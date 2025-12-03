Атаки с использованием RaaS выросли более чем на 50%

Исследователи компании «Информзащита» фиксируют стремительный рост атак с использованием программ-вымогателей, распространяемых по модели Ransomware-as-a-Service (RaaS). Применение подобных сервисов за девять месяцев 2025 г. увеличилось на 54%, а средняя скорость развертывания шифровальщиков выросла на 48%. При этом средняя продолжительность атаки сократилась до 24 часов, что указывает на высокую степень автоматизации и подготовленности злоумышленников. Об этом CNews сообщили представители компании «Информзащита».

Эксперты связывают рост таких атак с упрощенным доступом к криминальным RaaS-платформам, появлением целой индустрии «подписочных» сервисов для запуска вымогательских кампаний, а также усложнением самой киберпреступной экосистемы, где одни группы специализируются на взломе, другие – на продаже доступа, третьи – на развертывании и обслуживании вымогателей.

Современные группировки стремятся минимизировать время между проникновением в инфраструктуру жертвы и запуском шифровальщика. Автоматизация разведки, готовые инструменты для первоначального доступа и аренда инфраструктуры позволяют злоумышленникам действовать почти в режиме «одного клика». Подобная модель стала особенно востребованной на фоне геополитической нестабильности. Как отмечают эксперты, злоумышленники применяют инструменты корпоративного уровня, а поддерживаемые государством субъекты используют глобальные кризисы не только для подрыва и шпионажа, но и для проведения вымогательских операций, маскируя их под действия киберпреступных групп.

По оценкам экспертов, наибольшая доля атак RaaS пришлась на следующие сектора: промышленность и производство – около 30%, транспорт и логистика – около 15%, ИТ- и бизнес-сервисы – около 10%, здравоохранение – около 8%, финансовый сектор – около 6%. Злоумышленники выбирают отрасли, где простой приводит к серьезным убыткам, а значит повышает вероятность выплаты выкупа.

Распространение RaaS напрямую связано с формированием новых рынков и сервисов внутри криминального сообщества. Некоторые группы специализируются на разработке шифровальщиков, другие – на продаже доступа, третьи – на предоставлении панелей управления, саппорта и каналов коммуникации.

«Появление вторичного рынка „оперативных данных“, где злоумышленники активно продают данные первоначального доступа, эксплоиты, вредоносное программное обеспечение, стало одной из причин стремительного роста RaaS-операций: доступ к готовой информации снижает порог входа и позволяет менее опытным хакерам проводить атаки, опираясь на уже подготовленные инструменты и сценарии», – сказал руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.

Рост атак ransomware-as-a-service – показатель того, что киберпреступность перешла на модель сервисов и действует по принципам легального бизнеса: масштабирование, автоматизация, подписочная модель, обмен данными. Чтобы снизить риски атак RaaS, бизнесу необходимо выстраивать многоуровневую защиту, сочетающую проактивные меры, ограничение поверхности атаки и постоянный контроль состояния инфраструктуры. В первую очередь специалисты «Информзащиты» рекомендуют компаниям минимизировать видимость своих внешних сервисов, закрывать неиспользуемые порты, скрывать версии программного обеспечения и тщательно сегментировать сеть, чтобы усложнить злоумышленникам продвижение внутри периметра. Не менее важно усиливать возможности обнаружения угроз: использовать средства мониторинга с поддержкой ИИ, отслеживать аномальную активность, попытки подключения через RDP/VPN, ранние признаки эксплуатации уязвимостей и другие индикаторы первичного доступа. Эффективную защиту обеспечивает комбинация ограничивающих механизмов – web application firewall, фильтрация трафика, rate limiting и использование honeypots, позволяющих выявлять автоматизированные попытки проникновения и фиксировать тактику злоумышленников на ранних этапах атаки. Критически значимым остается резервирование: компании должны формировать оффлайн-копии данных и регулярно проверять возможность восстановления, поскольку быстрая реакция на RaaS-инцидент часто зависит именно от качества подготовленных резервов. Наконец, регулярные внутренние пентесты и собственное сканирование инфраструктуры позволяют увидеть ее так, как видит потенциальный атакующий, своевременно обнаружить уязвимые элементы и устранить их до того, как они будут использованы в рамках вымогательской кампании. Такой комплексный подход помогает компаниям уменьшить вероятность успешной атаки и повысить устойчивость к быстро развивающимся угрозам.