ближневосточного региона было зафиксировано более 250 хактивистских атак, включая DDoS-атаки, утечки данных и взлом веб-сайтов. Преимущественно такие атаки затрагивали организации Ирана и Израиля, в то время как для других стран региона в большей степени наблюдались кибератаки финансово мотивированных группировок вымогателей (например, атака группировки Gunra на египетскую компанию, специализирующуюся на медицинских услугах) и многоэтапные кампании, нацеленные на внедрение в инфраструктуру жертв вредоносного ПО для удаленного управления (в частности, фишинговая кампания, использующая легитимный инструмент удаленного доступа Netbird для атаки на финансовых директоров и руководителей финансовых фирм Ближнего Востока и других стран).

В атаках на Иран по результатам анализа дарквеб-форумов и Telegram-каналов были замечены преимущественно хактивистские группировки Unknowns cyber team (60% объявлений на теневых ресурсах, посвященных взлому иранских организаций, исходило от них), Predatory Sparrow и Islamic Hacker Army (по 9%). 

Группировки APT35 и APT42 часто позиционируются исследователями как действующие в интересах Ирана. APT35 проводит долгосрочные, ресурсоемкие операции по сбору стратегической разведывательной информации, их цель — военнослужащие, дипломаты и государственные служащие Ближнего Востока и США, организации сферы СМИ, энергетики, оборонной промышленности, телекоммуникаций и др. В июне 2025 года группировка запустила фишинговую кампанию с использованием ИИ, направленную на израильских журналистов и экспертов по кибербезопасности. В атаках использовались фальшивые страницы входа в Gmail и приглашения в видеоконференции Google Meet, жертвам рассылались фишинговые электронные письма и сообщения в WhatsApp⁶, сгенерированные с помощью ИИ.

Группировка APT42 также нацелена на сбор разведывательной информации, полученной от организаций и частных лиц, преимущественно в ближневосточном регионе. В июне 2025 года APT42 проводила фишинговые атаки на израильских журналистов, экспертов по кибербезопасности и ученых, используя поддельные страницы входа в Gmail и приглашения в Google Meet в сочетании со сгенерированными ИИ фишинговыми сообщениями. 

В первом квартале 2026 года, как и в июне 2025 года, наблюдались атаки, направленные на подрыв доверия к крупным национальным организациям и манипуляцию общественным мнением. Однако география кибератак существенно расширилась.

Среди пострадавших от кибератак организаций национального уровня в первом квартале 2026 года 45% составили государственные учреждения. DDoS-атакам хактивистов подверглись государственные учреждения Катара, Кувейта, Израиля и других стран региона. Однако киберпреступники не ограничивались госсектором, стремясь продемонстрировать уязвимость отраслеобразующих предприятий и крупнейших организаций. Так, в Израиле от кибератаки пострадала крупнейшая израильская сеть медицинских учреждений, обслуживающая примерно половину населения страны (4,8 млн жителей). Ответственность за инцидент взяла на себя группировка Handala Hack Team. Она не требовала выкуп, а сразу опубликовала конфиденциальные медицинские данные более чем 10 000 пациентов.

Примерами атак, нацеленных на формирование определенного мнения у населения, стал взлом популярного (свыше 5 миллионов скачиваний) иранского приложения, представляющего собой религиозный календарь. Пользователи наблюдали сообщения, призывающие вооруженные силы Ирана сложить оружие. Пострадали также организации СМИ: в Иране кибератаки затронули веб-сайты крупных информационных агентств.

Ряд других стран региона также подвергся кибератакам: группировка Fatimion Cyber Team вывела из строя информационное агентство Бахрейна и провела DDoS-атаки на катарскую нефтяную компанию и радиостанцию. Группировка DieNet, атаковавшая госучреждения Катара, позиционировала свои действия как месть за то, что катарские государственные СМИ якобы замалчивали информацию об иранских ударах по американским базам на территории страны.

Число кибератак на страны Ближнего Востока неуклонно растет: география расширилась в первом квартале 2026 года, вследствие чего на него пришелся 51% от всех кибератак рассматриваемого периода. Относительно небольшой вклад конфликтного периода Q2 2025 объясняется, во-первых, краткосрочностью обострения, во-вторых, обнаружением инцидентов во втором и третьем кварталах (июнь и июль), что привело к распределению данных между ними.

Израиль неизменно оставался в топ-3 атакуемых стран на протяжении всего рассматриваемого периода, однако в Q1 2026 доля атак на него преобладала. Вместе с тем в Q1 2026 изменилась тройка лидеров: в нее, помимо Израиля, вошли Кувейт и Катар. Расширение географии кибератак в значительной мере коснулось этих стран и Кипра: по сравнению с Q4 2025, в Q1 2026 число киберинцидентов в этих странах увеличилось на 10 п. п., 8 п. п. и 10 п. п. соответственно.

По результатам анализа отраслевой картины кибератак можно заметить, что в конфликтные периоды на первый план вышли атаки на госучреждения и транспорт. Это говорит о нацеленности киберпреступников на объекты КИИ для нанесения значимого ущерба стране и деморализации населения путем демонстрации уязвимости ключевых объектов для кибератак. Оба конфликтных периода характеризовались увеличением числа успешных кибератак на организации СМИ. Вместе с этим в Q1 2026 киберинциденты происходили в отраслях, ранее минимально затрагиваемых атаками. Например, отмечается увеличение числа атак на образовательные и научные учреждения — со статистически малозначимого показателя до 5%.

Исходя из этого, можно разделить действия киберпреступных группировок, активизировавшихся в ходе эскалации конфликта, на два класса:

• таргетированные действия, нацеленные на объекты КИИ и крупные государственные институты;

• действия массового характера, затрагивающие множество отраслей (как правило, менее защищенных) и нацеленные на привлечение внимания. Это отчасти объясняет увеличение доли атак на менее защищенную институциональную инфраструктуру университетов, СМИ и систем образования.

Отраслевая картина кибератак на регион представляет собой смесь двух факторов: действия киберпреступников в отношении госучреждений (25% от всех кибератак), мотивированных обострением конфликта, и атаки на промышленность (15%) и торговлю (10%), характерные для региона в фазу смягчения конфликта.

Интересно отметить, что доля кибератак на финансовые учреждения Ближнего Востока относительно невелика (8%), в то время как эта категория обычно входит в топ-3 в мировой статистике. Это может быть связано с замедленным внедрением автоматизации в этот сектор из-за сопротивления традиционных ближневосточных бизнес-моделей цифровым преобразованиям и отсутствия поддержки со стороны руководства. Вместе с этим финансовые системы строго регулируются государством, и любые преобразования требуют длительных согласований.

