Ransomware

Современные программы-вымогатели выполняют две основные функции:

1. Шифрование данных: Блокировка доступа к файлам на устройстве или в сети с использованием стойких криптографических алгоритмов.
2. Кража данных: Предварительное копирование конфиденциальной информации перед шифрованием для последующего шантажа.

После успешной атаки злоумышленники выдвигают ультиматум о выплате выкупа, как правило, в криптовалюте, за предоставление ключа для расшифровки и/или за неразглашение похищенных данных.

Ключевые характеристики программ-вымогателей по состоянию на 2024—2025 годы^[6]:

• Стойкое шифрование: Использование надёжных алгоритмов шифрования (например, AES, ChaCha20) для невозможности дешифровки без ключа.
• Доминирование модели RaaS: Большинство атак осуществляется по модели Ransomware-as-a-Service (RaaS), где разработчики предоставляют вредоносное ПО и инфраструктуру «в аренду» другим злоумышленникам (партнёрам)^[7].
• Кросс-платформенность: Разработка версий не только для Windows, но и для Linux и VMware, что позволяет атаковать серверы и облачные среды^[6].
• Продвинутые методы обхода защиты: Применение техник для уклонения от обнаружения, таких как полиморфное шифрование, маскировка под легитимные системные процессы (API-спуфинг) и использование встроенных утилит ОС (концепция Living off the Land)^[7].
• Удаление теневых копий: Автоматическое удаление резервных копий теневых копий тома и других средств восстановления системы для усложнения процесса восстановления данных.
• Низкое качество дешифраторов: Растущая проблема, когда даже после уплаты выкупа жертвы получают неработающие или частично работающие инструменты для расшифровки, что требует дополнительных затрат на восстановление^[8].
• Фокус на критической инфраструктуре: Основными целями становятся организации, для которых простой в работе недопустим: здравоохранение, госучреждения, промышленность и телекоммуникации^[9].

В зависимости от механизма воздействия и способа шантажа выделяют несколько основных моделей:

• Шифровальщики (англ. Crypto-ransomware) — наиболее распространённый тип, шифрующий пользовательские файлы, делая их недоступными.
• Блокировщики (англ. Screen-locker) — блокируют доступ к рабочему столу или операционной системе целиком, не затрагивая сами файлы.
• Двойное вымогательство (англ. Double Extortion) — стандартная для современных атак модель, при которой злоумышленники не только шифруют данные, но и предварительно похищают их, угрожая публикацией в открытом доступе в случае отказа от уплаты выкупа^[10]. Эта тактика пришла на смену более ранним Leakware или Doxware.
• Тройное вымогательство (англ. Triple Extortion) — развитие предыдущей модели, при котором давление оказывается не только на саму жертву, но и на её клиентов, партнёров или сотрудников, к которым обращаются с требованиями или угрозами^[11].
• Scareware (англ. пугающее ПО) — имитируют обнаружение на компьютере несуществующих угроз (например, вирусов) и требуют оплату за их «удаление», оказывая психологическое давление на пользователя.

Первый в истории задокументированный случай атаки с использованием программы-вымогателя произошёл в 1989 году. Вредоносная программа, известная как AIDS Trojan или PC Cyborg, была создана американским биологом, выпускником Гарварда, доктором Джозефом Поппом. Распространение вируса осуществлялось через 20 000 заражённых 5,25-дюймовых дискет с названием «AIDS Information — Introductory Diskette», которые Попп разослал по почте из Лондона подписчикам журнала PC Business World и участникам конференции Всемирной организации здравоохранения (ВОЗ) по СПИДу в Стокгольме^[12].

После 90-й перезагрузки компьютера троян активировался: он скрывал каталоги и шифровал имена всех файлов на диске C:, делая систему непригодной для использования. На экране появлялось требование «продлить лицензию» на программное обеспечение. Для этого жертве предлагалось отправить 189 долларов США за годовую лицензию или 378 долларов за «пожизненную» на адрес почтового ящика в Панаме, принадлежавшего корпорации «PC Cyborg Corp»^[13][14].

Атака, последствия которой проявились в 1990 году, вызвала панику и привела к потере данных в некоторых организациях^[14]. Джозеф Попп был арестован, но в итоге признан психически неспособным предстать перед судом и отправлен на лечение^[15]. Технически троян был устроен просто: он использовал симметричное шифрование, и вскоре были созданы утилиты (AIDSOUT и CLEARAID) для восстановления имён файлов и удаления вируса. Несмотря на примитивность, AIDS Trojan заложил основные принципы действия программ-вымогателей, которые используются и сегодня^[16].

