Бэкап — лучший друг босса: вымогатели сосут лапу и воруют терабайты данных просто ради приличия

В 2025 году программы-вымогатели не ослабли, но сам рынок такого вымогательства начал заметно меняться. Google Threat Intelligence Group и Mandiant пишут, что атак стало больше, публикаций на сайтах утечек стало рекордно много, однако за внешним ростом стоит менее приятная для преступников картина: платить жертвам удается реже, средние суммы требований снижаются, а компаниям все чаще хватает резервных копий и внутренних процедур, чтобы восстановиться без перевода денег. На этом фоне операторы вымогательских схем перестраивают тактику: чаще воруют данные, чаще бьют по небольшим организациям и все активнее работают с виртуализированной инфраструктурой.

Исследование основано на инцидентах 2025 года, в которых Mandiant участвовала уже после проникновения в сеть и разворачивания шифровальщика. В выборку вошли атаки на организации из Азиатско-Тихоокеанского региона, Европы, Северной и Южной Америки почти во всех отраслях. Один из главных выводов касается первичного доступа. В трети расследованных случаев злоумышленники, по подтвержденным или вероятным данным, попадали в инфраструктуру через эксплуатацию уязвимостей. Чаще всего под ударом оказывались VPN-шлюзы и межсетевые экраны Fortinet, SonicWall, Palo Alto и Citrix, а также отдельные внешние сервисы вроде SharePoint, SAP NetWeaver, Veritas Backup Exec и Zoho ManageEngine. Исследователи отдельно отмечают, что в 2025 году видели и признаки использования уязвимостей нулевого дня.

Еще один сдвиг касается кражи данных. Если в 2024 году признаки эксфильтрации наблюдали примерно в 57% расследованных атак с шифрованием, то в 2025 году доля выросла до 77%. Для вымогателей такой ход выглядит все более логичным. Если жертва не хочет платить за расшифровку или может быстро восстановиться из резервных копий, давление через угрозу публикации документов, переписки, кадровых и финансовых файлов становится более надежным инструментом. По наблюдениям Mandiant, часть партнерских программ ransomware-as-a-service уже предлагает клиентам не только классическое шифрование, но и отдельный сценарий чистого вымогательства на украденных данных без запуска шифровальщика.

На росте публикаций на сайтах утечек это хорошо заметно, но сами исследователи предупреждают: такие сайты нельзя считать точным счетчиком всего рынка. Пост там обычно появляется, когда жертва не пошла на переговоры или отказалась платить. Кроме того, разные группы регулярно преувеличивают масштаб атак, дублируют старые заявления или смешивают в одной витрине инциденты с шифрованием и операции, где дело ограничилось только кражей данных. Яркий пример - площадка CL0P. Она вошла в число самых активных в 2025 году, но значительная часть связанных с ней эпизодов не включала собственно разворачивание шифровальщика.

На прибыльности вымогательства, судя по публичным оценкам, это уже сказывается. Coveware в феврале 2026 года сообщала, что доля жертв, соглашающихся на выплату, опустилась до исторического минимума в четвертом квартале 2025 года. Sophos летом 2025 года оценивала среднее требование в $1,34 млн против $2 млн годом ранее. Unit 42 еще в начале 2025-го отмечала, что компании заметно лучше восстанавливаются после таких атак: почти половина пострадавших в 2024 году смогла подняться из резервных копий, тогда как в 2023 году доля составляла около 28%, а в 2022 году только 11%. На таком фоне вымогатели, по всей видимости, все чаще выбирают количеством, а не качеством: меньше охоты за самыми крупными целями и больше атак на небольшие организации с менее зрелой защитой.

При этом сам рынок не развалился. Напротив, число площадок утечек с хотя бы одной публикацией в 2025 году стало рекордным. Просто внутри экосистемы усилилась турбулентность. На нее повлияли действия правоохранителей, внутренние конфликты, утечки переписок, санкции и резкие исчезновения отдельных брендов. В разные годы сильный удар получили LockBit, ALPHV, Black Basta и RansomHub. Но освободившееся место быстро заняли более устойчивые бренды вроде Qilin и Akira. Авторы отчета считают, что вымогательские группы в ответ стали осторожнее: строже проверяют аффилиатов, чаще работают в частном или полузакрытом режиме и в целом уделяют больше внимания собственной операционной безопасности.

Отдельная линия развития связана с новыми технологиями. Некоторые группы пробуют встроить в свои операции Web3-инфраструктуру, чтобы усложнить блокировку переговорных площадок и командных серверов. В отчете приводятся примеры Cry0, которая заявляет об использовании Internet Computer Protocol для размещения переговорных страниц, и DEADLOCK, применявшей смарт-контракты Polygon для хранения и ротации инфраструктуры управления. Параллельно в экосистеме вымогателей появляются и ИИ-функции: одни группы рекламируют чат-ботов для общения с жертвами, другие обещают автоматический анализ украденных данных и поиск болевых точек для переговоров.

