Поделиться
Количество атак шифровальщиками растет, но количество выплат упало до рекордно низкого уровня
Исследование фирмы Chainalysis показывает, что в 2025 г. лишь чуть более четверти атак с использованием шифровальщиков заканчивались выплатами выкупа. Количество и техническая сложность атак, между тем, постоянно растет.
Немногим более четверти
Исследовательская платформа Chainalysis утверждает, что количество жертв шифровальщиков, выплативших выкуп, в 2025 г, упало до 28%. Это меньше, чем когда-либо. В то же время количество самих атак значительно возросло.
По данным Chainalysis, количество тех, кто согласился платить, непрерывно уменьшается уже четыре года подряд.
В абсолютных значениях, впрочем, цифры все равно внушительные: в 2025 г, операторы шифровальщиков выдавили из своих жертв не менее $820 млн. В действительности, сумма может быть в районе $900 млн - в Chainalysis допускают, что некоторые инциденты еще не были выявлены.
Наибольшее количество жертв, согласившихся платить, приходится на 2022 г, - тогда от хакеров откупились в 78,9% случаев. В 2023 г. это значение снизилось до 72,2%, в 2024 - до 62,8%. Резкое падение в 2025 г. сопровождалось ростом количества атак - на 50%.
В Chainalysis указывают, что киберкриминальная экономика проседает из-за множества факторов: это и улучшившееся реагирование на инциденты, и давление со стороны регуляторов, и действия правоохранительных органов, а также фрагментация рынка.
При этом, как показали подсчеты Chainalysis, если общая выручка злоумышленников упала, то медианный размер выкупа вырос в 2024-2025 гг. на 368% - с $12 738 до $59 556.
Вероятнее всего это означает, что жертвы готовы платить повышенные размеры выкупа, чтобы предохраниться от перепродажи украденных злоумышленниками данных.
Что касается фрагментации рынка, то в 2025 г. наблюдалась активность сразу 85 группировок, специализирующихся на шифровальщиках, больше, чем когда-либо. Прежде в этом киберкриминальном сегменте доминировала очень небольшое количество акторов и RaaS-платформ.
В исследовании Chainalysis уделяется особое внимание нескольким крупномасштабным атакам, в т.ч. инциденту с Jaguar Land Rover, причинившему ущерба на сумму порядка $2,5 млрд, атаке на Marks & Spencer, которую провела группировка Scattered Spider, а также атаке на корпорацию DaVita, по результату которой утекли данные 2,7 млн пациентов.
Наиболее интересующим хакеров промышленным сектором оказалось производство; на втором месте - финансовые и профессиональные услуги. США остаются страной, где утечек данных происходит больше всего. Следом, со значительным отрывом, идут Канада и Германия.
Лишнее звено
Любопытно, что т.н. «брокеры первоначального доступа», которые продают или перепродают точки входа в целевую инфраструктуру, заработали в 2025 не более $14 млн, менее двух процентов от общей выручки. Хотя именно эти «брокеры» играют ключевую роль в этой индустрии.
Или играли: за последние три года цена за предоставление доступа в целевую сеть снизилось с $1427 до $430, что свидетельствует о перенасыщенности предложения. По мнению экспертов Chainalysis, причиной стало распространение средств автоматизации, расширение использование ИИ и переизбыток данных, собранных инфостилерами.
Аналитики компании считают, что на данный момент индустрия шифровальщиков проходит период адаптации, а не необратимого упадка. Хотя количество выплат резко упало, изощренность атак и масштабы последствий, с которыми приходится иметь дело жертвам и связанным с ними отраслям, продолжает расти, и ни одна компания, крупная или малая, не может чувствовать себя в безопасности, - атакам подвергаются бизнес-структуры любых размеров.
«Атаки, целью которых является проникновение в корпоративный периметр, чаще начинаются не с чего-то технически изощренного, а с фишинга и социальной инженерии, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ».
По его словам, сугубо технические меры снижают риски, но этого мало. То, что желающих платить все меньше, указывает, что резистентность бизнеса к кибератакам в последние годы выросла, однако также необходимо иметь в виду, что получение изначального доступа - чаще всего результат атаки на человеческую психологию, а не на уязвимости в программном обеспечении.
Поделиться
Короткая ссылка