После появления первого вымогателя AIDS Trojan в 1989 году в развитии подобных угроз наступил продолжительный период затишья, длившийся более десяти лет^[17]. Идея шифрования данных с целью выкупа не получила немедленного распространения. Следующим ключевым шагом стала теоретическая разработка концепции «криптовирусного вымогательства», представленная криптографами Адамом Янгом и Моти Юнгом в 1996 году. Они первыми предложили использовать асимметричное шифрование (с открытым и закрытым ключами), что делало восстановление данных без ключа, известного только злоумышленнику, практически невозможным и заложило теоретическую основу для всех современных шифровальщиков^[17].

Первой значительной практической реализацией этих идей стал троян Gpcode, появившийся в декабре 2004 года^[18][19]. В отличие от примитивного AIDS Trojan, Gpcode использовал более совершённые методы шифрования на основе алгоритма RSA и стал одной из первых угроз такого типа, получивших заметное распространение, изначально ориентируясь на бизнес-пользователей в России^[19]. Появление Gpcode и последовавших за ним в середине 2000-х годов атак ознаменовало начало новой эры криптовымогателей^[19].

Период с 2006 по 2012 год характеризовался двумя параллельными тенденциями: с одной стороны, злоумышленники совершенствовали криптографические методы шифровальщиков, с другой — набрали огромную популярность более простые, но массовые программы-блокировщики, ориентированные на психологическое давление и простые способы оплаты^[20].

В 2006 году появились шифровальщики, впервые использовавшие асимметричное шифрование. Одним из самых заметных стал троян Archiveus, который шифровал папку «Мои документы» с помощью алгоритма RSA^[21]. Для получения пароля от жертв требовалось совершать покупки на определённых сайтах интернет-аптек. Однако реализация была слабой, и вскоре эксперты опубликовали единый для всех жертв пароль^[22]. В том же году продолжил развитие Gpcode: в июне появилась его версия Gpcode.AG, использовавшая 660-битный ключ RSA, что значительно усложняло расшифровку^[23].

С 2007 года наступила «золотая эра» программ-блокировщиков (англ. screen-lockers), которые не шифровали файлы, а блокировали доступ к операционной системе, выводя на экран баннер с требованием выкупа^[24]. Самым известным представителем этого семейства стал WinLock, который требовал отправить платное SMS для получения кода разблокировки. В этот же период, в 2007 году, был впервые обнаружен банковский троян Zeus, который в будущем сыграет ключевую роль в распространении шифровальщиков^[25].

В июне 2008 года появилась новая версия Gpcode.ak, которая совершила качественный скачок в сложности, применив стойкий алгоритм шифрования RSA с ключом длиной 1024 бита. Это сделало восстановление данных без ключа злоумышленников практически невозможным^[26]. В 2009 году был изобретён Биткойн, который в последующие годы станет ключевым инструментом для анонимных расчётов с операторами программ-вымогателей^[27].

2010 год стал пиком эпидемии блокировщиков Trojan.Winlock в России и странах СНГ^[28]. В то же время появилась новая версия шифровальщика Gpcode.ax, использовавшая связку алгоритмов RSA-1024 и AES-256 и перезаписывавшая оригинальные файлы, что исключало их восстановление^[23]. В 2011 году злоумышленники усовершенствовали методы монетизации: одна из версий Winlock, нацеленная на зарубежных пользователей, впервые потребовала ввести полные данные банковской карты, включая CVV2 и PIN-код^[29].

Завершением этой эпохи стало появление в 2012 году так называемых «полицейских троянов», самым известным из которых был Reveton. Он блокировал компьютер, отображая на весь экран поддельное уведомление от правоохранительных органов (например, ФБР) с обвинением в незаконной деятельности. Для убедительности на экране отображался IP-адрес жертвы, а иногда активировалась веб-камера^[30]. Выкуп в размере 150—200 долларов требовалось уплатить через анонимные платёжные системы, такие как Ukash или Paysafecard. Reveton считается одним из первых примеров модели RaaS («программа-вымогатель как услуга»)^[31].