Тем не менее для ряда стран финансовые организации оказались одними из наиболее атакуемых. Для Ирана пик кибератак на финансовые учреждения пришелся на эскалацию конфликта в июне — июле 2025 года. Для ОАЭ финансовые учреждения вошли в топ-3 категорий жертв за весь рассматриваемый период. Предположительно, это связано с тем, что ОАЭ является крупнейшим финансовым центром Ближнего Востока, кроме того, в стране действует программа Financial Infrastructure Transformation, направленная на развитие цифровых транзакций, улучшение платежных систем и создание цифрового дирхама.

Анализ квартальной динамики демонстрирует влияние ближневосточного конфликта, расширившегося географически в первом квартале 2026 года, на отраслевую картину кибератак. Так, доля кибератак на госучреждения выросла в Q1 2026 на 40 п. п. по сравнению с прошлым кварталом.

Рассмотрим топ-3 атакуемых отраслей, сосредоточившись на их ценности для киберпреступников.

Государственные учреждения часто становятся мишенью кибератак из-за своей стратегической роли и больших объемов хранимых данных. Это привлекает как проправительственные киберпреступные группировки, так и злоумышленников, преследующих финансовую выгоду.

Атака на госучреждение и выведение его веб-сайта из строя — это заметный результат идеологического протеста со стороны хактивистов. Киберпреступники публиковали заявления об успешной реализации DDoS-атак в своих Telegram-каналах и на дарквеб-форумах.

В дарквебе также распространены объявления о продаже баз данных и доступов к инфраструктуре госучреждений. Например, за 5000 $ в дарквебе продавалась база данных государственной военизированной структуры Катара, включающая полные имена сотрудников, электронную почту, рабочий, домашний и мобильный номера телефонов, номер факса, должность и отдел, гражданство.

За 2500 $ киберпреступники продают данные почтового сервера государственного следственного органа Бахрейна, включающие электронные письма 50 пользователей.

В рассматриваемый период госучреждения Ближнего Востока чаще всего (в 85% случаев) подвергались атакам, направленным на нарушение основной деятельности.

Промышленная отрасль — одна из наиболее атакуемых во всем мире. Поверхность атаки в регионе увеличивается за счет активного внедрения промышленной автоматизации. Высокая стоимость простоя производственных объектов и компрометации данных привлекает финансово мотивированных злоумышленников, однако APT-группировки других стран также могут атаковать объекты промышленности — в целях шпионажа или для вывода их из строя.

В декабре 2025 года эксперты CRIL (Cyble Research and Intelligence Labs) обнаружили фишинговую кампанию, нацеленную на промышленный сектор Европы (Италия, Финляндия) и Ближнего Востока (Саудовская Аравия). Основная цель — кража конфиденциальных промышленных данных и компрометация учетных данных. По данным исследователей CRIL, кампания использует разнообразные векторы заражения, в том числе вредоносные документы Office (с использованием уязвимости CVE-2017-11882), вредоносные SVG-файлы и ZIP-архивы, содержащие ярлыки LNK. Все векторы используют единый стандартный загрузчик, который доставляет инфостилеры для кражи учетных данных браузеров, криптокошельков и промышленных данных.

В кибератаках на промышленные объекты чаще всего фигурировали Израиль (48%) и Саудовская Аравия (16%), однако следует отметить, что часть инцидентов, связанных с Израилем, пришлась на Q1 2026. Это говорит о том, что в период смягчения регионального конфликта фокус киберпреступников смещается на Саудовскую Аравию как одну из ведущих индустриальных стран региона. 

70% всех атак региона на торговые организации пришлись на ОАЭ как на крупнейший центр торговли Ближнего Востока, при этом были затронуты крупнейшие агентства и платформы по продаже и аренде недвижимости. Атаки на них были совершены группировкой вымогателей Coinbase Cartel. Отмечается, что злоумышленникам удалось получить доступ к данным через действительные учетные записи поставщиков и украденные учетные данные.

Помимо Coinbase Cartel, в ОАЭ действовала группировка вымогателей Blacknevas. Они заявили о компрометации корпоративной сети компании, работающей в сферах импорта, дистрибуции и розничной торговли на Ближнем Востоке. По утверждению злоумышленников, им якобы удалось получить доступ к внутренней инфраструктуре компании, а также склонить одного из сотрудников ИТ-отдела к сотрудничеству, в результате чего им удалось похитить конфиденциальные данные из SQL- и SAP-систем компании. В таких системах могут находиться данные банковских счетов, коммерческая тайна, персональные данные клиентов и сотрудников, производственные планы и финансовые отчеты.

Влияние ирано-израильского конфликта на методы кибератак отразилось в вышедшей на первое место доле DDoS-атак (они использовались в 42% успешных атак). Такие воздействия характерны для хактивистов в силу их наглядности, возможности массовой реализации и влияния на общественные настроения.

В квартальной динамике виден заметный скачок доли DDoS-атак (плюс 80 п. п. по сравнению с Q4 2025). Кроме того, заметно географическое расширение конфликта: если доля DDoS-атак на организации Ирана и Израиля в июне — июле 2025 года оказалась уравновешена другими инцидентами в регионе, то в первом квартале 2026 года атаки, направленные на нарушение основной деятельности, стали массовой проблемой всего региона.

Топ-3 методов кибератак коррелирует с типами атакуемых объектов: компьютеры, серверы и сетевое оборудование лидируют с долей 63%, отражая совокупно DDoS-атаки в регионе, выводящие из строя серверы, и атаки с использованием ВПО, предполагающие наличие инфраструктуры для заражения, закрепления в ней и дальнейшего выполнения основных функций — шифрования данных, сбора информации и передачи на удаленный сервер. На втором месте — веб-ресурсы (49%), также связанные с высокой долей DDoS-атак. 

Рассмотрим основные методы кибератак на организации Ближнего Востока.

Использование DDoS-атак — достаточно недорогой и простой для злоумышленников способ давления на организации, поэтому неудивительно, что эскалация практически любого геополитического конфликта сопровождается массовыми отказами в обслуживании. Их реализация заметна сразу, а атрибуция затруднена, так как атаки могут быть реализованы через множество устройств, распределенных по всему миру.

Объявления об успешной реализации DDoS-атак могут размещаться киберпреступниками в Telegram-каналах и на дарквеб-форумах. В октябре 2025 года в результате DDoS-атаки некоторое время был недоступен веб-сайт одного из госучреждений Йемена.

В первом квартале 2026 года 83% кибератак составили DDoS-атаки, они затронули не только основных участников конфликта, но и другие страны Ближнего Востока. Среди последствий — вывод из строя организаций Кипра (транспортной и энергетической отрасли), веб-сайта одного из госучреждений Иордании, веб-сайта и портала двух государственных организаций Саудовской Аравии.