Если перейти от рынка в целом к самой технике атак, то первая стадия выглядит довольно приземленно. После эксплуатации уязвимостей самыми частыми векторами входа были взлом веб-ресурсов, украденные учетные данные и подбор паролей. В 21% инцидентов, где начальный доступ удалось определить, злоумышленники заходили в сеть через скомпрометированные логины, обычно через VPN или RDP. Подбор паролей тоже никуда не делся: в одном случае оператор, связанный с вымогателем, почти год перебирал учетные записи VPN, прежде чем все-таки получил рабочий вход. В ряде атак злоумышленники использовали и промежуточные площадки - например, доступ к дочерней компании или к VPN-соединению подрядчика, чтобы уже через них добраться до основной сети жертвы. Социальная инженерия в самих вымогательских инцидентах встречалась реже, хотя среди финансово мотивированных групп в целом никуда не исчезла.

После входа в сеть злоумышленники старались быстро закрепиться и получить запасные каналы доступа. Для этого они использовали валидные учетные записи, туннелеры, бэкдоры и легитимные инструменты удаленного администрирования. В 2025 году исследователи чаще, чем годом ранее, видели использование туннелирующих инструментов вроде PYSOXY, CHISEL, CLOUDFLARED, RPIVOT и REVSOCKS.CLIENT, а также менее известных частных решений. RMM-инструменты тоже остались в игре, хотя зависимость от них понемногу снижается. В инцидентах встречались AnyDesk, ScreenConnect, Splashtop, RustDesk, MeshAgent, Teramind и другие. Иногда злоумышленники ставили даже программы мониторинга сотрудников, способные делать скриншоты и писать экран.

На этапе повышения привилегий картина меняется медленнее. MIMIKATZ по-прежнему используется, но уже не так массово: его видели примерно в 18% расследованных атак против 20% годом ранее и существенно более высоких долей несколько лет назад. Упало и применение некоторых других известных утилит для кражи учетных данных. Вместо этого злоумышленники комбинируют разные приемы: снимают память процесса LSASS, копируют NTDS.dit, выгружают кусты реестра SAM, SYSTEM и SECURITY, включают кэширование WDigest, применяют Kerberoasting, достают секреты через DPAPI. Отдельный интерес у них вызывают источники уже готовых привилегированных паролей внутри сети. Примерно в 10% атак исследователи видели попытки вытащить учетные данные из Veeam Backup & Replication. Также злоумышленники регулярно лезли в браузеры, менеджеры паролей, Windows Credential Manager и везде, где секреты могли лежать в явном или полузащищенном виде.

Внутренняя разведка в 2025 году осталась довольно консервативной. PowerShell, встроенные утилиты Windows и публичные инструменты по-прежнему работают лучше многих экзотических средств. Злоумышленники массово обращались к Active Directory через Get-ADUser и Get-ADComputer, собирали списки пользователей, компьютеров, процессов, общих папок и групп, выгружали результаты в CSV, искали документы с персональными данными, кадровыми сведениями, юридическими файлами и признаками киберстрахования. В одном из случаев операторы REDBIKE прямо искали по ключевым словам вроде passport, i9 и cyber insurance, то есть пытались понять, какие документы можно использовать для давления и на какой объем выплаты вообще стоит рассчитывать. Отдельной строкой шла разведка виртуальной инфраструктуры: команды Get-VM, доступ к vSphere, поиск гипервизоров и хостов ESXi в 2025 году встречались заметно чаще.

На lateral movement чаще всего работали старые знакомые: RDP, SMB и SSH в сочетании с украденными или заранее созданными учетными записями. В примерно 85% атак злоумышленники перемещались по сети через RDP. SMB использовался и для доступа к шарам, и для выкладки полезной нагрузки, и для удаленного выполнения команд через Impacket. Для перехода к ESXi-хостам часто брали PuTTY и KiTTY. Из встроенных средств Windows продолжали активно использовать PsExec, WinRM и в меньшей степени WMIC. Параллельно злоумышленники открывали себе дорогу через правила брандмауэра: включали RDP, разрешали SMB, устанавливали OpenSSH и создавали политики доступа к дополнительным подсетям. В части инцидентов они двигались и через консоли управления виртуализацией вроде VMware vSphere или Nutanix Prism Central, а затем уже включали SSH на хостах ESXi и заходили туда напрямую.

Главный практический итог 2025 года связан с тем, что вымогатели все активнее работают против виртуализированной среды. Если в 2024 году признаки такого интереса наблюдали примерно в 29% расследованных атак, то в 2025 году уже в 43%. Это не просто рост внимания к ESXi, а еще и рост зрелости самих приемов. Если раньше шифрование виртуальной инфраструктуры нередко делалось вручную, то теперь исследователи все чаще видят автоматизацию отдельных этапов. В одном случае сценарий на PowerShell входил на vCenter, менял root-пароли, включал SSH на ESXi, копировал шифровальщик, удалял резервные копии, выключал виртуальные машины и снимал защитные ограничения перед запуском. В другом случае использовался пакетный файл, который через KiTTY и SSH разносил BABUK.MARIO по хостам.