2013 год стал поворотным моментом в истории программ-вымогателей, ознаменовав окончательный переход от эпохи блокировщиков к доминированию криптошифровальщиков. Ключевым событием стало появление в сентябре 2013 года трояна CryptoLocker, который установил новый стандарт для кибервымогательства. Он распространялся через заражённые вложения в электронных письмах и с помощью ботнета Gameover ZeuS^[32]. После заражения CryptoLocker использовал стойкое асимметричное шифрование RSA для блокировки файлов на локальных и сетевых дисках, требуя выкуп в биткойнах или через предоплаченные ваучеры. Успех CryptoLocker, операторы которого, по оценкам, получили около 3 миллионов долларов, породил множество подражателей и привёл к лавинообразному росту числа атак шифровальщиков. В том же году были зафиксированы и другие, менее масштабные угрозы, например, шифровальщик ArchiveLock, атаковавший пользователей в Испании и Франции с помощью легального архиватора WinRAR^[33].

В 2014 году доминирование CryptoLocker подошло к концу. В конце мая в ходе международной «Операции Tovar» была ликвидирована инфраструктура ботнета Gameover ZeuS, что серьёзно подорвало возможности распространения вируса^[32]. В августе того же года компании Fox-IT и FireEye получили доступ к базе данных закрытых ключей, что позволило создать онлайн-сервис для бесплатной расшифровки файлов жертв. Освободившуюся нишу быстро занял его более изощрённый преемник — CryptoWall. Появившись в конце 2013 года, к концу 2014-го он стал самой крупной и разрушительной угрозой этого типа^[34]. CryptoWall привнёс важные технические новшества: он использовал анонимную сеть Tor для связи с управляющими серверами и целенаправленно удалял теневые копии тома, чтобы лишить жертв возможности восстановить данные без уплаты выкупа^[35]. Кроме того, 2014 год ознаменовался ростом угроз для мобильных устройств, где доминировали семейства Small и Fusob^[36].

2015 год стал периодом взрывного роста и диверсификации программ-вымогателей. По данным «Лаборатории Касперского», число атакованных пользователей выросло в 1,7 раза, а за год было зафиксировано появление десяти новых семейств шифровальщиков^[37][38]. Угроза расширилась на новые платформы: был обнаружен первый известный вымогатель для операционной системы Linux, а 17 % всех атак пришлось на Android^[37][38]. Злоумышленники всё чаще стали выбирать своей целью корпоративный сектор, на который было направлено около 20 % атак^[37]. Среди наиболее активных семейств этого периода выделялись TeslaCrypt, Troldesh (также известный как Shade) и продолжавший доминировать CryptoWall^[39].

2016 год стал переломным, превратив программы-вымогатели из нишевой угрозы в глобальную эпидемию, затронувшую как обычных пользователей, так и крупные организации. На авансцену вышли несколько особо опасных семейств:

• Locky — появившись в феврале 2016 года, быстро стал одной из самых серьёзных угроз^[40]. Он распространялся через фишинговые письма с вредоносными макросами в документах Microsoft Word и шифровал более 160 типов файлов.
• Cerber — также обнаруженный в начале 2016 года, отличался тем, что зачитывал требование о выкупе вслух^[41]. К июлю 2016 года от него пострадало около 150 000 жертв в 201 стране^[42].
• Petya — появившись в марте 2016 года, атаковал не отдельные файлы, а главную загрузочную запись (MBR) жёсткого диска, что делало невозможной загрузку операционной системы^[43].

Одной из самых громких атак года стало заражение компьютерной сети Голливудского пресвитерианского медицинского центра в Лос-Анджелесе в феврале 2016 года. Деятельность госпиталя была парализована почти на две недели, и в итоге руководство заплатило выкуп в размере 40 биткойнов (около 17 000 долларов на тот момент) для восстановления доступа к данным^[44][45]. В этом же году набрала популярность модель RaaS, примером которой стал вымогатель Dharma^[46]. Общий ущерб от программ-вымогателей в США за 2016 год приблизился к 1 миллиарду долларов.

2017 год вошёл в историю как год беспрецедентных по масштабу глобальных эпидемий, продемонстрировавших способность вредоносного ПО парализовать работу крупных компаний, госучреждений и критической инфраструктуры^[47].

WannaCry

Эпидемия началась 12 мая 2017 года и в кратчайшие сроки распространилась по всему миру, поразив, по разным оценкам, от 200 до 700 тысяч компьютеров в 150 странах^[48]. Ключевой особенностью WannaCry стало использование эксплойта EternalBlue, который эксплуатировал уязвимость в протоколе SMB операционных систем Windows. Этот эксплойт, предположительно разработанный АНБ США и опубликованный хакерской группой The Shadow Brokers, позволял вирусу распространяться по локальным сетям с огромной скоростью без участия пользователей^[47]. Общий финансовый ущерб от атаки оценивается примерно в 4 миллиарда долларов.