Использование ВПО — глобальный тренд в силу его универсальности и высокой эффективности, использование вредоносных программ позволяет злоумышленникам реализовать все этапы кибератаки. Превалирующими типами ВПО за рассматриваемый период стали шифровальщики (программы-вымогатели) с долей 30%, ВПО для удаленного управления (27%) и шпионское ПО (19%).

В обычных условиях использование шифровальщиков — способ заработка для финансово мотивированных киберпреступников, однако в ходе эскалации геополитического конфликта атаки группировок вымогателей становятся рычагом давления. Работа отраслеобразующих предприятий останавливается, ценная информация попадает к злоумышленникам и может быть безвозвратно уничтожена (учитывая тренд на использование шифровальщиков в качестве вайперов), общественное настроение становится противоречивым из-за ощущения уязвимости национальной инфраструктуры к атакам. Таким образом, атаки вымогателей одновременно наносят стране технологический, финансовый и репутационный ущерб.

Примерами действий финансово мотивированных злоумышленников являются атаки группировки Tengu на ключевую организацию здравоохранения в районе Эль-Касим Саудовской Аравии и группировки INC Ransom на ведущего поставщика ИТ-решений в ОАЭ. В обоих случаях киберпреступники угрожали раскрытием конфиденциальной информации — медицинских и финансовых данных, данных внутренней почты (совокупно в размере около 200 ГБ).

Вымогательское ПО использовала группа Handala в атаке на израильскую энергетическую компанию в ходе обострения геополитических отношений в Q1 2026. В источнике отмечается, что Handala написала в X (ранее Twitter), что «начало масштабных кибератак» неизбежно, и несколько часов спустя добавила, что «уничтожение киберинфраструктур уже идет полным ходом» (позже этот пост в X был удален). Таким образом, в этой атаке целью было не обогащение, а нанесение ущерба инфраструктуре страны.

ВПО для удаленного управления, незначительно уступающее шифровальщикам по частоте использования (25%), может широко применяться киберпреступниками для доставки шифровальщиков и вайперов в целевую инфраструктуру, выполнения различных команд, а также для кражи конфиденциальной информации и шпионажа. От подобного ПО пострадали торговые и брокерские компании различных стран, в частности ОАЭ, Иордании и Ливана.

Использование шпионского ПО (18% среди всех атак, реализованных с использованием ВПО) характерно не только для хактивистов, но и для финансово мотивированных группировок. Так, в августе 2025 года была реализована вредоносная кампания, в ходе которой с помощью инфостилера PXA Stealer были украдены данные с более чем 4000 IP-адресов по всему миру. Кампания затронула организации 62 стран, на Ближнем Востоке пострадали организации Израиля.

Методы социальной инженерии активно используются киберпреступниками как при эскалации геополитических конфликтов, так и в мирное время. Активное развитие технологий ИИ на Ближнем Востоке также способствует реализации кибератак. Например, в Q1 2026 исследователи из HarfangLab выявили кампанию RedKitten, ускоренную ИИ и нацеленную на иранских протестующих. Злоумышленники использовали дипфейк-видео в соцсетях для завоевания доверия у пользователей, прежде чем развернуть модульное ВПО через «защищенные» средства связи.

Методы социальной инженерии часто сопровождают атаки с использованием ВПО на начальном этапе проникновения злоумышленников в инфраструктуру. Так, кампания кибершпионажа, приписываемая группе MuddyWater и нацеленная на пользователей в Израиле, Турции и Азербайджане, использовала бэкдор UDPGangster. Он распространяется через вредоносные документы Microsoft Word со встроенными макросами VBA, которые выполняют полезную нагрузку после активации. ВПО разработано для обхода традиционных средств сетевой защиты с применением методов антианализа для защиты от обнаружения и возможности обхода виртуальных сред и песочниц.

В августе 2025 года была обнаружена глобальная фишинговая кампания, использующая поддельные голосовые сообщения и заказы на покупку для доставки вредоносного загрузчика UpCrypter. Злоумышленники рассылали тщательно подготовленные электронные письма со ссылками на убедительные фишинговые страницы, призванные побудить жертву загрузить вредоносные JavaScript-файлы для последующей загрузки UpCrypter. Кампания затронула множество стран по всему миру, в Ближневосточном регионе в большей степени пострадали организации Египта.

Несмотря на цифровизацию Ближнего Востока, многие отрасли по-прежнему зависят от традиционных систем безопасности, что позволяет злоумышленникам эксплуатировать давно известные уязвимости устаревших компонентов инфраструктуры. Внедрение IoT-устройств, которые на практике часто оказываются наименее защищенными объектами, также расширяет возможности киберпреступников по эксплуатации уязвимостей.

В ходе конфликта уязвимости становятся стратегическим ресурсом: киберпреступники могут использовать их как средство разведки и давления. Anonymous Syria Hackers активизировали свою кампанию #OP_IRAN, заявив о взломе иранской платформы электронной коммерции и получив доступ к учетным данным PayPal, именам пользователей, личным адресам электронной почты и паролям, зашифрованным с помощью bcrypt.

Наиболее частым последствием кибератак на организации Ближнего Востока в рассматриваемый период стало нарушение основной деятельности (60%).

Несомненно, значительный вклад в эту категорию последствий внесли кибератаки, пришедшиеся на активные фазы конфликта, особенно на первый квартал 2026 года: доля нарушений основной деятельности выросла на 57 п. п. по сравнению с Q4 2025 года.

На втором месте — утечки конфиденциальной информации (44%), отчасти связанные с высокой активностью группировок шифровальщиков, отчасти — с недостаточно высоким уровнем кибергигиены пользователей. На третьей позиции — использование ресурсов для проведения атак (10%). Во многом это связано с массовыми взломами и заражением устройств крупномасштабными ботнетами, чья инфраструктура охватывает множество C2-серверов⁷, распределенных по разным странам.

Вывод из строя ресурсов организаций характерен для хактивистов, они могут преследовать сразу несколько целей: остановить работу как можно большего числа объектов, с максимальной оглаской заявить о своей позиции, оказать психологическое давление на власти и население, укрепить свой авторитет в киберпреступном сообществе.

Способом нарушения основной деятельности, часто используемым в ходе конфликта, является дефейс веб-сайтов — замена главной страницы другими изображениями, часто содержащими политические лозунги, призывы и угрозы. В первом квартале 2026 года группировки Cyber Islamic Resistance и 313 Team совместно заявили о взломе веб-сайта одного из саудовских университетов, в результате чего на главной странице была размещена фирменная символика обеих организаций.

