Эксперты «Лаборатории Касперского» проанализировали атаки шифровальщиков по всему миру
В новом отчёте компании отмечается, что злоумышленники всё чаще требуют выкуп без шифрования файлов, а Telegram по-прежнему служит им площадкой для продажи украденных данных. Также появляются семейства вредоносов, основанные на постквантовых криптографических шифрах.
География атак
Согласно данным компании, в 2025 году наибольшая доля организаций, столкнувшихся с программами-вымогателями, пришлась на Латинскую Америку (8%). За ней следуют Азиатско-Тихоокеанский регион (8%), Африка (8%), Ближний Восток (7%), СНГ (6%) и Европа (4%).
Ключевые тенденции атак
В последнее время злоумышленники сфокусировались на краже данных, а не только на шифровании систем. При этом они масштабируют атаки и постоянно развивают свои методы, в том числе автоматизируют операции.
Основными каналами для распространения и продажи скомпрометированных данных остаются Telegram-каналы и даркнет. Для рекламы своих услуг и публикации информации, связанной с шифровальщиками, злоумышленники используют теневые форумы — например, RAMP или LeakBase.
В 2025 году продолжился рост использования так называемых «убийц» EDR (Endpoint Detection and Response) — инструментов, предназначенных для отключения защитных решений на конечных устройствах перед запуском вредоносного ПО. Они стали уже стандартным элементом атак с использованием шифровальщиков — это говорит о том, что операции становятся всё более целенаправленными и продуманными.
Кроме того, начали появляться семейства программ-вымогателей, использующих стандарты постквантовой криптографии, что ранее прогнозировали эксперты «Лаборатории Касперского». Таким образом, злоумышленники начали переходить к методам шифрования, которые сделают восстановление данных без уплаты выкупа практически невозможным.
В атаках значительную роль продолжают играть брокеры первоначального доступа (Initial Access Brokers, IAB), выступающие в качестве посредников. Они продают в даркнете или на других ресурсах доступ к учётным записям другим злоумышленникам, которые в дальнейшем используют эти данные для кибератак. Всё чаще целью атак становятся порталы RDWeb — веб-сайты, через которые можно удалённо управлять устройствами. Это связано с тем, что группы шифровальщиков продолжают масштабировать атаки по модели «доступ как услуга» («Access-as-a-Service»), что упрощает процесс организации операций.
Активные группы. На первом месте в 2025 году оказалась группа Qilin — она стала доминировать среди шифровальщиков, распространяющихся по модели «программа-вымогатель как услуга» (Ransomware-as-a-service, RaaS), после того как свою деятельность прекратила RansomHub. На втором месте — Clop, на третьем — Akira.
Хотя в 2025 году исчезли сразу несколько крупных групп программ-вымогателей, на их место пришли новые участники. Среди наиболее заметных примеров — Gentlemen. Группа быстро растёт и хорошо организована, а в её состав могут входить злоумышленники, которые ранее были связаны с другими масштабными операциями. При этом Gentlemen стала переходить от хаотичных и «резонансных» атак к масштабируемым, а её методы извлечения прибыли напоминают бизнес-модель. Группа нацелена на кражу конфиденциальных данных, создание репутационных и регуляторных рисков для жертвы, а не только на шифрование файлов и блокирование доступа к ним.
«Программы-вымогатели эволюционировали в целую экосистему, направленную на монетизацию украденных данных, отключение средств защиты и масштабирование атак — причём её эффективность близка к бизнес-модели. Злоумышленники быстро адаптируются и используют для атак легитимные инструменты, эксплуатируют инфраструктуру удалённого доступа, при этом они начали применять постквантовую криптографию на несколько лет раньше, чем ожидалось. Для успешного противостояния атакам мы призываем организации выстраивать многоуровневую систему защиты, инвестировать в резервное копирование, а также повышать уровень цифровой грамотности сотрудников», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT.
Полный текст отчёта доступен на сайте Securelist.ru.
Для защиты от атак с применением программ-шифровальщиков «Лаборатория Касперского» также рекомендует организациям:
- регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
- в рамках стратегии защиты сосредоточиться на обнаружениигоризонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
- предоставлять SOC-командам доступ ксвежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов.