NotPetya (ExPetr)

Всего через полтора месяца после WannaCry, в июне 2017 года, мир столкнулся с новой мощной атакой. Изначально она была нацелена на украинские компании и распространялась через скомпрометированное обновление бухгалтерской программы M.E.Doc. Вскоре вирус вышел за пределы Украины, поразив множество международных корпораций. Хотя NotPetya маскировался под программу-вымогателя, его основной целью было уничтожение данных, поэтому его классифицируют как вайпер^[49]. Вредоносная программа шифровала не только файлы, но и главную загрузочную запись (MBR), что делало восстановление системы практически невозможным. Ущерб оказался колоссальным: мировой лидер в области морских перевозок Maersk оценил свои потери в 200—300 миллионов долларов, а логистическая компания FedEx — в 300 миллионов долларов^[49][50].

Bad Rabbit

В октябре 2017 года произошла третья крупная атака с использованием вымогателя Bad Rabbit. Вирус распространялся через заражённые веб-сайты под видом обновления для Adobe Flash Player. Основной удар пришёлся на Россию и страны Восточной Европы. Среди пострадавших оказались российские СМИ, такие как «Интерфакс» и «Фонтанка», а также аэропорт Одессы и Киевский метрополитен^[51].

Помимо этих трёх эпидемий, в 2017 году продолжали свою активность и другие семейства, включая Locky, Cerber, CrySis и Spora^[50].

В 2018 году ландшафт программ-вымогателей претерпел значительные изменения. На смену массовым, но менее изощрённым атакам пришла стратегия, известная как «охота на крупную дичь» (англ. Big Game Hunting), — целенаправленные кампании против крупных организаций, государственных учреждений и критической инфраструктуры^[52]. Несмотря на общее снижение числа атак, их сложность и финансовый ущерб возросли. Яркими примерами этой тактики стали вымогатели Ryuk, появившийся в августе 2018 года и нацеленный на крупные корпорации, и SamSam, который в марте 2018 года парализовал работу городских служб Атланты. Хотя город не заплатил выкуп в 51 000 долларов, затраты на восстановление систем превысили 2,6 миллиона долларов^[53]. В этом же году широкое распространение по модели RaaS получил вымогатель GandCrab^[54]. В конце года атака Ryuk серьёзно нарушила печать нескольких крупных американских газет, включая Los Angeles Times^[55].

В 2019 году эта тенденция усилилась, что привело к резкому росту числа атак на государственный сектор и бизнес^[56]. Пострадали по меньшей мере 174 муниципальные структуры и более 700 организаций в сфере здравоохранения^[57]. Суммы выкупов значительно выросли: средняя выплата в последнем квартале 2019 года составила 84 116 долларов, а два города во Флориде заплатили выкупы в размере 600 000 и 500 000 долларов^[58]. Ключевым нововведением конца 2019 года стало появление тактики «двойного вымогательства» (англ. Double Extortion), впервые применённой операторами программы-вымогателя Maze^[59]. Злоумышленники не только шифровали данные жертвы, но и предварительно похищали их, угрожая опубликовать конфиденциальную информацию в открытом доступе в случае отказа от уплаты выкупа^[59]. Среди наиболее активных группировок выделялись Ryuk, Sodinokibi (также известный как REvil), появившийся после ухода со сцены GandCrab, и сам Maze^[60].

2020 год стал переломным в истории программ-вымогателей, ознаменовавшись значительным ростом числа и сложности атак. Этот год часто называют «годом вымогателей» из-за беспрецедентной активности киберпреступных групп, которые нацеливались на крупный и средний бизнес, а также на критически важные сектора, включая здравоохранение и государственные учреждения^[61]. Пандемия COVID-19 и массовый переход на удалённую работу создали новые уязвимости, которыми активно пользовались злоумышленники^[62].

Главным новшеством года стала тактика «двойного вымогательства» (англ. Double Extortion), впервые применённая группировкой Maze в конце 2019 года и получившая широкое распространение в 2020-м. Злоумышленники не только шифровали данные жертв, но и предварительно похищали их, угрожая публикацией в случае неуплаты выкупа. Это создавало дополнительное давление на компании, так как отказ от уплаты мог привести к репутационному ущербу и штрафам за утечку конфиденциальной информации.