Однако среди массовых DDoS-атак на менее защищенные организации встречались и серьезные воздействия, затрагивающие объекты КИИ. Так, группировка NoName057(16) заявила, что использование ее собственного набора для реализации DDoS под названием DDoSia Project позволило получить полный доступ к израильской системе управления промышленными насосами и вывести из строя «важную часть критической инфраструктуры Израиля за пару минут».

В ходе обострения геополитических конфликтов можно наблюдать использование утечек как инструмента психологического давления: данные публикуются без требования выкупа, чтобы продемонстрировать уязвимость атакованного объекта. Для финансово мотивированных злоумышленников кража конфиденциальных данных — возможность обогатиться, получив выкуп или продав их на теневом рынке. Стоимость определяется ценностью данных — их уникальностью, объемом, размером пострадавшей компании.

Базы данных

Базы данных могут содержать персональные и учетные данные сотрудников и клиентов, конфиденциальные данные компании. Эту информацию злоумышленники могут использовать для реализации дальнейших кибератак на частных лиц.

Так, за 3000 $ на теневом рынке можно приобрести базу данных, содержащую информацию о 406 000 потенциальных клиентов из ОАЭ, собранную в ходе рекламных кампаний и содержащую 373 000 уникальных телефонных контактов и 300 000 уникальных почтовых адресов. Эта информация может быть использована злоумышленниками для создания фейковых аккаунтов в соцсетях с целью мошенничества и получения доступа к мобильным банкам.

Утечка персональных данных о гражданах, находящихся в поиске работы, может быть использована злоумышленниками для выдачи себя за легитимных рекрутеров или известные компании, чтобы обманом заставить кандидатов предоставить конфиденциальную информацию или загрузить вредоносное ПО. Например, одно из объявлений в дарквебе за 1000 $ предлагает приобрести информацию о 220 000 соискателей работы в ОАЭ.

После мартовской кибератаки 2025 года на один из крупнейших иранских банков произошла масштабная утечка свыше 12 ТБ данных, содержащих информацию о 42 млн клиентов (их финансовые и идентификационные данные, а также сведения об их месте жительства). Позже группировка Codebreakers опубликовала в дарквебе объявление о продаже этих данных за 42 млн $, детализировав их содержимое. Однако эксперты отмечают, что этот киберинцидент имел, скорее, идеологическую направленность и не был направлен на получение финансовой выгоды.

Доступы

Высокая стоимость доступов связана с тем, что для их получения киберпреступникам требуется больше квалификации, а также с широким спектром вредоносных действий, которые могут быть совершены при получении такого доступа.

50 тыс. $ стоил полный доступ к внутренней сети и системам электронной почты известной международной автомобильной компании в Израиле. Продавец отмечает, что доступ к сети позволяет получить полный контроль над сетевой инфраструктурой компании в Израиле, а электронная почта принадлежит руководству, и через нее можно получить прямой доступ к учетным записям электронной почты руководителей и менеджеров высокого уровня.

За 100 тыс. $ в дарквебе продается доступ к крупной израильской IT-компании, специализирующейся на решениях для цифровых дисплеев в торговых центрах. По данным продавца, доступ включает управление 17 серверами под Windows, удаленный контроль с правами администратора за системами управления, прямой доступ к центральному серверу, управляющему парком дисплеев, позволяющий мгновенно получать и распространять контент, а также высокоскоростное соединение, которое может быть использовано в целях покупателя.

Таким образом, добыча и последующая продажа доступов представляет собой весьма прибыльный бизнес, однако встречаются и случаи раздачи доступов. Как правило, это характерно для хактивистов, стремящихся привлечь внимание общественности, проправительственных группировок, которые могут делиться малоценными доступами для оказания психологического давления, а также для новичков, желающих завоевать авторитет в киберпреступном сообществе.

Среди всех утечек у организаций, помимо категории «другая информация» (37%), преобладали утечки коммерческой тайны (19%) и учетных данных (16%). К «другой информации» в рассматриваемый период относились, в частности, структура директорий внутренней сети одного из ведущих телеком-провайдеров Кувейта, похищенная группировкой вымогателей Kraken, и документы Омана и Марокко, связанные с дипломатическими данными, похищенные APT-группировкой Ashen Lepus, которая реализует целенаправленные атаки на правительственные и дипломатические организации стран Ближнего Востока.

Для периода эскалации конфликта в июне — июле 2025 года была характерна утечка учетных данных (25% и 26% в Q2 и Q3 2025 соответственно), что предположительно связано с разведывательным характером действий киберпреступников.

Сегодня наблюдается широкое распространение ботнетов и увеличение их мощности. По данным компании Akamai, гипермассивные ботнеты генерируют атаки со скоростью более 30 Тбит/с, 14 млрд пакетов в секунду и 300 млн HTTP-запросов в секунду, а киберпреступники используют эти ботнеты для проведения сотен тысяч атак. Заметна эволюция ботнетов: из изолированных кампаний по распространению ВПО они превратились в базовую инфраструктуру, обеспечивающую множество форм киберпреступной деятельности. Многие кампании с использованием ботнетов затронули страны Ближнего Востока.

В июле 2025 года специалисты FortiGuard Labs обнаружили новую активность ботнета, эксплуатирующего уязвимости в сетевых устройствах. Эксперты идентифицировали скрипты-загрузчики для нескольких устройств, на которые нацелился ботнет, включая Asus, Vivo, Zyxel и Realtek. Вредоносный код загружал вредоносное ПО и майнер XMRig. Атаки были нацелены на несколько стран, в том числе на Израиль. В октябре 2025 года во время масштабного сбоя AWS появился новый ботнет ShadowV2, основанный на Mirai, который атаковал IoT-устройства таких производителей, как D-Link, TP-Link и других, используя известные уязвимости. Атаки были зафиксированы в 28 странах и охватывали несколько секторов, включая правительство, технологии, производство и образование.

Помимо ботнетов, киберпреступники могут использовать взломанные веб-сайты. В частности, в августе 2025 года была обнаружена новая массовая кампания ShadowCaptcha, которая использовала более 100 взломанных сайтов WordPress для распространения шифровальщиков, шпионских программ и майнеров криптовалют. Кампания сочетала методы социальной инженерии, использование легитимных системных утилит Windows и многоэтапную доставку вредоносной нагрузки.

