В начале 2025 года в индустрии информационной безопасности стали появляться заявления о том, что «эра программ-вымогателей подошла к концу». Такие утверждения подкреплялись новостями о задержаниях ключевых членов известных кибергруппировок и о значительном снижении общих объемов выкупов, выплаченных жертвами. Однако реальная картина куда сложнее. Несмотря на частичный успех правоохранительных органов, говорить о полном искоренении вымогателей пока рано.
Реальные успехи: что удалось сделать
Бесспорно, 2024 и начало 2025 года стали весьма продуктивными в борьбе с киберпреступностью:
Задержания участников группировки Phobos. В феврале 2025 года Европол сообщил об аресте четырёх предполагаемых участников кибергруппировки Phobos. Эта группировка специализировалась на атаках на малые и средние бизнесы, используя шифровальщики с классическими методами социальной инженерии и RDP-брутфорс.
Уничтожение 8Base. Одновременно с операцией против Phobos, ФБР и международные партнёры провели успешную операцию по деактивации группы 8Base — относительно молодой, но весьма агрессивной группировки, использовавшей методы двойного вымогательства: шифрование данных плюс угроза их публикации.
Снижение объёмов выкупов. По данным Chainalysis, в 2024 году совокупная сумма выкупов, выплаченных киберпреступникам, снизилась на треть по сравнению с предыдущим годом. Это объясняется как ростом отказов платить со стороны компаний, так и усилившейся эффективностью мер реагирования.
Почему «победа» — преждевременное заявление
Несмотря на вышеуказанные достижения, эксперты в области кибербезопасности предупреждают: вымогатели никуда не исчезли. Вот ключевые факторы, свидетельствующие о продолжающейся угрозе:
1. Адаптация тактик и технологий
Киберпреступники постоянно модернизируют свои подходы. Один из ярких примеров — активное внедрение искусственного интеллекта в арсенал злоумышленников. AI помогает:
создавать правдоподобные фишинговые письма;
автоматизировать выбор целей на основе уязвимостей;
маскировать вредоносный код от систем обнаружения.
Это делает вымогателей менее заметными и более «эффективными» в смысле проникновения в защищённые сети.
2. Расширение каналов атак
Если раньше основными векторами были RDP и фишинг, то сегодня наблюдается рост атак через:
Уязвимости в популярных продуктах (например, недавно эксплуатировались дыры в MOVEit, Ivanti и Confluence)
Сторонние подрядчики и цепочки поставок
Скомпрометированные обновления программного обеспечения
Таким образом, даже хорошо защищённые компании могут стать жертвами через своих партнёров.
3. Географическая миграция
После давления со стороны западных спецслужб часть группировок сменила географию своей активности. Наблюдается усиление атак на организации в Южной Америке, Азии и Африке, где уровень готовности к киберугрозам часто ниже, чем в США и ЕС.
Тенденции и прогнозы
На основе анализа текущей ситуации можно выделить несколько ключевых трендов:
Рост Ransomware-as-a-Service (RaaS). Преступные группировки предоставляют шифровальщики и инфраструктуру «в аренду» менее опытным хакерам. Это способствует широкому распространению атак, даже со стороны непрофессиональных злоумышленников.
Двойное и тройное вымогательство. Помимо шифрования и угроз публикации, злоумышленники стали использовать метод давления на клиентов атакуемых компаний — рассылая им угрозы или раскрывая утечку напрямую.
Обход систем EDR/XDR. Новые версии вредоносных программ разрабатываются с учётом слабых мест современных средств обнаружения угроз, что требует от ИБ-команд постоянной адаптации.
Что делать специалистам по информационной безопасности?
Чтобы не стать жертвой программ-вымогателей, технические специалисты должны применять многоуровневый подход:
1. Укрепление периметра
Отключение неиспользуемых RDP-доступов
Применение многофакторной аутентификации
Ограничение доступа по принципу наименьших привилегий (PoLP)
2. Контроль над уязвимостями
Регулярный скан уязвимостей (в том числе внутренних)
Быстрое закрытие критических CVE (особенно в веб-интерфейсах и шлюзах)
3. Разделение инфраструктуры
Использование сетевых сегментов
Ограничение доступа между подразделениями
Изоляция критичных серверов от общего доступа
4. Подготовка к инцидентам
Наличие чётких процедур IRP (incident response plan)
Регулярные учения с симуляцией атак (tabletop exercises)
Проверка работоспособности бэкапов и времени восстановления
Использование immutable (неизменяемых) резервных копий
Вывод
Несмотря на оптимистичные заявления, программа-вымогатели остаются значительной угрозой для организаций всех масштабов. Да, международные операции наносят удары по крупным группировкам. Да, суммы выкупов снижаются. Но сама модель кибервымогательства — децентрализованная, легко копируемая и всё ещё прибыльная — продолжает жить и развиваться.
Техническим специалистам и командам информационной безопасности нельзя терять бдительность. Актуальные знания, автоматизация защиты и постоянное совершенствование практик — ключевые условия выживания в условиях современных киберугроз.
RSS