В 2020 году наблюдался колоссальный рост числа атак. По некоторым данным, общее количество атак выросло на 130 % по сравнению с 2019 годом^[63]. Только в США было зафиксировано 2354 атаки на организации государственного сектора, включая 113 правительственных учреждений, 560 учреждений здравоохранения и 1681 учебное заведение^[64]. Операторы программ-вымогателей всё чаще нацеливались на крупные компании, что позволяло требовать огромные суммы выкупа, которые стали исчисляться сотнями тысяч и даже миллионами долларов^[65]. Наиболее заметными и опасными группировками в 2020 году были Maze, REvil, Ryuk, DoppelPaymer, Netwalker и Conti^[65]. На долю Maze, Ryuk и REvil приходилось около 35 % всех атак с использованием программ-вымогателей^[66].

Значимые атаки в 2020 году:

• Travelex (январь): Год начался с масштабной атаки на провайдера обмена валюты Travelex группировкой REvil. Атака парализовала работу компании, заставив отключить сайты в 30 странах. Злоумышленники потребовали выкуп в размере 6 миллионов долларов, утверждая, что похитили 5 ГБ данных клиентов^[67].
• Cognizant (апрель): Одна из крупнейших мировых IT-компаний стала жертвой атаки, что привело к нарушению обслуживания клиентов и финансовым потерям, оцениваемым в десятки миллионов долларов^[67].
• Grubman Shire Meiselas & Sacks (май): Нью-йоркская юридическая фирма, представляющая интересы мировых знаменитостей (Леди Гага, Мадонна, Элтон Джон), была атакована группой REvil. Киберпреступники заявили о краже конфиденциальных данных и удвоили сумму выкупа до 42 миллионов долларов после отказа фирмы платить^[67].
• Garmin (август): Производитель навигационных устройств подвергся атаке, которая серьёзно нарушила работу его сервисов, включая Garmin Connect^[61].
• Сфера здравоохранения: В течение года больницы и медицинские учреждения по всему миру неоднократно становились целями атак. В США только в марте от атак Ryuk пострадали 10 больниц. Атаке подвергся и Калифорнийский университет в Сан-Франциско, занимавшийся разработкой вакцины от COVID-19^[61].
• Другие известные жертвы: Список атакованных в 2020 году компаний также включает Canon, Xerox, LG, Ubisoft, Crytek, Capcom, Mattel, Foxconn и многие другие^[61].

Векторами проникновения чаще всего служили незащищённые подключения к удалённому рабочему столу (RDP) и фишинговые письма^[66]. 2020 год продемонстрировал, что программы-вымогатели превратились в одну из главных угроз кибербезопасности, способную нанести серьёзный ущерб организациям любого размера и отрасли^[66].

2021 год вошёл в историю кибербезопасности как период беспрецедентного роста атак программ-вымогателей, которые отличались своей масштабностью, дерзостью и серьёзными последствиями для критически важной инфраструктуры и крупных корпораций. Только за первое полугодие было зафиксировано 304,6 миллиона атак, что на 151 % превысило общее число за весь 2020 год^[68]. Общий ущерб от атак достиг 20 миллиардов долларов^[69]. Тактика «двойного вымогательства» стала стандартом для ведущих группировок, таких как REvil, DarkSide и Conti^[70]. Модель RaaS процветала, позволяя менее квалифицированным злоумышленникам арендовать вредоносное ПО.

Атака на Colonial Pipeline

7 мая 2021 года произошла одна из самых значимых кибератак в истории США. Хакерская группа DarkSide атаковала Colonial Pipeline, крупнейшего оператора топливных трубопроводов в стране, поставляющего около 45 % всего топлива на Восточное побережье. Злоумышленники похитили около 100 гигабайт данных и зашифровали IT-системы компании^[70]. В результате Colonial Pipeline была вынуждена на пять дней остановить работу всего трубопровода, что спровоцировало топливный кризис, рост цен на бензин и объявление чрезвычайного положения в 17 штатах^[69]. Компания заплатила выкуп в размере 75 биткойнов (около 4,4 миллиона долларов), хотя позже ФБР удалось вернуть часть суммы^[70]. Атака стала возможной из-за скомпрометированной учётной записи для удалённого доступа, которая не была защищена многофакторной аутентификацией^[71].

Атака на JBS Foods

30 мая крупнейший в мире производитель мяса, бразильская компания JBS S.A., подвергся атаке, что привело к остановке работы мясоперерабатывающих заводов в США, Канаде и Австралии^[72]. Ответственность за атаку взяла на себя группировка REvil^[73]. Несмотря на восстановление большинства систем из резервных копий, руководство JBS заплатило выкуп в размере 11 миллионов долларов, чтобы избежать утечки данных и дальнейших сбоев^[73].

