Как изменилась ситуация с атаками шифровальщиков на компании и почему в 2025 году идея заплатить выкуп стала еще хуже и бесполезнее.
12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей .
Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
В результате информация о том, что кто-то успешно получил выкуп с жертвы, становится известна новой банде, которая пытается атаковать ту же организацию, и зачастую успешно. Бывали случаи, когда одна и та же компания была атакована четырьмя разными группировками в течение года.
Появилась важная тенденция: при росте числа инцидентов с шифрованием снижается общая сумма выплаченных выкупов. Это объясняется двумя причинами: во-первых, жертвы все чаще отказываются платить, во-вторых, многие вымогатели вынуждены атаковать компании меньшего калибра и просить меньший выкуп.
Для владельцев и руководителей бизнеса это означает, что в случае ransomware-инцидента невозможно ни просчитать мотивацию атакующего, ни проверить его репутацию.
Так что организациям необходимо внедрить детальные планы реагирования ИТ- и ИБ-отделов на ransomware-инцидент. Включая сценарии изоляции хостов и подсетей, отключения VPN и удаленного доступа, деактивации аккаунтов, включая основные административные с переходом на запасные учетные записи. Нужны регулярные учения по восстановлению резервных копий и хранение этих копий в системе, где данные не смогут уничтожить атакующие.
Чтобы реализовать эти меры и успеть среагировать за то короткое время, когда атака развивается, но еще не поразила всю сеть, необходимо внедрить в организации глубокую систему мониторинга. Крупным компаниям подойдет решение XDR, в то время как бизнесы поменьше могут получить качественные мониторинг и реагирование, приобретая услугу MDR от экспертов.
12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
Низкое качество расшифровщиков
Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей .
Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
Повторные атаки
Старая истина о том, что шантажисту невозможно перестать платить, верна и для ransomware. Банды вымогателей общаются между собой, «партнеры» перетекают между группировками, работающими по схеме Ransomware-as-a-Service. Кроме того, когда правоохранительные органы успешно прекращают деятельность банды, далеко не всегда удается арестовать всех ее участников, и те, кто избежал ответственности, берутся за старое уже в другой группе.В результате информация о том, что кто-то успешно получил выкуп с жертвы, становится известна новой банде, которая пытается атаковать ту же организацию, и зачастую успешно. Бывали случаи, когда одна и та же компания была атакована четырьмя разными группировками в течение года.
Ужесточение законодательств
Современные злоумышленники не только шифруют, но и крадут данные, что создает долгосрочные риски для компании и топ-менеджмента. После атаки ransomware у компании есть три основных варианта:- публично объявить об инциденте и восстанавливать работу и данные без общения с вымогателями;
- объявить об инциденте, но заплатить выкуп за восстановление данных и предотвращение их публикации;
- скрыть инцидент вообще, заплатив выкуп за молчание.
- Принятые в ЕС законы NIS2 Directive и DORA (Digital Operational Resilience Act), требуют от компаний многих индустрий, а также крупных и критических бизнесов в короткие сроки сообщать о киберинцидентах, а также накладывают на организации существенные требования по киберустойчивости.
- В Великобритании обсуждается специальный закон, запрещающий государственным организациям и операторам критической инфраструктуры платить выкуп, а также вводящий требования ко всем бизнесам оперативно отчитываться об инцидентах ransomware.
- В России вступает в действие закон об оборотных штрафах за утечки персональных данных.
- В Сингапуре обновлен , требующий от операторов КИИ отчитываться об инцидентах, включая инциденты в цепочке поставок и инциденты, связанные с прерываниями обслуживания клиентов.
- В США находится в обсуждении и частично принят пакет федеральных директив и законов штатов, запрещающих крупные платежи вымогателям (от $100 000) и требующих оперативно отчитываться об инцидентах.
Отсутствие гарантий
Часто компании платят не столько за расшифровку, сколько за обещание не публиковать данные компании и не афишировать сам факт атаки. Но это вообще не гарантия того, что данная информация нигде не всплывет. Как показывают недавние инциденты, обнародование самого факта взлома и конкретных украденных данных возможна в нескольких сценариях.- В результате внутреннего конфликта злоумышленников. Например, из-за разногласий в группировке или атаки одной группы на инфраструктуру другой. В результате данные жертв публикуют, чтобы отомстить, или же они утекают в процессе уничтожения активов конкурирующей банды. В 2025 году данные жертв появились при утечке внутренней переписки банды Black Basta, а также после уничтожения и захвата группой DragonForce инфраструктуры двух конкурентов — BlackLock и Mamona. 7 мая сайт LockBit взломали и выложили в публичный доступ данные из панели администратора, где перечислены и детально описаны все жертвы группы за последние полгода.
- В ходе атаки правоохранительных органов на группировку. Сами данные полиция, конечно, публиковать не будет, но вот факт взлома станет широко известен. В прошлом году таким образом стало известно о жертвах LockBit.
- Из-за ошибки самих вымогателей. Их инфраструктура зачастую не особенно хорошо защищена, и украденные данные могут случайно найти исследователи безопасности, конкуренты или просто случайные люди. Самый яркий пример: гигантская подборка данных, украденных в пяти крупных компаниях различными бандами ransomware и целиком опубликованных хактивистским коллективом DDoSecrets.
Возможно, ransomware — не главная проблема
Благодаря деятельности правоохранительных органов, эволюции законодательства и самого киберпространства портрет «типичной группировки вымогателей» сильно изменился. Активность крупных группировок, типичных для инцидентов 2020–2023 годов, несколько снизилась, а на первый план вышли схемы Ransomware-as-a-Service, в которых атакующей стороной могут быть очень небольшие коллективы и даже одиночки.Появилась важная тенденция: при росте числа инцидентов с шифрованием снижается общая сумма выплаченных выкупов. Это объясняется двумя причинами: во-первых, жертвы все чаще отказываются платить, во-вторых, многие вымогатели вынуждены атаковать компании меньшего калибра и просить меньший выкуп.
Для владельцев и руководителей бизнеса это означает, что в случае ransomware-инцидента невозможно ни просчитать мотивацию атакующего, ни проверить его репутацию.
Что делать с ransomware
Вывод прост: плата денег вымогателям — это не решение, а продление и углубление проблемы. Ключ к быстрому восстановлению бизнеса — не плата вымогателям, а заранее спроектированный и отрепетированный сценарий реагирования и восстановления после атаки.Так что организациям необходимо внедрить детальные планы реагирования ИТ- и ИБ-отделов на ransomware-инцидент. Включая сценарии изоляции хостов и подсетей, отключения VPN и удаленного доступа, деактивации аккаунтов, включая основные административные с переходом на запасные учетные записи. Нужны регулярные учения по восстановлению резервных копий и хранение этих копий в системе, где данные не смогут уничтожить атакующие.
Чтобы реализовать эти меры и успеть среагировать за то короткое время, когда атака развивается, но еще не поразила всю сеть, необходимо внедрить в организации глубокую систему мониторинга. Крупным компаниям подойдет решение XDR, в то время как бизнесы поменьше могут получить качественные мониторинг и реагирование, приобретая услугу MDR от экспертов.
