Главная угроза — ваш сотрудник. Вымогатели больше не ждут уязвимостей, они идут с наличными. Доверие — новый эксплойт

leer en español

Akira Qilin Medusa RaaS вымогатели инсайдер фишинг утечка данных
Главная угроза — ваш сотрудник. Вымогатели больше не ждут уязвимостей, они идут с наличными. Доверие — новый эксплойт
Akira Qilin Medusa RaaS вымогатели инсайдер фишинг утечка данных

Статистика, которая заставит подозревать каждого коллегу.

image

Отчёт Coveware о вымогательской активности за третий квартал 2025 года показывает двойственную картину. С одной стороны, массовые кампании в формате Ransomware-as-a-Service (RaaS) продолжают захлёстывать компании среднего уровня. С другой — всё чаще фиксируются точечные атаки против крупных предприятий, где злоумышленники переходят от автоматизированных методов к индивидуальным схемам с вовлечением инсайдеров. Несмотря на рост числа атак, экономика вымогательств рушится: количество выплат рекордно низкое, а прибыльность стремительно падает.

Одним из ярких примеров масштабного подхода стала деятельность группировки Akira, использовавшей уязвимость, что позволило ей провести рекордное число атак в июле и августе. Стратегия группы основана на низкой стоимости вторжений и относительно малых суммах требований, что в итоге обеспечивает более высокую конверсию платежей. Akira удерживает около трети рынка и продолжает развивать инфраструктуру для атак на организации всех размеров. Этот объёмный подход противопоставляется стратегии групп, ориентирующихся на «элитные» цели, где каждая операция обходится дороже, а вероятность получения выкупа ниже.

Новый тревожный тренд проявился в сфере внутренних угроз. В одном из случаев участники банды Medusa попытались подкупить сотрудника организации, предложив ему 15% от выкупа за доступ к рабочему компьютеру. Этот эпизод, по данным исследователей, знаменует переход вымогателей от классических сценариев заражения к точечным, персонализированным операциям. Ранее инсайдерская активность ограничивалась кражей данных или саботажем, но теперь речь идёт о прямом соучастии в развёртывании шифровальщиков. Англоязычные посредники в составе группировки Medusa отражают сдвиг в тактике — от случайных атак к выстроенным схемам социальной инженерии.

Экономика шифровальщиков за последние годы претерпела радикальные изменения. На заре их массового распространения киберпреступники действовали самостоятельно: писали код, получали доступ и вели переговоры. Операции были дешёвыми, но приносили умеренные доходы. С ростом защиты компаний злоумышленники добавили вымогательство через утечку данных и создали модель RaaS, где разработчики программ нанимали партнёров для массового распространения. Эта система быстро разрослась, породив расходы на инфраструктуру, хостинг и даже «службы поддержки». Конфликты между авторами и аффилированными исполнителями, а также падение доверия внутри сообщества подорвали устойчивость рынка. К 2024 году несколько крупных брендов распались, а многие группы отказались от шифрования в пользу простого вымогательства за украденные данные.

Сегодняшний этап характеризуется тем, что прибыль резко сокращается, а издержки растут. Чтобы оставаться на плаву, вымогатели вынуждены изобретать новые способы проникновения, всё чаще обращаясь к методам социальной инженерии и подкупу сотрудников. В условиях, когда компании укрепляют защиту и отказываются платить, шансы на быстрый заработок тают. Средний размер выплаты за третий квартал снизился на 66%, составив 376 941 доллар, а медианный — на 65%, до 140 000 долларов. Уровень фактических выплат упал до исторического минимума — 23%. При этом за случаи утечки без шифрования платят лишь 19% жертв. Всё больше юристов и специалистов по кризисным коммуникациям занимают принципиальную позицию отказа от выплат, считая даже «символические компенсации» подрывом борьбы с вымогательством.

Наиболее активными остаются Akira и Qilin, удерживающие 34% и 10% рынка соответственно. В десятку также вошли Lone Wolf, Lynx, Shiny Hunters и KAWA4096. Основные пути проникновения не изменились — удалённый доступ, фишинг и эксплуатация уязвимостей. Однако теперь границы между ними размыты: злоумышленники совмещают технические и психологические приёмы, заставляя сотрудников самостоятельно предоставлять им вход. Успех атак всё чаще связан не с эксплойтами, а с манипуляцией доверием.

В числе преобладающих тактик остаются эксфильтрация данных (76% случаев), горизонтальное перемещение по сети (73%) и создание каналов управления на основе легитимных инструментов вроде Microsoft Quick Assist. Практически каждая атака сопровождается шифрованием, но исследователи отмечают растущий разрыв между реальной степенью ущерба и возможностями детектирования — особенно в виртуализированных средах, где следы атак быстро стираются.

Средний размер пострадавших компаний вырос до 362 сотрудников, что на четверть больше, чем кварталом ранее. Однако вопреки ожиданиям, увеличение масштабов жертв не привело к росту выплат. Злоумышленники тратят больше ресурсов на сложные вторжения, но финансовый эффект всё меньше оправдывает затраты. Это усиливает тенденцию к упадку вымогательской экономики и подталкивает игроков к новым формам давления — от инсайдерских схем до комбинированных атак с психологическим воздействием.