На атакуемость стран региона влияют следующие факторы:

1. Геополитические конфликты. Действия в киберпространстве, как правило, отражают события в реальном мире, а обострение международных отношений провоцирует реакцию со стороны политически мотивированных киберпреступников.
2.  Мощь экономики стран, численность и платежеспособность населения. Наличие крупных компаний, деятельность которых цифровизирована, увеличивает поверхность атаки и делает их перспективными объектами для группировок вымогателей, стремящихся получить денежный выкуп. Чем выше численность населения, тем больше возможных жертв киберпреступников, а обеспеченность населения часто выражается в большем количестве устройств на человека, что увеличивает поверхность атаки.
3. Число критически важных объектов, относящихся к КИИ, жизнеобеспечению населения или отраслям, вносящим наибольший вклад в ВВП страны. Такие объекты привлекательны для всех типов киберпреступников.
   Для ряда стран Ближнего Востока объектами КИИ и одновременно объектами, значимыми для ВВП, выступают нефтеперерабатывающие заводы (так, в Катаре порядка 60% ВВП страны приходится на нефтегазовый сектор, в Саудовской Аравии — около 46%). К объектам жизнеобеспечения населения относятся опреснительные станции (только Саудовская Аравия производит около 20% общего объема опресненной воды в мире, управляя примерно 30 опреснительными станциями) и объекты водоснабжения, поскольку Ближний Восток испытывает критический дефицит пресных водных ресурсов.
4. Использование новых технологий. Внедрение новых технологий, как правило, опережает принятие адекватных мер кибербезопасности. Это общемировая проблема, однако для злоумышленников более перспективными будут те страны, в которых внедрение технологий идет более быстрыми темпами.

За рассматриваемый период наиболее атакуемыми странами Ближнего Востока оказались Израиль (33%), Саудовская Аравия (12%) и ОАЭ (11%). Доля успешных кибератак на Катар, Кувейт и Кипр приблизилась к лидерам только в первом квартале 2026 года в связи с обострением геополитической обстановки в регионе.

Говоря о конфликте на Ближнем Востоке, необходимо изучить и ландшафт киберугроз Ирана, несмотря на то что страна не вошла в топ-3 атакуемых. Предположительно это связано с непубличностью успешных инцидентов.

Для Израиля значительный вклад в долю кибератак, предположительно, внесли периоды обострения его отношений с Ираном. Информация о кибератаках часто поступает в сеть позже фактического времени их реализации, возможно, с этим связан всплеск числа атак в Q3 2025.

Пик атак на Саудовскую Аравию (26%) пришелся на второй квартал 2025 года. В стране действовала группировка вымогателей Ralord, ее жертвой стала крупная компания, работающая в сфере проектирования строительства и эксплуатации объектов водной инфраструктуры. В результате инцидента были украдены конфиденциальные данные компании, включая финансовую информацию, конфиденциальные документы и отчеты, резервные копии и данные конфигураций. Также организации Саудовской Аравии и многих других стран стали жертвой группировки вымогателей Cl0p, в частности пострадал крупнейший официальный дилер General Motors и GAC Motor.

Пик атак на ОАЭ (37%) пришелся на четвертый квартал 2025 года и характеризовался активными действиями вымогательских группировок. В частности, группировка Coinbase Cartel атаковала системы сразу нескольких организаций страны, преимущественно работающих в секторе продажи недвижимости.

В конце января 2026 года Национальное управление кибербезопасности Израиля сообщило, что в 2025 году Израиль подвергся более чем 26 000 кибератак — это на 55% больше, чем в 2024 году. По нашим данным, наибольший вклад в ландшафт киберугроз внес Q1 2026: на него пришлось свыше половины (56%) всех киберинцидентов, затронувших Израиль, что связано с активизацией хактивистов на фоне обострения военного конфликта.

Топ-3 атакуемых отраслей Израиля за весь рассматриваемый период такой: 22% — промышленность, 16% — госучреждения, по 9% — IT и транспорт.

Промышленность оставалась в лидерах как в период Q2—Q4 2025 (с долями 20%, 8% и 33%), так и в первом квартале 2026 года (с долей 26%), существенно перераспределившем категории жертв.

Одним из наиболее опасных инцидентов в промышленной отрасли Израиля в Q1 2026 мог стать взлом систем, связанных с ядерным реактором в Димоне, группировкой CARDINAL. Группировка опубликовала скриншоты интерфейса мониторинга, предположительно подключенного к реактору. В своем заявлении нарушители утверждали, что им удалось получить полный контроль над пятью ключевыми секторами ядерного исследовательского центра и что они, в частности, могут переместить стержни реактора, вывести из строя систему охлаждения, заставив ее функционировать на пределе, полностью перехватить управление одним из реакторов.

Госучреждения вышли в тройку лидеров за счет периодов эскалации конфликта: в Q2 2025 доля атак на госучреждения составила 20%, в Q1 2026 — 26%. Аналогичная ситуация с объектами транспортной отрасли: статистически значимые показатели наблюдались только в Q2 2025 (20% от всех атак) и в Q1 2026 (13%). DDoS-атакам подверглись среди прочих крупный автобусный оператор Израиля и компании, занимающиеся железнодорожной инфраструктурой.

IT-компании на протяжении трех кварталов 2025 года оставались в лидерах по числу инцидентов (20%, 23% и 17% соответственно), в Q1 2026 их доля статистически малозначима. Израильские технологические компании — значимые игроки мировой IT-экосистемы в силу их работы с глобальными партнерами и тесной интеграции с международными цепочками поставок. Данные израильских IT-компаний высоко ценятся на теневом рынке: так, за 340 475 $ в дарквебе продается доступ к набору данных израильского гиганта кибербезопасности. За эти деньги можно получить карты внутренней сети и архитектурные схемы, учетные данные пользователей, контактные данные сотрудников, проектную документацию, исходный код и бинарные файлы конфиденциального программного обеспечения.

За счет вклада Q1 2026 DDoS-атаки с долей 51% вышли на первое место среди других методов атак.

В квартальной динамике виден огромный скачок в числе DDoS-атак в Q1 2026 — с 8% до 84%, чаще всего в этот период киберпреступники выводили из строя госучреждения (31%) и промышленные организации (27%).

Доли использования ВПО и эксплуатации уязвимостей довольно близки (29% и 27% соответственно), что говорит, с одной стороны, о наблюдающемся и для Израиля мировом тренде на использование вредоносных программ, а с другой стороны — о недостаточной защищенности цифровой инфраструктуры. Среди категорий ВПО преобладают программы-вымогатели (30%) — предположительно в силу того, что они позволяют злоумышленникам разных категорий добиваться своих целей.

Последствия кибератак на Израиль напрямую коррелируют с методами их реализации: вследствие выросшей доли DDoS-атак преобладает категория последствий «нарушение основной деятельности» (56% за весь рассматриваемый период), а утечки конфиденциальной информации (25%) являются результатом атак группировок вымогателей. Использование ресурсов для проведения атак может быть связано с использованием устаревшего ПО и вовлечением IoT-устройств в ботнеты.

