12 мая — международный День борьбы с шифровальщиками. Эксперты «Лаборатории Касперского» проанализировали атаки шифровальщиков по всему миру. В новом отчете компании отмечается, что злоумышленники все чаще требуют выкуп без шифрования файлов, Telegram по-прежнему служит им площадкой для продажи украденных данных, а также появляются семейства вредоносов, основанные на постквантовых криптографических шифрах. Об этом CNews сообщили представители «Лаборатории Касперского».
География атак. Согласно данным компании, в 2025 г. наибольшая доля организаций, столкнувшихся с программами-вымогателями, пришлась на Латинскую Америку (8%). За ней следуют Азиатско-Тихоокеанский регион (8%), Африка (8%), Ближний Восток (7%), СНГ (6%) и Европа (4%).
Доля российских организаций, которые подверглись атакам шифровальщиков в 2025 г., составила 6%, а чаще всего с этой угрозой встречались компании из ИТ-сектора (11%), энергетики (10%) и телекома (9%).
Ключевые тенденции атак. В последнее время злоумышленники сфокусировались на краже данных, а не только на шифровании систем. При этом они масштабируют атаки и постоянно развивают свои методы, в том числе автоматизируют операции.
Основными каналами для распространения и продажи скомпрометированных данных остаются Telegram-каналы и даркнет. Для рекламы своих услуг и публикации информации, связанной с шифровальщиками, злоумышленники используют теневые форумы — например, RAMP или LeakBase. Обе площадки были закрыты в начале 2026 г., поскольку правоохранительные органы активно отслеживают подобные ресурсы. Тем не менее, со временем могут появляться аналогичные форумы.
В 2025 г. продолжился рост использования так называемых «убийц» EDR (Endpoint Detection and Response) — инструментов, предназначенных для отключения защитных решений на конечных устройствах перед запуском вредоносного ПО. Они стали уже стандартным элементом атак с использованием шифровальщиков — это говорит о том, что операции становятся все более целенаправленными и продуманными.
Кроме того, начали появляться семейства программ-вымогателей, использующих стандарты постквантовой криптографии, что ранее прогнозировали эксперты «Лаборатории Касперского». Таким образом, злоумышленники начали переходить к методам шифрования, которые сделают восстановление данных без уплаты выкупа практически невозможным.
В атаках значительную роль продолжают играть брокеры первоначального доступа (Initial Access Brokers, IAB), выступающие в качестве посредников. Они продают в даркнете или на других ресурсах доступ к учетным записям другим злоумышленникам, которые в дальнейшем используют эти данные для кибератак. Всё чаще целью атак становятся порталы RDWeb — веб-сайты, через которые можно удалённо управлять устройствами. Это связано с тем, что группы шифровальщиков продолжают масштабировать атаки по модели «доступ как услуга» («Access-as-a-Service»), что упрощает процесс организации операций.
Активные группы. На первом месте в 2025 г. оказалась группа Qilin — она стала доминировать среди шифровальщиков, распространяющихся по модели «программа-вымогатель как услуга» (Ransomware-as-a-service, RaaS), после того как свою деятельность прекратила RansomHub. На втором месте — Clop, на третьем — Akira.
Хотя в 2025 г. исчезли сразу несколько крупных групп программ-вымогателей, на их место пришли новые участники. Среди наиболее заметных примеров — Gentlemen. Группа быстро растёт и хорошо организована, а в её состав могут входить злоумышленники, которые ранее были связаны с другими масштабными операциями. При этом Gentlemen стала переходить от хаотичных и «резонансных» атак к масштабируемым, а её методы извлечения прибыли напоминают бизнес-модель. Группа нацелена на кражу конфиденциальных данных, создание репутационных и регуляторных рисков для жертвы, а не только на шифрование файлов и блокирование доступа к ним.
«Программы-вымогатели эволюционировали в целую экосистему, направленную на монетизацию украденных данных, отключение средств защиты и масштабирование атак — причём её эффективность близка к бизнес-модели. Злоумышленники быстро адаптируются и используют для атак легитимные инструменты, эксплуатируют инфраструктуру удалённого доступа, при этом они начали применять постквантовую криптографию на несколько лет раньше, чем ожидалось. Цель международного Дня борьбы с шифровальщиками — повышать глобальную осведомлённость об угрозах, которые несут программы-вымогатели, а также продвигать лучшие практики, помогающие предотвращать подобные атаки и реагировать на них. Для успешного противостояния атакам мы призываем организации выстраивать многоуровневую систему защиты, инвестировать в резервное копирование, а также повышать уровень цифровой грамотности сотрудников», — сказал Дмитрий Галов, руководитель Kaspersky GReAT в России.
День борьбы с шифровальщиками был объявлен 12 мая 2020 г. по инициативе Интерпола и «Лаборатории Касперского». Дата выбрана неслучайно: 12 мая 2017 г. достигла своего пика самая масштабная «эпидемия» шифровальщика в истории — WannaCry.
Для защиты от атак с применением программ-шифровальщиков «Лаборатория Касперского» рекомендует организациям: регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть; в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети; предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов; проводить тренинги по кибербезопасности для сотрудников.
Поделиться
