Количество нового вредоносного ПО выросло на 38% за год — отчёт Positive Technologies
Специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies обнаружили 808 уникальных образцов вредоносного программного обеспечения, связанных с деятельностью 11 хакерских группировок.
Как сообщается в отчёте компании, в первом квартале 2026 года число новых образцов ВПО выросло на 38% по сравнению с аналогичным периодом прошлого года. Особенно заметен рост к концу квартала: в январе было зафиксировано 117 новых образцов, в феврале — 283, а в марте уже 408.
Главной жертвой киберпреступников остаётся правительственный сектор — на него пришлось почти 18% всех инцидентов. Далее следуют финансовый сектор (9,82%), организации гражданского общества (9,82%) и производственные предприятия (8,04%). Почти три четверти (около 72%) всех новых вредоносных программ создали четыре наиболее активные группировки: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117, сообщает Хабр.
Rare Werewolf скрытно устанавливала на компьютеры жертв легальную программу удалённого доступа AnyDesk, а затем подключалась к ней. Вспомогательный скрипт автоматически нажимал кнопки в окнах предупреждений системы безопасности Windows, не давая пользователю отклонить запуск. PhaseShifters проводила фишинговые атаки на авиационную и оборонную промышленность: жертвам рассылали письма, после открытия которых на компьютер попадал троян Remcos, дающий хакерам полный контроль над устройством. PhantomCore рассылала фишинговые письма с вложениями-ярлыками Windows (LNK), которые запускали вредоносный PowerShell-скрипт. Hive0117 атаковала бухгалтерские подразделения компаний с помощью трояна DarkWatchman, который перехватывал нажатия клавиш; этот же зловред удалял точки восстановления Windows, чтобы жертва не смогла откатить систему до заражения.
Среди прочих техник, которые используют хакеры, специалисты отмечают создание вредоносных программ с помощью ИИ (в коде встречаются шаблонные названия переменных и избыточные комментарии на английском), сокрытие скриптов в реестре Windows для затруднения обнаружения, использование уязвимости Microsoft Office CVE-2026-21509, рассылку документов с макросами под видом кадровых анкет, а также использование легитимных облачных сервисов (GitHub, Firebase, Bitbucket) для хранения вредоносного ПО и управления атаками.