Среди атакующих Израиль в первом квартале 2026 года наблюдалась активизация группировок, нацеленных на конкретную отрасль или их совокупность. Так, группировка DarkStormTeam сосредоточилась на атаках на госучреждения (75% DDoS-атак на госучреждения, совершенных в Q1 2026, реализованы ей). Группировка NoName057(16) преимущественно атаковала объекты КИИ. Среди заявленных ими целей в ходе кампании #OpIsrael — основной телеком-провайдер Израиля, израильская компания по производству БПЛА, национальная компания по водоснабжению. Ответственность за атаку на автобусного оператора Израиля также взяла на себя NoName057(16). Сочетание атак на такие критически важные отрасли, как телекоммуникации, транспорт, водоснабжение и оборонная промышленность, показывает стремление группировки нанести максимально серьезный ущерб государству.

Отличается тактика группировки Fearless: в ходе их кампании #OpIsrael целями стали среди прочих нефтяная компания, компания, предоставляющая промышленные и технологические услуги, передовая оборонная фирма и компания, работающая в сфере цифрового маркетинга и онлайн-рекламы. Такой выбор говорит о намеренном смешивании целей, возможно, для достижения максимальной эффективности.

По данным Cyfirma, в 2025 году в Саудовской Аравии наблюдался заметный рост киберпреступности, злоумышленники все чаще атаковали ключевые секторы, включая госучреждения, финансовые услуги, транспорт, судоходство и здравоохранение, что привело к серии утечек данных.

За весь рассматриваемый период больше всего успешных кибератак (35%) пришлось на госучреждения. Вклад в распределение внес преимущественно первый квартал 2026 года: 71% всех атак на организации Саудовской Аравии в Q1 2026 затронул государственные организации. Это стало отражением географического расширения конфликта между Ираном и Израилем и действиями хактивистов, в частности группировки Fearless, реализовавшей DDoS-атаки на веб-сайты госучреждений Саудовской Аравии.

Промышленные объекты составили наибольшую категорию (31%) жертв кибератак за период Q2–Q4 2025. И если в периоды смягчения ближневосточного конфликта в большей степени были заметны действия финансово мотивированных группировок вымогателей, то в Q1 2026 объекты промышленности стали интересны и политически мотивированным киберпреступникам.

От атак вымогателей пострадали компании из нефтегазовой, инженерной и строительной отраслей.

Относительно высокая доля атак на торговые организации Саудовской Аравии связана с цифровой трансформацией отрасли под влиянием программы Saudi Vision 2030: в сфере розничной торговли оперативно внедряются современные инструменты для улучшения операционной деятельности и качества обслуживания клиентов.

Данные, в больших объемах хранящиеся в инфраструктуре торговых организаций, становятся популярным активом на теневом рынке. Так, за 300 $ на одном из дарквеб-форумов автор поста продавал shell-доступ к CRM-системе и базу данных о 17 000 клиентов некоторой компании, занимающейся розничной торговлей продуктами питания.

В другом объявлении за 600 $ продавался доступ администратора к панели управления платформой электронной коммерции на базе Magento, посредством которой можно было получить также сведения о клиентах, заказах и аналитике продаж.

Распределение методов кибератак претерпело незначительные изменения в ходе обострения геополитического конфликта в Q1 2026, влияние эскалации заметно по DDoS-атакам, реализованным преимущественно группировкой Fearless.

Использование ВПО — глобальный тренд, характерный для Саудовской Аравии в силу активной деятельности вымогательских группировок. Исследователи Cyfirma также отмечают резкое увеличение количества инцидентов с программами-вымогателями, причем такие группы, как KillSec, Everest Ransom и Qilin Ransomware, проводили масштабные атаки на организации, базирующиеся в Саудовской Аравии. В Q2 и Q4 2025 в стране были также замечены действия группировок вымогателей RansomEXX (Storm-2460) и Cl0p. По нашим данным, чаще всего злоумышленники похищали данные, составляющие коммерческую тайну (25%) и учетные данные (15%), помимо категории «другая информация», которая составила 40% от общего числа утечек.

В 2025 году ОАЭ заняли второе место по атакуемости на Ближнем Востоке: на их долю пришлось 12% всех региональных кибератак. Высокий уровень цифровизации расширяет поверхность атак, а большое число финансовых потоков, преимущественно циркулирующих в Дубае, привлекает киберпреступников, нацеленных на обогащение.

За весь рассматриваемый период больше всего успешных кибератак (61%) пришлось на организации сферы торговли, что говорит об активности финансово мотивированных киберпреступников. На втором месте с долей в 11% оказались промышленные компании, третье место поделили между собой финансовые организации, IT-компании и организации сферы услуг (по 6%), что также свидетельствует о том, что интересы злоумышленников в ОАЭ лежат в плоскости обогащения. Совокупно эти категории отражают роль страны на Ближнем Востоке: ОАЭ является финансовым центром региона. 

Данные клиентов торговых площадок ОАЭ и доступы к ним часто фигурируют в объявлениях на теневых ресурсах. Среди крупных организаций страны, пострадавших от утечек, — масштабная цифровая платформа, базирующаяся в Дубае и предназначенная для сотрудничества между инфлюенсерами и бизнесом с целью продвижения товаров или услуг. Среди скомпрометированных данных — персональные данные пользователей (имена, даты рождения, возраст, пол, национальность и пр.), номера мобильных телефонов, профили в Instagram⁸, статусы в WhattsApp⁹ и другие.

В атаках на промышленные объекты за весь рассматриваемый период активнее всего участвовали группировки вымогателей. INC Ransom атаковала крупнейшего производителя противопожарного, охранного и защитного оборудования, базирующегося в Дубае. По данным группировки, в их распоряжении оказался 1 ТБ данных: финансовые данные, внутренняя почта, данные отдела кадров, бюджеты, планы стратегического развития и другое.

Однако ирано-израильский конфликт отразился на всем ближневосточном регионе, и часть кибератак первого квартала 2026 года на промышленные организации ОАЭ была мотивирована геополитической ситуацией. Так, хактивистская группировка Handala Hack Team в марте 2026 года взломала нефтяную корпорацию, похитив конфиденциальные данные, включающие секретную финансовую информацию, нефтяные контракты и детали проектов.

13 марта 2026 года от кибератаки пострадала компания по производству нефтепродуктов в Дубае. Атакующие в своем заявлении утверждали, что им удалось взломать системы компании, получить 413 ГБ данных, относящихся к нефтяной инфраструктуре, извлечь информацию о трубопроводах и стратегической инфраструктуре нефтяного сектора. Подтверждением политической мотивации кибератаки послужило заявление киберпреступников о передаче полученных данных соответствующим ячейкам сопротивления для возможного использования при атаках на трубопроводы и инфраструктурные объекты компании. Позже были выложены семплы данных.

