В течение первого квартала 2026 года эксперты ПМ проводили комплексный мониторинг информационного пространства, направленный на выявление актуальных угроз и тенденций в сфере информационной безопасности.
Специалисты собрали и проанализировали сведения о наиболее распространённых схемах атак, используемых злоумышленниками, обнаруженных уязвимостях в программном обеспечении, активности вредоносного ПО, инцидентах, связанных с утечками данных.
Критические уязвимости
Fortinet
CVE-2026-24858 FortiOS/FortiAnalyzer/FortiManager CVSS: 9.8
Обход аутентификации SSO
Уязвимость позволяет неаутентифицированному удалённому атакующему обойти аутентификацию FortiCloud SSO и получить административный доступ к устройствам Fortinet.
CVE-2026-21643 FortiClientEMS CVSS: 9.8
SQL-инъекция без аутентификации
SQL-инъекция в Fortinet FortiClientEMS позволяет неаутентифицированному атакующему выполнить произвольный код через специально сформированные HTTP-запросы.
Cisco
CVE-2026-20127 Catalyst SD-WAN Manager/Controller CVSS: 10.0
Неправильная аутентификация
Успешная эксплуатация может позволить злоумышленнику получить доступ к контроллеру под внутренней учетной записью пользователя с высокими привилегиями, не являющегося root.
CVE-2026-20131 Secure Firewall Management Center CVSS: 10.0
RCE через десериализацию Java
Уязвимость в веб-интерфейсе управления Cisco FMC позволяет неаутентифицированному атакующему выполнить произвольный Java-код с привилегиями root через отправку специально сформированного сериализованного объекта.
Zabbix
CVE-2025-27237 Zabbix Agent CVSS: 7.3
Локальное повышение привилегий
Файл конфигурации OpenSSL загружается из пути, доступного для записи пользователями с низкими привилегиями, что позволяет вносить вредоносные изменения и потенциально повышать локальные привилегии путем внедрения DLL-файла.
CVE-2026-23921 Zabbix CVSS: 8.7
SQL-инъекция без аутентификации через API
Пользователь с минимальными привилегиями и доступом к API может эксплуатировать SQL-инъекцию через параметр sortfield в CApiService.php, извлекая произвольные данные из БД, включая сессионные идентификаторы администраторов.
Mozilla
CVE-2026-0881 Firefox/Thunderbird CVSS: 10.0
Sandbox Escape в компоненте Messaging System
Выход из песочницы через компонент Messaging System в Firefox и Thunderbird. Позволяет удалённому атакующему выполнить произвольный код за пределами изолированной среды.
Microsoft
CVE-2026-26137 Exchange/365 Copilot CVSS: 9.9
SSRF с возможностью повышения привилегий
SSRF-уязвимость в Microsoft Exchange позволяет авторизованному атакующему повысить привилегии по сети, получить доступ к внутренним ресурсам и обойти средства контроля.
Microsoft
CVE-2026-25177 Windows 10/Windows 11/Windows Server CVSS: 8.8
EoP через некорректное ограничение имён ресурсов
Уязвимость в Active Directory Domain Services позволяет авторизованному атакующему с низкими привилегиями повысить их до уровня доменного администратора через манипуляции с именами ресурсов (SPN/UPN) с использованием Unicode.
Notepad++
CVE-2026-25926 Notepad++ CVSS: 7.3
RCE через Untrusted Search Path
Уязвимость возникает из-за некорректного вызова Windows Explorer без указания абсолютного пути. Злоумышленник может разместить вредоносный файл explorer.exe в рабочем каталоге приложения, что приведёт к выполнению произвольного кода с правами текущего пользователя при попытке открыть папку из интерфейса редактора.
Citrix
CVE-2026-3055 NetScaler Gateway CVSS: 9.3
Memory Overread при работе в режиме SAML IdP
Недостаточная проверка входных данных в NetScaler ADC и NetScaler Gateway при настройке в качестве SAML IDP приводит к переполнению памяти при чтении и позволяет неавторизованному злоумышленнику получить доступ к конфиденциальным данным из оперативной памяти устройства.
Утечки
В первом квартале 2026 года эксперты ПМ зафиксировали утечки данных объёмом 556 747 600 записей.
Статистика демонстрирует современные тренды киберпреступности: фокус сместился с кражи денег напрямую на кражу массивов данных для последующей монетизации.
Доминирование B2C-сектора
Интернет-магазины и сервисы собирают избыточное количество ПДн (ФИО, адреса, телефоны, истории заказов и т.д.). Эти сведения являются основой для массового фишинга и целевых атак.
Критическая уязвимость финансового и госсектора
Оба сектора перешагнули отметку в 100 млн записей. Финансовый сектор демонстрирует малое количество инцидентов при значительном объёме данных. Госсектор: здесь утечки наиболее опасны, так как данные практически невозможно изменить, в отличие от пароля или номера карты, что создаёт долгосрочные риски для граждан.
