Они не шифруют файлы, не требуют денег — но наносят больший ущерб. Кто они?

Picus Security вымогательское ПО инфостилер боковое перемещение взлом
Они не шифруют файлы, не требуют денег — но наносят больший ущерб. Кто они?
Picus Security вымогательское ПО инфостилер боковое перемещение взлом

Бэкапы на месте, серверы работают, но бизнес рухнул — что хакеры делают иначе в 2025 году.

image

Вымогатели и инфостилеры меняют тактику быстрее, чем компании успевают подстраивать оборону. Даже крупные инвестиции в устойчивость к ransomware — прежде всего в бэкапы и восстановление — все чаще не спасают от реального ущерба. По данным Picus Security Blue Report 2025, самые болезненные инциденты уже не всегда связаны с шифрованием: злоумышленники переходят к «тихим» сценариям — краже учётных данных, скрытому выносу информации и быстрому боковому перемещению по сети, оставаясь незаметными максимально долго.

Статистика Blue Report подтверждает тревогу численно. Доля предотвращённых попыток эксфильтрации рухнула до 3% — минимального уровня за всё время наблюдений, хотя доля «двойного вымогательства» растёт. Подбор и взлом паролей сработал в 46% протестированных сред — почти вдвое чаще, чем в 2024 году. Использование валидных учётных записей (Valid Accounts, T1078) оказалось успешным в 98% случаев, что наглядно демонстрирует, насколько легко похищенные или слабые креды обходят барьеры.

Причина успеха «тихих» операций — дисбаланс видимости. Организации научились неплохо встречать входящие угрозы — вредоносные вложения, фишинговые письма , загрузчики. Но куда хуже отслеживают исходящий трафик и малозаметные потоки данных. В отчёте прямо названы три главных провала: недостаточный мониторинг на выходе, слабо применяемые политики DLP и ограниченная поведенческая аналитика. На этом фоне современные инфостилеры уже давно перестали быть «оппортунистами», вытаскивающими пароли из браузера: это нацеленные, живучие инструменты в составе сложных кампаний, которые маскируются под легитимный доступ, растворяются в обычном сетевом шуме и уносят информацию днями и неделями, зачастую без единого тревожного события.

Эволюция вымогателей делает ставку на давление, а не на шифрование, поэтому надёжные резервные копии больше не выглядят серебряной пулей. Преступникам не нужен дешифратор, если есть массив украденных документов и база для публикации. Показательно, что у ряда семейств результаты «превенции» в Blue Report остаются низкими: BlackByte — 26%, BabLock — 34%, Maori — 41%. Уязвимость к ним объясняется не пробелами в бэкап-стратегии, а тем, что по пути к шантажу почти не блокируются кража учёток, латеральное перемещение и эксфильтрация. Даже если восстановление пройдёт идеально, ущерб нанесён уже в момент утечки.

Главный вывод сезона неприятно прямолинеен: инфостилеры процветают, вымогатели становятся незаметнее, а эксфильтрация слишком часто проходит без помех. Если полагаться на догадки, статичные правила и устаревшую логику детекта, картина риска будет ложной. Специалисты предлагают опереться на факты и проверить оборону «боем» до того, как это сделают атакующие.