Атака на Kaseya

2 июля группировка REvil осуществила масштабную атаку на цепочку поставок, использовав уязвимость нулевого дня в программном обеспечении VSA от компании Kaseya^[74]. Через скомпрометированное ПО вирус распространился на сети клиентов Kaseya, затронув от 800 до 1500 компаний по всему миру^[68][75]. Шведская сеть супермаркетов Coop была вынуждена закрыть около 800 магазинов. REvil потребовала рекордный выкуп в 70 миллионов долларов за универсальный дешифратор^[75].

Наиболее активными группировками года были REvil, Conti, LockBit и DarkSide. После громких атак инфраструктура REvil и DarkSide прекратила свою деятельность, хотя их участники, предположительно, перешли в другие проекты^[76]. Conti, в свою очередь, провела агрессивную кампанию в конце года, атаковав более 40 организаций^[77]. Группировка LockBit представила обновлённую версию своего вымогателя LockBit 2.0 и к концу года стала самой распространённой угрозой^[78].

Громкие атаки 2021 года вызвали решительную реакцию со стороны властей США. Администрация президента Джо Байдена приравняла программы-вымогатели к угрозе национальной безопасности и активизировала международное сотрудничество для преследования киберпреступников^[79].

2022 год стал периодом кардинальных изменений в ландшафте программ-вымогателей. Он ознаменовался распадом одной из самых активных группировок — Conti — и заметным снижением общей суммы выплаченных выкупов, несмотря на сохраняющуюся высокую активность злоумышленников^[80].

Одним из ключевых трендов года стало значительное сокращение доходов вымогателей. По данным аналитической компании Chainalysis, общая сумма выплат злоумышленникам в 2022 году составила около 456,8 миллиона долларов, что почти на 40 % меньше, чем 765,6 миллиона в 2021 году^[81]. Этот спад связывают с усилением давления со стороны правоохранительных органов и растущим нежеланием компаний платить выкуп^[81]. Тем не менее, средний размер требуемого выкупа оставался высоким и составлял 247 000 долларов^[82].

На фоне ухода Conti и изменения экономической конъюнктуры злоумышленники сместили фокус на новые цели. В 2022 году был зафиксирован резкий рост атак на промышленные организации — на 87 % по сравнению с предыдущим годом^[83]. Целями становились производственный сектор, горнодобывающая промышленность и компании в сфере возобновляемых источников энергии^[83]. Также почти вдвое выросло число атак на государственный сектор^[84]. Тактически злоумышленники продолжали использовать «двойное вымогательство», но при этом на 175 % выросло количество инцидентов с применением вайперов — программ, предназначенных для полного уничтожения данных, таких как HermeticWiper^[80]. Новыми векторами атак стали облачные сервисы и среды виртуализации^[80].

Несмотря на распад Conti, на рынке доминировали другие крупные игроки. Самыми агрессивными операторами шифровальщиков в мире стали группировки LockBit и Pysa^[82]. Также заявила о себе новая группа BlackCat (также известная как ALPHV), известная атаками на крупные организации и использованием языка программирования Rust для создания своего вредоноса^[80].

2023 год ознаменовался взрывным ростом масштабов и финансовых последствий атак программ-вымогателей, став рекордным по многим показателям. Количество атак выросло на 73-84 % по сравнению с 2022 годом. Общая сумма выплат злоумышленникам впервые в истории превысила 1,1 миллиарда долларов, почти вдвое превзойдя показатель 2022 года (около 570 млн долларов)^[85]. Значительная часть этих платежей (около 75 %) приходилась на выкупы в размере 1 миллиона долларов и более^[86].

Одной из главных тенденций года стали массовые атаки на уязвимости в программном обеспечении для управляемой передачи файлов (англ. Managed File Transfer, MFT)^[87]. Группировка Cl0p провела масштабные кампании, эксплуатируя уязвимости в GoAnywhere MFT и MOVEit, что привело к компрометации данных сотен организаций. При этом злоумышленники всё чаще переключались с простого шифрования на тактику «двойного вымогательства», угрожая публикацией похищенной информации^[85].

В 2023 году на рынке доминировало несколько ключевых групп. LockBit, несмотря на временные трудности, оставалась одной из самых активных. Высокую активность также демонстрировали Cl0p и BlackCat (ALPHV)^[88]. Появились и новые игроки, такие как Hunter (считается ребрендингом Hive), DragonForce и WereWolves^[88]. Модель RaaS продолжала снижать порог входа для новых киберпреступников^[86].