Образование как «мягкая цель»
Интерес злоумышленников к сфере образования значительно вырос за последний год. Так, в первом квартале текущего года в Сеть утекло почти в 2 раза больше записей, чем за весь 2025 год. Эксперты «Перспективного мониторинга» связывают эту тенденцию с возрастающей цифровизацией сферы образования при невысоких бюджетах на информационную безопасность.
Промышленный сектор
Относительное небольшое количество утекших данных не означает, что промышленность не атакуют. Напротив, здесь атаки носят характер шпионажа или диверсий. Злоумышленникам не нужны миллионы строк с именами рабочих, им важнее дестабилизировать производственные процессы предприятия или получить доступ к АСУ ТП.
Мошеннические схемы
Первый квартал 2026 года ознаменовался рядом новых трендов в мошенничестве, которые стали более скрытными и адаптированными к современным условиям. Мошенники не только продолжили использовать проверенные методы, но и внедрили новые подходы, нацеленные на более глубокое вовлечение жертв в свои схемы.
В начале 2026 года значительно возросло количество фишинговых атак через мессенджеры и фальшивые чаты. Мошенники стали ещё более изощренными, маскируясь под «обновления» сервисов и приложений или предлогами установки VPN-программ. Пользуясь этими легендами, под видом легитимных приложений они распространяют вредоносные программы, что делает их схемы почти неотличимыми от настоящих сервисов.
Праздничные и сезонные схемы
Мошенники активно действовали под эгидой праздников и сезонных событий. В частности, фейковые сборы на помощь и предложения по турпутевкам с предоплатой стали одними из наиболее популярных схем. Подобные мошеннические действия были направлены на эксплуатирование актуальных событий, что делало их ещё более правдоподобными.
Атака на госуслуги и коммунальные платежи
Одной из заметных тенденций в минувшем квартале стала атака на пользователей сервиса «Госуслуги». Мошенники не оставляют попыток завладеть электронными профилями граждан и рассылают фальшивые уведомления о возврате средств за перерасчёт платежей ЖКУ, а также сведения о «налоговых льготах». Эти схемы особенно эффективны, так как жертвы не ожидают подвоха от государственных и муниципальных источников.
Эволюция старых схем
Мошенники актуализировали старые схемы с фальшивыми посылками и финансовыми переводами. Например, возникшие фальшивые «агентства» по оформлению загранпаспортов позволили злоумышленникам манипулировать людьми, предлагая по полной предоплате «быстрое оформление документов». В целом, первые три месяца 2026 года показали, что мошенники продолжают менять свои схемы, адаптируя их к использованию во взаимодействии с новыми технологиями и информационными поводами. Эти изменения делают мошенничество не только более сложным для обнаружения, но и гораздо более опасным для обычных пользователей, которые привыкли доверять цифровым платформам.
Киберугрозы
Наиболее используемые TTPs в I квартале 2026 года — от первичного доступа через фишинг до деструктивного воздействия шифровальщикам и DDoS:
-
доставка через вложения;
-
запуск вредоносных исполняемых файлов и PS-скриптов;
-
шифрование данных;
-
уничтожение инфраструктуры и массовые DDoS-атаки.
ВПО
Злоумышленники активно используют ransomware, RAT-инструменты и деструктивное ВПО для шифрования, кражи данных и разрушения инфраструктуры. Основной вектор атак в первом квартале пришёлся на фишинговые кампании и эксплуатацию публичных сервисов.
LockBit 3.0
Ransomware-as-a-Service для шифрования данных госорганов, банков и ритейла. Перед шифрованием происходит эксфильтрация данных в облачное хранилище для вымогательства. Удаляет теневые копии и бэкапы, делая восстановление невозможным без выкупа. Применяется группировками DarkGaboon и Crypto Ghouls.
Babuk
Шифровальщик, специализирующийся на Linux/ESXi-серверах. Работает в связке с LockBit: Babuk уничтожает виртуализацию, LockBit обрабатывает Windows-сегмент. Используется Crypto Ghouls для максимального охвата инфраструктуры жертвы.
DarkWatchman
JavaScript-троян удалённого доступа с функциями keylogging и сбора данных. Закрепляется через реестр Windows и запланированные задачи. Доставляется фишинговыми вложениями группировкой Hive0117, служит плацдармом для последующего развёртывания ransomware.
Covenant Grunt
.NET-агент для скрытого управления через облачные сервисы и HTTPS. Обеспечивает lateral movement через RDP, дамп учётных данных из LSASS и обход сетевых фильтров за счёт использования легитимных облачных платформ в качестве C2.
Wipers
Деструктивное ВПО для необратимого уничтожения данных и инфраструктуры. Применяется хактивистами и APT-группами, часто в комбинации с отключением средств защиты и удалением резервных копий.
DDoS-тулкиты
Инструментарий для массовых атак на отказ в обслуживании телекоммуникационных и государственных ресурсов. Используется структурами IT Army и Кибер-АТЕШ, дополняется дефейсом веб-сайтов для информационного воздействия.
Custom RATs
Кастомные трояны для заражения мобильных устройств через поддельные порталы. Автоматизируют сбор данных Python-скриптами и используют скомпрометированные учётные записи для расширения доступа.