Развитие информационных угроз в первом квартале 2026 года. Статистика по ПК

Развитие информационных угроз в первом квартале 2026 года. Статистика по ПК
Развитие информационных угроз в первом квартале 2026 года. Мобильная статистика

Статистика в этом отчете основана на детектирующих вердиктах продуктов «Лаборатории Касперского», если не указано иное. Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

В первом квартале 2026 года:

• решения «Лаборатории Касперского» отразили более 343 миллионов атак с различных интернет-ресурсов;
• веб-антивирус среагировал на 50 миллионов уникальных ссылок;
• файловый антивирус заблокировал более 15 миллионов вредоносных и потенциально нежелательных объектов;
• было обнаружено 2938 новых модификаций шифровальщиков;
• более 77 тысяч пользователей столкнулись с атаками шифровальщиков;
• 14% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (Data Leak Site) группировок, пострадали от Clop;
• более 260 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

В январе 2026 года появилась информация о том, что ФБР взяло под контроль домены киберпреступного форума RAMP — крупной платформы, широко используемой создателями шифровальщиков для рекламы своих программ RaaS и поиска партнеров. Официального заявления бюро по этому поводу не было, а также неизвестно, были ли физически изъяты серверы, на которых размещался форум. Один из администраторов RAMP в посте на стороннем ресурсе упомянул, что «правоохранительные органы получили контроль над форумом». Это нарушило работу ключевого элемента экосистемы RaaS, повлияв на деятельность создателей вымогательского ПО, партнеров и брокеров первоначального доступа.

В феврале подозреваемый в связях с группировкой Phobos был задержан в Польше. Задержанному было предъявлено обвинение в создании, приобретении и распространении компьютерных программ, используемых для незаконного получения информации, включая данные, обеспечивающие несанкционированный доступ к информации, хранящейся в компьютерной системе.

В марте администратор шифровальщика Phobos признал вину в создании и распространении троянца, который был использован в международных атаках начиная по крайней мере с ноября 2020 года.

Министерство юстиции США в марте предъявило обвинения лицу, выступавшему переговорщиком с вымогательскими группировками. Фирма, в которой он работал, специализируется на исследовании компьютерных инцидентов. Обвинение утверждает, что подозреваемый тайно вступил в сговор с группировкой BlackCat и делился с вымогателями конфиденциальной информацией о текущем ходе переговоров. Кроме того, утверждается, что обвиняемый ранее напрямую участвовал в атаках BlackCat, выступая в роли партнера RaaS.

Также в марте брокер первоначального доступа, связанный с группировкой Yanluowang, был приговорен к 81 месяцу лишения свободы в США. По данным Министерства юстиции США, осужденный способствовал проведению десятков атак программ-вымогателей по всей территории США, причинив фактический ущерб на сумму более 9 миллионов долларов и преднамеренный ущерб на сумму более 24 миллионов долларов.

Уязвимости и атаки

Группа Interlock активно эксплуатировала уязвимость нулевого дня CVE-2026-20131 в ПО для управления межсетевыми экранами Cisco Secure FMC начиная по крайней мере с 26 января 2026 года. Уязвимость позволяла запускать на эксплуатируемом устройстве произвольный Java-код с root-привилегиями. Эта кампания демонстрирует продолжающееся использование уязвимостей нулевого дня для первоначального доступа, фокус на сетевых устройствах как на особо ценных точках входа, а также быстрое внедрение новых уязвимостей в арсенал вымогательских группировок.

Наиболее активные группировки

В этом разделе приводятся данные о наиболее активных вымогательских группах по количеству жертв, добавленных на их DLS (Data Leak Site). В этом квартале в TOP вернулся шифровальщик Clop (14,42%), сместив с первого места группу Qilin (12,34%), которая занимала эту строчку в предыдущем отчетном периоде. Далее следует новая группа The Gentlemen (9,25%) — она появилась не позднее июля 2025 года и уже оказалась активнее регулярно встречающихся нам групп Akira (7,25%) и INC Ransom (6,13%).

Доля жертв конкретной группы (по данным ее сайта DLS) среди всех жертв всех групп, опубликованных на всех рассмотренных сайтах DLS за отчетный период (скачать)

Количество новых модификаций

В первом квартале решения «Лаборатории Касперского» обнаружили шесть новых семейств шифровальщиков и 2938 новых модификаций. Их количество вернулось к показателям третьего квартала 2025 года после всплеска в прошлом квартале.