Наибольший удар пришёлся на сектор здравоохранения (18 % всех инцидентов), где атаки приводили к закрытию больниц и задержкам в оказании медицинской помощи. Среди пострадавших — американская компания Prospect Medical Holdings (атака группы Rhysida) и российская лабораторная служба «Хеликс»^[85]. Также в число наиболее атакуемых отраслей вошли госучреждения, промышленность, наука и образование^[85]. Среди громких инцидентов — атака на компанию Caesars Entertainment, которая выплатила выкуп в размере 15 миллионов долларов, и атака на национального почтового оператора Великобритании Royal Mail^[85].

В России также наблюдался значительный всплеск активности: количество атак с целью получения выкупа выросло в 2,5 раза (на 160 %) по сравнению с 2022 годом^[89]. Средняя сумма первоначального запроса за расшифровку данных превысила 37 миллионов рублей, а рекордный запрос от группы Comet (ранее Shadow) достиг 321 миллиона рублей^[90]. Были зафиксированы случаи, когда восстановление данных было невозможно даже после уплаты выкупа^[90].

Период 2024—2025 годов характеризовался парадоксальной динамикой: с одной стороны, правоохранительные органы провели несколько успешных операций против крупнейших группировок, с другой — общее число атак продолжило расти, а злоумышленники продемонстрировали высокую степень адаптивности^[91]. Несмотря на рост числа атак на 26 % в 2024 году, общая сумма выплат вымогателям снизилась на 35 % по сравнению с рекордным 2023 годом, составив около 814 миллионов долларов^[92][93]. Это связывают с нежеланием компаний платить и более эффективными действиями властей^[93].

В феврале 2024 года международная операция «Кронос» нанесла серьёзный удар по группировке LockBit, захватив её инфраструктуру и получив ключи для дешифровки^[94]. Активность группы снизилась на 50 %^[95]. Несмотря на попытку перезапуска под названием LockBit 4.0 в начале 2025 года, новые аресты и утечка внутренней инфраструктуры в мае 2025 года окончательно подорвали её репутацию и лидирующие позиции^[96][97].

Другая крупная группировка, BlackCat (ALPHV), объявила о своём закрытии в марте 2024 года после атаки на Change Healthcare и внутреннего конфликта из-за невыплаты доли партнёрам, что было расценено как «exit scam»^[98]. Однако эксперты считают, что группа провела ребрендинг. Её связывают с новыми проектами Embargo и Cicada, появившимися в 2024—2025 годах^[99][100].

Ослабление старых лидеров привело к появлению новых агрессивных игроков. Группировка RansomHub, появившаяся в феврале 2024 года, стремительно вошла в число лидеров^[92]. Высокую активность также демонстрировали Akira, KillSec и Funksec^[92]. Злоумышленники всё чаще отказывались от шифрования в пользу кражи данных и шантажа, а также на 15 % чаще стали использовать инструменты удалённого доступа^[91][101]. Прогнозируется дальнейшее усложнение атак за счёт фрагментации рынка, появления тактики «тройного вымогательства» и роста числа некачественных дешифраторов, предоставляемых даже после уплаты выкупа^[102].

Главной мишенью для атак оставались США, а наиболее пострадавшей отраслью стал производственный сектор^[92][103]. Значительно выросло число атак на сектор здравоохранения. Среди громких инцидентов 2024 года:

• Change Healthcare: Атака группы ALPHV привела к краже медицинских данных миллионов американцев и выплате выкупа в 22 миллиона долларов^[91].
• LoanDepot: В январе у одного из крупнейших ипотечных кредиторов США были похищены личные данные 16,6 миллиона клиентов^[104].
• Panera Bread: В марте атака вызвала масштабный сбой ИТ-систем крупной сети ресторанов^[105].
• Hoya Corporation: В апреле японский производитель оптики пострадал от атаки группы Hunters International^[105].
• Casio: В октябре японский производитель электроники сообщил об атаке, ответственность за которую взяла на себя группа Underground^[105].

Утечки исходных кодов старых вирусов, таких как Babuk и Conti, продолжали способствовать появлению новых вредоносных программ, что свидетельствует о непрерывной эволюции угрозы^[106].