Перед шифрованием злоумышленники стараются максимально ухудшить восстановление. Они выключают виртуальные машины, удаляют снапшоты и резервные копии, снимают ограничения вроде ExecInstalledOnly на ESXi, а иногда применяют легитимные утилиты для разблокировки файлов, занятых другими процессами. В одном инциденте злоумышленники через Cisco Integrated Management Controller подключили Debian ISO ко всему девятиузловому кластеру Cohesity, изменили приоритет загрузки и перезапустили узлы так, что те загрузились во внешнюю Linux-среду и фактически потеряли штатную операционную систему с доступом к резервным данным. Это уже не просто удаление теневых копий, а полноценная операция по выводу из строя инфраструктуры восстановления.

По семействам шифровальщиков год получился довольно показательным. Самым заметным в расследованиях Mandiant стал REDBIKE: почти 30% инцидентов, что выше прежних пиков у LOCKBIT и ALPHV, доходивших до 17% в 2023 году. Далее по частоте шли AGENDA и INC. На этом фоне особенно видно, как рынок умеет быстро перераспределять влияние. После ударов по LockBit и внезапной остановки RansomHub первые позиции заняли другие игроки. При этом исследователи продолжали видеть и вторичную жизнь старых кодовых баз. Например, LOCKBIT.WARLOCK использует исходную базу LockBit с изменениями в алгоритмах шифрования, а некоторые образцы CONTI в 2025 году всплывали уже под другими брендами с небольшими изменениями в обфускации. В ряде случаев шифровальщик вообще не удавалось получить на диск, что указывает на выполнение в памяти и попытки усложнить как детектирование, так и последующее восстановление.

Сама эксфильтрация данных в 2025 году стала еще более прагматичной. Преступники активно использовали легитимные средства синхронизации и передачи файлов. Rclone встречался примерно в 28% инцидентов с подтвержденной или вероятной кражей данных, FTP- и SFTP-клиенты вроде FileZilla и WinSCP - в 26%. Для упаковки часто применялись встроенные средства Windows, WinRAR или 7-Zip. Среди облачных направлений вывода данных фигурировали Azure, AWS, Backblaze, Filemail, Google Drive, MEGA и OneDrive. В отдельных эпизодах злоумышленники выгружали SQL-базы через мастер импорта и экспорта SQL Server, собирали архивы пакетными скриптами и затем уводили их в облако через Megatools или AzCopy. Набор инструментов здесь важен не экзотикой, а тем, что почти весь он легитимен и хорошо вписывается в обычную административную среду.

Антидетект и антифорензика тоже остались обязательной частью таких операций. Злоумышленники отключали и настраивали под себя Microsoft Defender через реестр, PowerShell-команды Set-MpPreference и Add-MpPreference, GPO и планировщик задач. Они чистили журналы событий через wevtutil, маскировали файлы под системные утилиты, переименовывали шифровальщики во что-то вроде rsync и регулярно удаляли артефакты своей работы. Для подавления средств защиты в отдельных атаках использовались утилиты, которые злоупотребляют подписанными уязвимыми драйверами. Цель у всего этого одна: пройти как можно дальше до срабатывания защиты и оставить жертве как можно меньше шансов быстро разобраться, что именно произошло.

Есть и один любопытный тренд по инструментам постэксплуатации. Cobalt Strike BEACON, который еще несколько лет назад был почти стандартом жанра, продолжает сдавать позиции. В 2021 году его видели примерно в 60% расследованных атак с вымогателями, в 2022 году уже в 38%, в 2023 году в 20%, в 2024 году в 11%, а в 2025 году только в 2%. Полностью место пустым не осталось: часть групп перешла на AdaptixC2, а в меньшей степени на MYTHIC, Metasploit, HAVOC и другие фреймворки. Но сама тенденция важна: злоумышленники понемногу уходят от слишком узнаваемых и хорошо отслеживаемых средств.

В целом отчет рисует довольно трезвую картину. Программы-вымогатели в 2026 году никуда не денутся и, скорее всего, останутся одной из самых разрушительных киберугроз. Но внутри рынка идет болезненная перестройка. Прибыль падает, давление правоохранителей сохраняется, крупные жертвы лучше защищены и чаще восстанавливаются без выплаты. Ответом на это становятся более массовые атаки на организации поменьше, больший упор на кражу данных, более агрессивное давление в переговорах и попытки повторно монетизировать уже полученный доступ - например, через фишинг с чужой инфраструктуры или перепродажу доступа другим преступникам. Иными словами, шифровальщики не исчезают, а приспосабливаются. Для защитников это означает простую вещь: рассчитывать только на один сценарий, где все заканчивается требованием выкупа за расшифровку, уже давно нельзя.