Несколько нетипичная картина наблюдается в ОАЭ в части методов кибератак, используемых злоумышленниками. За весь период более чем в половине случаев (в 56%) им удавалось скомпрометировать цепочки поставок или доверенные каналы связи. Предположительно, группировка Coinbase Cartel в первом квартале 2026 года использовала именно эти методы. Выбор киберпреступников может быть связан с высокой цифровизацией бизнеса в ОАЭ, поскольку для развитых компаний характерны автоматизация внутренних процессов, тесная интеграция поставщиков, подрядчиков и партнеров с IT-системами компаний, а также наличие у некоторых поставщиков и доверенных партнеров привилегированного доступа к IT-системам.

Тем не менее использование ВПО и методов социальной инженерии также распространено (44% и 28% соответственно) в силу активности группировок вымогателей. Помимо Coinbase Cartel и INC Ransom, в ОАЭ действуют KillSec, Blacknewas и Medusa.

Активность вымогателей в совокупности с действиями хактивистов в Q1 2026 оказала влияние на последствия кибератак: за весь рассматриваемый период в 94% случаев организации сталкивались с утечкой конфиденциальной информации. Нарушение основной деятельности компаний составило 28% — это совокупный вклад атак вымогателей, в ходе которых функционирование атакованных компаний приостанавливалось, и хактивистов, стремящихся вывести из строя как можно большее число организаций.

По нашим данным, 14% утечек конфиденциальной информации из организаций ОАЭ касались коммерческой тайны, еще 14% — переписки, что косвенно свидетельствует о действиях группировок вымогателей и политически мотивированных групп в стране.

Цифровое развитие Ирана осложнено экономическими санкциями, периодически обостряющейся геополитической напряженностью и необходимостью одновременно противодействовать финансово мотивированным киберпреступникам, проправительственным группировкам и хактивистам. В совокупности эти факторы оказывают значительное влияние на ландшафт киберугроз в стране. На Иран пришлось 9% всех киберинцидентов региона, при этом наибольший вклад внесли периоды обострения конфликтов — Q2 2025 (56% всех успешных кибератак на организации Ирана) и Q1 2026 (38%).

Отраслевая картина ландшафта киберугроз Ирана отличается от региональной: в топ-3 не вошли госучреждения. Это может объясняться закрытостью цифровой среды страны: в Иране есть собственная «национальная сеть», а внутренние сервисы часто отделены от глобального интернета, что делает их менее доступными для внешних кибератак. 

Лидируют по числу киберинцидентов (38%) финансовые организации: для Ирана это не только точки хранения ценной информации, но и стратегически значимые объекты. В качестве противодействия санкциям финансовая система Ирана использует как обычные валюты, так и криптовалюту, что позволяет стране стабилизировать свою экономическую ситуацию.

В периоды эскалации конфликта киберпреступники часто нацеливаются именно на финансовый сектор, стремясь нанести экономический и репутационный ущерб Ирану. Однако в дарквебе встречаются также попытки монетизировать украденные данные и доступы к организациям финансовой отрасли. Например, в феврале 2026 года на одном из теневых форумов появилось объявление о продаже shell-доступа к инфраструктуре иранской финтех-компании c учетной записью SYSTEM (наивысший уровень прав доступа в Windows). Такой доступ позволил бы выполнять любые действия в операционной системе, в том числе открывать защищенные файлы, запускать процессы и службы. Стоимость доступа продавец оценил в 1000 $, указав, что в инфраструктуре более 25 хостов и свыше 120 доменных пользователей.

Организации СМИ, на которые в Иране пришлось 25% успешных кибератак, пользуются доверием широкой аудитории, что делает их привлекательным объектом для кибератак со стороны хактивистов и начинающих киберпреступников. Одной из первых атак на организации СМИ в Q1 2026 стал перехват вещания нескольких иранских государственных телеканалов для показа кадров протестов и сообщений от оппозиционного деятеля, находящегося в изгнании. Предположительно, атака была реализована посредством компрометации спутниковой сети.

Промышленность и телекоммуникации поделили третье место (по 13%), и если в кибератаках на промышленность киберпреступники преследуют различные цели, то в кибератаках на телекоммуникации прослеживается влияние конфликта. Киберпреступники стремятся либо вывести из строя телекоммуникационную инфраструктуру, затруднив координацию военных и коммуникацию граждан, либо продемонстрировать уязвимость критически важных секторов Ирана. Примером такой демонстрации было объявление в дарквебе о раздаче базы данных крупнейшего частного оператора сотовой связи в Иране. Данные содержат 40 млн записей, включая идентификационные номера клиентов, имена, фамилии, адреса и номера домашних телефонов.

Среди методов реализации кибератак за весь рассматриваемый период лидировало использование ВПО (33%), что характерно для Ирана, в отношении которого действуют киберпреступники, использующие вайперы и шпионское ПО, и группировки вымогателей, стремящиеся получить выкуп. При этом использование вайперов за весь рассматриваемый период наблюдалось в половине (50%) случаев.

75% DDoS-атак пришлось на первый квартал 2026 года, что говорит об активной фазе конфликта, характеризующейся массовыми деструктивными воздействиями на инфраструктуру Ирана. Сочетание преобладающих долей кибератак, использующих ВПО, и DDoS-атак объясняет лидирующую категорию последствий атак для иранских организаций: более чем в половине случаев (в 56%) была нарушена их основная деятельность.

Эксплуатация уязвимостей (использовалась в 17% успешных кибератак) является одним из наиболее распространенных методов атак во всем мире, но его эффективность в Иране обусловлена ​​специфическими причинами. Из-за санкций иранские организации испытывают сложности с покупкой лицензий, получением официальной поддержки и быстрым доступом к обновлениям. По этой же причине в стране распространено использование устаревшего ПО и его нелицензионных или модифицированных версий, что увеличивает число уязвимостей в инфраструктуре. 

В условиях текущей геополитической напряженности на Ближнем Востоке целесообразно делать прогноз исходя из двух вариантов развития событий: стабилизации конфликта и его активного продолжения.

