В первом квартале 2026 года специалисты PT ESC TI выявили 808 уникальных образцов вредоносного ПО, связанных с 11 хакерскими группировками. Рост — 38% к аналогичному периоду 2025 года. Динамика внутри квартала ещё красноречивее: 117 образцов в январе, 283 в феврале, 408 в марте. Темп не замедляется.
Контекст
Positive Technologies — один из крупнейших игроков ИБ-рынка СНГ. Их отчёты по threat intelligence — редкий публичный источник по региональному ландшафту угроз. Четыре группировки обеспечили около 72% всего нового зловреда за квартал: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117. Каждая выработала свою специализацию.
Rare Werewolf разворачивает легитимный AnyDesk в системах жертв, а идентификатор подключения передаёт операторам через комментарии на GitHub Gist. Вспомогательный скрипт автоматически нажимает кнопки в окнах безопасности Windows — жертва просто не успевает отклонить запрос. PhaseShifters таргетирует авиационную и оборонную промышленность через фишинг с трояном Remcos: перехват экрана, клавиатурный шпион, полный удалённый доступ. PhantomCore рассылает письма с LNK-ярлыками, запускающими PowerShell. Hive0117 бьёт по бухгалтериям трояном DarkWatchman: перехват нажатий клавиш плюс удаление точек восстановления Windows, чтобы жертва не могла откатить систему.
Главная цель — госсектор (17,86% инцидентов), далее финансы и гражданское общество (по 9,82%), производство (8,04%). Это не случайность: государственные структуры часто работают на устаревшем ПО и медленно применяют патчи.
Аналитика
Самая показательная находка квартала — вредоносный код с маркерами ИИ-генерации: шаблонные имена переменных, избыточные комментарии на английском прямо в теле зловреда. Это значит, что порог входа для создания функционального malware уже упал ниже плинтуса. Раньше кастомный RAT требовал команду; сегодня достаточно промпта и базового понимания техник уклонения от детектирования.
Параллельный тренд — злоупотребление легитимной инфраструктурой: GitHub Gist, Firebase, Bitbucket используются как C2-каналы или хранилища нагрузок. Защитные системы, обученные блокировать «плохие» домены, пропускают трафик к доверенным облачным платформам. Сигнатурная защита теряет смысл, когда инструмент атаки — это тот же GitHub, что у вашей dev-команды.
Эксплуатация CVE-2026-21509 — уязвимости Microsoft Office, раскрытой в январе 2026, — иллюстрирует, насколько мало времени остаётся между публикацией CVE и массовыми атаками. Три месяца — это не окно для патчинга, это щель. Компании, не обновившие Office к марту, встретили уже активно эксплуатируемую уязвимость.
«Одни внедряли вредоносные программы, сгенерированные с помощью ИИ: в коде встречались шаблонные названия переменных и избыточные комментарии на английском» — Денис Казаков, специалист группы киберразведки PT ESC TI
Кейсы применения в бизнесе
B2B-SaaS стартап (10–50 человек). Команда работает удалённо, активно использует GitHub и облачные сервисы — именно такие компании уязвимы перед атаками через легитимные платформы. Первый шаг: провести аудит OAuth-подключений к GitHub и Firebase — кто, когда, с каким доступом. Второй: обязательный MFA на все рабочие аккаунты. Третий: ввести политику проверки вложений в изолированной среде перед открытием. Это 30 минут регламента, но закрывает вектор PhantomCore и PhaseShifters.
Корпорация с legacy-инфраструктурой. Если Microsoft Office не обновлялся с прошлого года — CVE-2026-21509 уже открыта. Патч вышел в январе 2026; проверка занимает минуту. Критически важно: сегментировать бухгалтерские подразделения от общей корпоративной сети — именно их таргетирует Hive0117. Изоляция финансового контура — не паранойя, а базовая сетевая гигиена.
SMB и локальный бизнес в КР/СНГ. У небольших компаний часто нет никакой политики ИБ. Минимальный набор без бюджета: заблокировать макросы в Office по умолчанию, запретить установку ПО без администратора, настроить ежесуточный бэкап в изолированное хранилище. Это занимает час, но защищает от большинства массовых атак.
Кейсы в личной жизни
Разработчик. Rare Werewolf использует GitHub Gist как C2-канал. Если вы открываете gist от незнакомых авторов или запускаете скрипты «из интернета» — вы в группе риска. Привычка читать код перед запуском, даже «очевидного» PowerShell или bash, защищает лучше любого антивируса. Пять секунд чтения против нескольких часов восстановления.
Фрилансер и контент-мейкер. Фишинговые письма маскируются под деловую переписку: «кадровая анкета», «договор», «счёт». Перед открытием любого вложения из незнакомого источника — загрузите файл в онлайн-песочницу. Это занимает 2 минуты и видно сразу, если файл пытается что-то запустить.
Любой пользователь Windows. DarkWatchman первым делом удаляет точки восстановления системы. Проверьте прямо сейчас: включена ли у вас защита системы и история файлов. Настройка занимает 5 минут в параметрах Windows, но при инциденте это разница между «потерял всё» и «откатился за 10 минут».
Как применить сегодня
- Обновите Microsoft Office до актуальной версии — закроете CVE-2026-21509, которую эксплуатируют прямо сейчас.
- Включите MFA на корпоративной почте и GitHub — это останавливает перехват аккаунта, даже если пароль утёк.
- Заблокируйте макросы Office по умолчанию через Trust Center или групповые политики GPO.
- Если используете AnyDesk или TeamViewer — проверьте активные сессии и включите PIN-подтверждение для каждого подключения.
- Проведите 15-минутный ликбез с командой: показать, как выглядит LNK-файл в почте, и объяснить, почему его нельзя открывать.