Процесс атаки строится по цепочке, в которой можно выделить шесть взаимосвязанных блоков^[107][108]:

• Начальный доступ — фишинговые письма, эксплойты уязвимостей, компрометация цепочки поставок.
• Выполнение и закрепление — запуск вредоносного кода и добавление в автозагрузку для сохранения присутствия.
• Командование и контроль (C2) — связь с управляющими серверами через DNS-tunneling, DGA или Tor.
• Шифрование / блокировка — применение криптоалгоритмов к найденным файлам либо блокировка интерфейса ОС.
• Удаление следов и резервных копий — стирание журнала событий, точек восстановления, теневых копий.
• Вымогательство и публикация — отображение требования выкупа, возможная утечка похищенных данных (двойное или тройное вымогательство)^[109].

Злоумышленники анализируют потенциальную жертву, оценивая ценность данных и готовность платить^[4].

Используются фишинг, эксплуатация публичных уязвимостей (RDP, VPN, ProxyShell) и покупка доступов на подпольных форумах^[110].

После попадания внутрь сети злоумышленники расширяют контроль, применяя злоупотребление учётными данными и инструменты удалённого администрирования^[108].

Активируется полезная нагрузка, шифруются файлы; параллельно происходит эксфильтрация чувствительной информации для последующего давления^[111].

Жертве предъявляется требование выкупа; при двойном вымогательстве озвучивается угроза публикации украденных данных^[109].

Организация изолирует поражённые системы, пытается восстановиться из резервных копий и проводит расследование инцидента^[110].

• Высокая прибыльность — многомиллиардная индустрия^[112].
• Относительно низкий риск атрибуции благодаря криптовалютам и сети Tor^[113].
• RaaS упрощает вход на рынок, предоставляя готовые наборы инструментов^[112].
• Тактика двойного вымогательства повышает вероятность оплаты^[111].

• Нет гарантии, что жертва заплатит или перевод не будет заблокирован регулятором^[114].
• Усиление мер защиты и международные операции правоохранителей («No More Ransom» и др.)^[115].
• Рост санкционных ограничений делает выплату выкупа юридически рискованной^[116].

По данным отраслевой аналитики^[117][118] больше других страдают:

• Здравоохранение — критическая зависимость от доступности данных пациентов.
• Образование и научные организации — слабая защита, многочисленные пользователи.
• Промышленность и Критическая инфраструктура — риск остановки производственных процессов^[119].
• Государственный сектор — парализация услуг и репутационные потери^[120].
• Финансовый сектор — высокая ценность данных и возможность крупных выплат.

Ландшафт Ransomware-as-a-Service (RaaS) отличается высокой динамичностью, где одни группировки приходят на смену другим. По состоянию на 2024—2025 годы, статус ключевых игроков прошлых лет и новых угроз выглядит следующим образом:

• LockBit — одна из самых известных и ранее доминировавших RaaS-платформ. В феврале 2024 года в ходе международной операции «Кронос» инфраструктура группировки была захвачена правоохранительными органами, что привело к снижению её активности на 50 %. Несмотря на попытку перезапуска под названием LockBit 4.0 в начале 2025 года, последующие аресты и утечка внутренней инфраструктуры в мае 2025 года окончательно подорвали репутацию и лидирующие позиции группы.
• BlackCat (ALPHV) — группировка, известная использованием языка программирования Rust для создания кросс-платформенного вымогателя (Windows и Linux). Официально прекратила деятельность в марте 2024 года после резонансной атаки на Change Healthcare и внутреннего конфликта, который был расценен как «exit scam». Эксперты полагают, что группа провела ребрендинг и продолжила деятельность под новыми названиями, такими как Embargo и Cicada.
• Conti — одна из самых агрессивных группировок 2021 года, известная атаками на критическую инфраструктуру. Официально прекратила существование как бренд в мае 2022 года после масштабной утечки внутренних данных, спровоцированной поддержкой группировкой спецоперации на Украине. Считается, что её участники перешли в другие проекты, такие как Black Basta и Akira, или сформировали новые автономные группы^[121].
• Akira — одна из наиболее активных RaaS-группировок по состоянию на 2025 год, появившаяся в марте 2023 года^[122]. Имеет версии для Windows и Linux/ESXi и использует тактику двойного вымогательства. Группировка активно эксплуатирует уязвимости в VPN-устройствах (в частности, SonicWall) и известна атаками на малый и средний бизнес, а также крупные организации^[123][124]. Некоторые исследователи связывают её с бывшими участниками Conti^[121].
• RansomHub — новая RaaS-платформа, появившаяся в феврале 2024 года и стремительно вошедшая в число лидеров по количеству атак, заняв нишу, освободившуюся после ослабления LockBit и BlackCat.

Сервисы обеспечивают партнёров панелями управления, хостингом C2-серверов, генерацией сборок и механизмами приёма платежей, снижая технический порог для проведения атак.