Хакеры запросили у российской финансовой компании рекордные 304 млн рублей выкупа

Российские компании в 2026 году стали реже сталкиваться с программами-вымогателями, но атаки не стали менее опасными. За январь-май эксперты F6 выявили более 220 инцидентов, а рекордный первоначальный запрос злоумышленников достиг $3,8 млн, или 304 млн руб.

По сравнению с аналогичным периодом 2025 года общее число атак с использованием программ-вымогателей снизилось на 20%. До 2026 года динамика была обратной: на протяжении четырех лет специалисты фиксировали ежегодный рост активности вымогательских группировок.

F6 допускает, что снижение связано с заметным спадом атак со стороны группировок ближневосточного происхождения. При этом активность проукраинских хакерских объединений, напротив, выросла более чем на 10%.

Главным мотивом злоумышленников в 2026 году остаются деньги. В 82% инцидентов преступники требовали выкуп, а в 18% случаев пытались разрушить инфраструктуру и нанести российским организациям максимальный ущерб.

Среди проукраинских группировок наибольшую активность показали Bearlyfy, hacking_cat, PadLock, 3119/SHMX, Sent1nel и AyazL0CKER. Bearlyfy провела не менее 25 атак, hacking_cat - не менее семи, PadLock - не менее пяти, 3119/SHMX - не менее четырех, Sent1nel и AyazL0CKER - не менее трех каждая.

Среди группировок, которые F6 относит к восточным, против российских компаний активнее других действовали Proton/Shinra, C77L, Sauron, Mimic/Pay2Key и BlackFL.

Самый крупный первоначальный выкуп в 2026 году запросила Bearlyfy у компании из финансовой сферы. Группировка потребовала 304 млн руб., или $3,8 млн, за расшифровку данных. Сумма оказалась на 24% ниже рекорда 2025 года, когда CyberSec’s потребовала 50 BTC, около 500 млн руб. на момент атаки.

Средние требования вымогателей к российским предприятиям остались на уровне прошлого года и составили от $50 тыс. до $300 тыс. В отдельных случаях атакованные компании смогли снизить сумму на 30-50%, поскольку преступники изначально завышали запросы и были готовы торговаться ради получения денег. По данным F6, в 8% случаев организации соглашались заплатить.

Малый и средний бизнес чаще атаковали ради прямого выкупа. Среди наиболее активных группировок в этом сегменте F6 называет Proton/Shinra, Mimic/Pay2Key, C77L, Sauron, BlackHunt/BlackFL, Salted2020, VoidCrypt, DCHelp, room155, Bobcat и Proxima/BlackShadow. Средний размер требований к небольшим и средним компаниям составил от $3 тыс. до $50 тыс.

В F6 отмечают, что под угрозой атак вымогателей в России находится каждая компания, включая малый бизнес. По словам экспертов, небольшие организации обычно взламывают ради денег, а при атаках на средний и крупный бизнес преступники учитывают сферу деятельности: если взлом не вызовет широкого резонанса, группировка потребует выкуп, а при связи компании с госсектором злоумышленники, скорее всего, попытаются похитить данные и разрушить инфраструктуру.