Количество новых модификаций шифровальщиков, Q1 2025 — Q1 2026 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

За квартал наши решения защитили 77 319 уникальных пользователей от шифровальщиков. Мы наблюдали наибольшую активность вымогателей в марте: в этом месяце 35 056 пользователей столкнулись с подобными атаками.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q1 2026 (download)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

* Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

В первом квартале 2026 года решения «Лаборатории Касперского» обнаружили 3485 новых модификаций майнеров.

Количество новых модификаций майнеров, Q1 2026 (скачать)

Количество пользователей, атакованных майнерами

В первом квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 260 588 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q1 2026 (download)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

В первом квартале Google нашли новую кампанию по краже криптовалюты. Злоумышленники отправляли пользователю ссылку на поддельный видеозвонок, во время которого якобы возникали проблемы связи, после чего жертве высылали команды для установки вредоносного ПО под видом инструкций для устранения неполадок.

В марте исследователи из GTIG и iVerify сообщили об обнаружении в дикой природе цепочки эксплойтов, нацеленной на устройства под управлением как iOS, так и macOS. Набор эксплойтов, по всей видимости, продавался в даркнете, и использовавшие его злоумышленники имели в своем арсенале шпионское ПО, а также модули, ответственные за кражу криптовалюты. Эксплойт загружался на устройства жертв, когда те открывали веб-сайты разных направленностей. Нам удалось установить, что среди обнаруженных эксплойтов есть обновленная версия одного из компонентов цепочки атаки в «Операции Триангуляция».

Устройства на macOS также были подвержены нашумевшей атаке на цепочку поставок npm-пакета Axios — известного HTTP-клиента для JavaScript. В конечном счете при установке зараженного пакета на macOS-устройства загружался бэкдор.

TOP 20 угроз для macOS

Доля* уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Доля атак шпионов PasivRobber начинает снижаться, уступая место более традиционным рекламным приложениям и ПО класса Monitor, которое способно отслеживать активность пользователя. Также в TOP 20 по-прежнему удерживается популярный стилер Amos.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

* Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Статистика IoT-угроз

В этом разделе приводится статистика атак на IoT-ханипоты «Лаборатории Касперского». Данные о географии источников атак основаны на IP-адресах атакующих устройств.

В первом квартале 2026 года заметно выросла доля устройств, атакующих ловушки «Лаборатории Касперского» по протоколу SSH, по сравнению с предыдущим отчетным периодом.

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки (download)

При этом в распределении атак по протоколам Telnet и SSH сохранилось соотношение, которое мы наблюдали в четвертом квартале 2025 года.

Распределение рабочих сессий злоумышленников с ловушками «Лаборатории Касперского» (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

Основные изменения в распределении IoT-угроз связаны с активностью различных вариантов ботнета Mirai, хотя представители этого семейства по-прежнему составляют большую часть списка. Кроме того, в рейтинге появился еще один вариант ботнета, Mirai.kl. В первом квартале мы также отмечаем значительное уменьшение активности ботнета NyaDrop.

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH наибольшую долю занимают атаки с территории США, Нидерландов и Германии.

Среди атак по протоколу Telnet наибольшую долю традиционно занимают атаки с территории Китая, а также значительно повысилась доля Пакистана.

Атаки через веб-ресурсы

Статистические данные в этом разделе основаны на детектирующих вердиктах веб-антивируса, который защищает пользователей в момент загрузки подозрительных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Приведенная ниже статистика показывает распределение по странам и территориям источников заблокированных продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-страницы, перенаправляющие на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GeoIP).

В первом квартале 2026 года решения «Лаборатории Касперского» отразили 343 823 407 атак, которые проводились с интернет-ресурсов, размещенных по всему миру. Зафиксировано 49 983 611 уникальных URL, на которые сработал веб-антивирус.

Распределение источников веб-атак по странам и территориям, Q1 2026 (скачать)

Страны и территории, где пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры в разных странах и на разных территориях мира, мы подсчитали для каждой из них долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах и на разных территориях.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 4,73% компьютеров пользователей в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на устройство путем заражения файлов или съемных носителей либо изначально попали на него не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Статистика основана на детектирующих вердиктах модулей OAS (On-Access Scan) и ODS (On-Demand Scan) файлового антивируса. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

В первом квартале 2026 года наш файловый антивирус зафиксировал 15 831 319 вредоносных и потенциально нежелательных объектов.

Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», на чьих устройствах файловый антивирус сработал хотя бы раз за отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение первого квартала локальные угрозы класса Malware были зафиксированы на 11,55% компьютеров пользователей.

Показатель России в этом рейтинге составил 11,92%.