Хакеры перестали доверять хакерам. Как раздробленность рынка шифровальщиков ударила по «бизнесу» вымогателей (и почему им перестали платить).

В экосистеме программ-вымогателей за последний квартал наметился новый этап, который заметно меняет привычный баланс сил. Раньше рынок держался на крупных игроках с устойчивой инфраструктурой, но теперь он рассыпался на десятки мелких группировок, которые появляются, исчезают и снова возвращаются под другими названиями. На фоне этой разрозненности в поле зрения снова возник один из самых известных брендов — LockBit.

По данным Check Point Research, в третьем квартале 2025 года наблюдалось 85 действующих групп, что стало самым высоким показателем за весь период наблюдений. Вместо нескольких доминирующих сервисов вырисовывается сеть небольших коллективов, возникших после провалов таких проектов, как RansomHub, 8Base и BianLian. На утечках зафиксировано почти 1600 пострадавших за три месяца, при этом десятка наиболее активных группировок отвечает лишь за чуть больше половины всех случаев. Такая динамика говорит о том, что многие атаки проводят независимые операторы, не связанные с известными брендами.

Раздробленность снижает предсказуемость. Когда рынок контролировали крупные сервисы, специалисты могли анализировать повторяющиеся методы, инфраструктуру и поведение операторов. Теперь же широко распространены временные сайты утечек, и атрибуция становится малонадёжной. Эта картина усугубляется слабым эффектом полицейских операций: закрытие доменов и изъятие оборудования редко затрагивает тех, кто выполняет атаки. Освободившиеся участники быстро переходят на другие платформы или создают собственные.

Снижается и доверие к вымогателям. Небольшие команды не заинтересованы в поддержании репутации и часто не выполняют обещаний по восстановлению данных. Доля выплат продолжает падать, потому что жертвы всё чаще сомневаются в том, что расшифровка действительно последует после перевода средств.

На фоне разрозненной сцены заметным событием стало возвращение LockBit. В сентябре появилась версия 5.0, и её появление стимулировало рост активности. Администратор проекта долго обещал перезапуск после операции Cronos, и новая версия включает обновлённые варианты для Windows, Linux и ESXi, ускоренную процедуру шифрования и персонализированные каналы переговоров.

В первый месяц подтверждено не меньше десятка атак, что показывает, что часть операторов решила вернуться под знакомым брендом. Появляется вероятность повторной централизации, поскольку именно узнаваемость остаётся решающим фактором для тех, кто ищет структуру и понятные правила.

На этом фоне заметен другой тренд — попытки отдельных групп продвигать собственный имидж. Так, DragonForce в октябре объявила о союзе с LockBit и Qilin, хотя никаких подтверждённых инфраструктурных связей при этом нет. Подобные заявления выглядят скорее попыткой закрепить узнаваемость, используя методы, которые больше напоминают маркетинговую стратегию, чем поведение криминальных групп прошлых лет.

География пострадавших остаётся глобальной. На США приходится примерно половина всех случаев, а Южная Корея впервые вошла в десятку ведущих регионов из-за кампаний против финансового сектора. В Европе повышенное давление испытывают Германия и Великобритания. Секторы наиболее частых атак стабильны: производственные компании и бизнес-услуги удерживают примерно равные доли, а медицинские организации по-прежнему сталкиваются с риском, хотя некоторые группировки стараются обходить их стороной, чтобы избежать излишнего внимания.

Главный вывод аналитиков сводится к тому, что объём атак удерживается на высоком уровне вне зависимости от давления со стороны правоохранителей. Каждая ликвидация инфраструктуры приводит не к снижению активности, а лишь к появлению новых групп. Возвращение LockBit может временно собрать часть сцены вокруг старого центра, но не меняет общей картины — рынок остаётся гибким, разрозненным и устойчивым к внешнему воздействию.