1. Вектор кибератак сместится в сторону ключевых отраслей деятельности для каждой страны: IT-компаний для Израиля, промышленности и сферы услуг для Саудовской Аравии, торговли, сферы услуг и промышленности для ОАЭ. Доля кибератак, совершенных финансово мотивированными киберпреступниками, будет превалировать в регионе.
2. Увеличение числа кибератак с использованием генеративного ИИ на организации сервисных секторов экономики. Вклад ряда наиболее богатых стран региона в эти секторы наряду с его ориентированностью на большое число людей создает благоприятные условия для создания дипфейков — ложных фотографий товаров и мест отдыха, видеообзоров, отзывов и т. п.
3. Увеличение в ОАЭ и Саудовской Аравии числа мошеннических схем, направленных на частных лиц, совершающих покупки через соцсети. Предположительно, злоумышленники будут использовать методы кибератак, направленные на мобильные устройства, в сочетании с методами социальной инженерии в силу тенденции к переходу жителей Саудовской Аравии и ОАЭ на мобильные покупки.
4. Увеличение числа кибератак, направленных на нарушение основной деятельности, на веб-сайты магазинов розничной торговли. Тренд на максимально быструю доставку продуктов порождает высокую конкуренцию среди продавцов, вследствие чего возможен перенос конкурентной борьбы в киберпространство.
5. Рост числа кибератак на промышленные объекты методом взлома IoT-устройств. В связи с массовым переходом стран Ближнего Востока к углеродно-нейтральной экономике следует ожидать нового витка цифровизации промышленности, в частности энергетического сектора. Цифровая трансформация часто сопровождается широким внедрением IoT-устройств, ИИ-решений и использованием облачных технологий, что увеличивает поверхность атаки.
6. Увеличение доли кибератак с использованием шпионского ПО, особенно на иранские организации. Резкая эскалация конфликта требует от противодействующих стран готовности к быстрому реагированию и нанесению таргетированных точных киберударов, чему способствует накопление данных о значимой инфраструктуре страны и аффилированных с ней лицах.
   Вместе с тем такие атаки будут характерны и для других стран. Новая промышленная идентичность Ближнего Востока и переход к высокотехнологичным отраслям (квантовым и биотехнологиям) может стимулировать интерес других стран с активно развивающейся экономикой. В связи с этим целью кибератак могут стать новые технологии, секреты производства, ноу-хау, патенты и прочие документы, сопровождающие создание инновационных решений.
7. Курс на суверенный ИИ и локализацию ЦОД и данных внутри стран, характерный для региона, может быть негативно воспринят со стороны заинтересованных стран, экспортирующих аппаратное обеспечение, процессоры и комплектующие. В этих условиях можно ожидать периодических кибератак, направленных на вывод ЦОД из строя.
8. В связи с активным созданием и обучением ИИ-моделей для арабского языка можно ожидать их использования злоумышленниками для реализации более реалистичных и таргетированных атак методами социальной инженерии внутри региона. С другой стороны, следует также ожидать действий, направленных на поиск недостатков и предвзятостей в обученных арабских ИИ-моделях, что поставит под угрозу инфраструктуру объектов, где эти модели внедрены.

1. Увеличение числа сложных таргетированных кибератак на критически важные объекты со стороны квалифицированных политически мотивированных киберпреступников. Для стран Ближнего Востока такими объектами в первую очередь могут быть системы опреснения и водоснабжения, а также нефтегазовые объекты. Предположительно, цель атак будет преимущественно состоять в перехвате управления системой. Также следует ожидать увеличения числа кибератак на организации оборонной отрасли — как с целью раскрытия конфиденциальных данных, так и с целью ослабления противодействующей страны в части вооружения.
2. Сохранение высокой доли DDoS-атак в регионе, затрагивающих различные отрасли. Это предположение связано с активизацией хактивистов, стремящихся атаковать любые слабозащищенные организации для максимальной огласки своей деятельности.
3. Увеличение числа кибератак на спутниковые системы (взлом наземных станций, атаки на управляющее ПО) как на стратегический объект, позволяющих раскрыть значимые навигационные данные или подменить их, препятствуя проведению военных операций.
4. Активное использование генеративного ИИ для дезинформации и оказания психологического давления: дипфейки становятся все более реалистичными, что делает кибератаки методом социальной инженерии эффективнее, играя на руку киберпреступникам, заинтересованным в оказании влияния на развитие конфликта. Следует ожидать активизации группировок, действующих в интересах правительства Ирана, и более широкое использование ими техник ИИ для фишинга.
5. В ходе ирано-израильского противостояния может и дальше наблюдаться географическое расширение кибератак, которые будут затрагивать значимые инфраструктурные объекты других стран региона. Вместе с этим следует ожидать увеличения доли кибератак на иранские организации, преимущественно на КИИ и организации СМИ.
6. В дарквебе следует ожидать спекуляций с базами данных — искусственное создание спроса и повышение цен на данные, полученные до обострения конфликта, и выдача их за новые.

Независимо от того, как будет развиваться конфликт на Ближнем Востоке, рекомендации по кибербезопасности должны учитывать текущие мировые тренды киберугроз и специфику региона.

1. В условиях периодически обостряющейся геополитической напряженности особенное внимание должно быть сосредоточено на объектах, значимых для устойчивого функционирования КИИ, обеспечения жизнедеятельности населения и играющих важную роль в ВВП страны. Для них должны быть реализованы непрерывный мониторинг киберугроз и проактивная защита, например с использованием решений класса incident management, включая SIEM. Регулярное формирование и обновление списка недопустимых событий с учетом прошлых успешных кибератак, выделение наиболее ценных ресурсов и концентрация усилий по защите на них позволят повысить уровень защищенности.
2. Кибератаки с использованием ВПО — глобальный тренд, массово используемый киберпреступниками для достижения различных целей независимо от геополитической ситуации. Для защиты инфраструктуры значимых организаций и промышленных объектов необходимо сосредоточиться на защите сетевого периметра, а также на каналах доставки ВПО в инфраструктуру организаций, наиболее распространенным из которых является электронная почта.
3. Учитывая цифровую трансформацию региона, необходимо сосредоточиться на предотвращении киберугроз еще на стадии разработки ПО. Решения класса application inspector, используемые для статического анализа исходного кода, позволят выявить возможные уязвимости и дефекты до внедрения программного решения, а средства динамического анализа обеспечат устранение уязвимостей на этапе тестирования и доставки ПО.
4. Решения по обнаружению кибератак на ранней стадии, основанные на анализе сетевого трафика промышленных протоколов, могут существенно повысить уровень защиты многих критически важных объектов региона, характеризующегося высокой степенью цифровизации промышленной инфраструктуры.
5. Набирающее обороты использование генеративного ИИ для реализации кибератак требует сосредоточиться на создании решений для выявления дипфейков и на разработке обучающих программ для населения.
6. Цифровизация промышленной инфраструктуры увеличила поверхность атак для злоумышленников, что потребовало перехода к архитектурам нулевого доверия и решениям, ориентированным на защиту КИИ. Ключевой технической задачей является интеграция современных решений безопасности с устаревшими системами и уже функционирующими промышленными средами. В этих условиях рекомендуется регулярное проведение кибериспытаний с участием квалифицированных специалистов для выявления типовых угроз.