Шифровальщики: обзор тенденций и прогнозов на 2025 год

Глобальные тенденции и количество заражений

В преддверии Международного дня борьбы с шифровальщиками, который отмечается 12 мая, эксперты GReAT «Лаборатории Касперского» решили рассказать об эволюции этих угроз и их влиянии на сферу кибербезопасности. По данным Kaspersky Security Network, с 2023 по 2024 год количество обнаружений шифровальщиков сократилось на 18% — с 5 715 892 до 4 668 229. В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%. Столь небольшой процент по сравнению с другими киберугрозами объясняется тем, что злоумышленники зачастую не распространяют массово такое вредоносное ПО, отдавая предпочтение приоритетным целям, что снижает общее количество инцидентов.

С другой стороны, если рассматривать инциденты среди компаний, пользующихся услугами глобальной команды экстренного реагирования на киберинциденты «Лаборатории Касперского» (GERT), то в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%. По всей видимости, целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.

Ниже приведены некоторые глобальные тенденции, которые специалисты «Лаборатории Касперского» наблюдали в отношении шифровальщиков в 2024 году.

Доминирование модели RaaS

Модель «шифровальщик как услуга» (RaaS) по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников. В 2024 году RaaS-платформы наподобие RansomHub процветали благодаря продаже вредоносного ПО, услуг технической поддержки и партнерским программам, в рамках которых выкуп делился на части (например, 90/10 для аффилированных лиц и основной группы). Такая модель позволяет менее квалифицированным злоумышленникам проводить сложные атаки, что привело к появлению множества новых групп вымогателей в 2024 году. Хотя традиционные шифровальщики все еще существуют, масштабируемость и высокая прибыльность сделали RaaS главным инструментом в этом сегменте вредоносного ПО. RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.

Основная цель по-прежнему Windows, однако некоторые группы продолжают переходить на кроссплатформенные шифровальщики

Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде. Особенности архитектуры Windows в сочетании с уязвимостями в протоколе удаленного рабочего стола (RDP) и других компонентах, а также несвоевременная установка исправлений делают эту ОС основной целью для атак шифровальщиков. Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды. Хотя Windows остается основным объектом атак, растущий интерес к кроссплатформенным шифровальщикам указывает на переход к эксплуатации разных типов инфраструктур — особенно на фоне активного внедрения гибридных и облачных технологий в организациях. Эта тенденция уже давно проявляется и, по нашим ожиданиям, сохранится в ближайшие годы.

Снижение общего количества выплат вымогателям на фоне роста среднего размера выкупа

По данным Chainalysis, в 2024 году общая сумма выплат по шифровальщикам значительно сократилась — до примерно 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл. США. При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году, что свидетельствует о стремлении злоумышленников атаковать крупные организации и выдвигать к ним более высокие требования. В отчете также отмечено, что все больше организаций соглашаются на выплату выкупа для восстановления своих данных, хотя другие исследования показывают, что в 2024 году число компаний, которые пошли на уступки вымогателям, снизилось по сравнению с 2023 годом. Так, по данным компании Coveware, специализирующейся на борьбе с шифровальщиками, в четвертом квартале 2024 года доля организаций, заплативших выкуп, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года. Это снижение связывают с активными действиями правоохранительных органов, повышением уровня кибербезопасности и усилением регуляторного давления, препятствующего осуществлению выплат.

Шифрование данных остается базовой составляющей многих атак, однако некоторые группы преследуют альтернативные или дополнительные цели

В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации и оказывать давление на жертв через угрозы клиентам, партнерам, поставщикам и прочим третьим сторонам. Хотя шифрование по-прежнему широко распространено, рост числа атак на основе двойного и тройного вымогательства указывает на стратегический сдвиг. RansomHub, как и большинство современных групп вымогателей, часто комбинируют шифрование с кражей данных, угрожая публикацией или продажей украденной информации в случае отказа от выплаты выкупа, что делает эксфильтрацию ключевым элементом их тактики.

Расформированные и приостановившие деятельность в 2024 году операторы шифровальщиков

В 2024 году несколько крупных операторов шифровальщиков столкнулись с серьезными перебоями в своей деятельности, однако это не привело к значительным долгосрочным последствиям, что объясняется устойчивостью экосистемы вымогателей. Группа LockBit, ответственная за 27,78% атак в 2023 году, пострадала от операции «Кронос» в феврале 2024 года: правоохранительные органы взяли под контроль инфраструктуру группы, арестовали участников и разоблачили лидера, Дмитрия Хорошева. Однако, несмотря на это, LockBit вскоре возобновила свою деятельность и оставалась активной на протяжении всего 2024 года.

Еще одна известная группа, ALPHV/BlackCat, была расформирована в ходе операции ФБР в декабре 2023 года, но ее участники перешли в другие группы, включая RansomHub. Операции группы Radar/Dispossessor были остановлены ФБР в августе 2024 года, а власти Германии взяли под контроль 47 криптовалютных бирж, связанных с отмыванием средств от программ-вымогателей. Тем не менее такие группы, как RansomHub и Play, быстро заняли освободившиеся места, что подчеркивает сложность борьбы с сетями вымогателей. Впрочем, согласно последним данным, группа RansomHub предположительно приостановила свою активность с 1 апреля 2025 года.

Одни группы исчезают, другие продолжают их дело

Когда группы шифровальщиков распадаются или исчезают, их инструменты, тактики и инфраструктура зачастую сохраняются в экосистеме киберпреступников, что позволяет другим группам перенимать и адаптировать их методы. Например, вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением правоохранительных органов, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301. Исчезающие группы также могут продавать свои исходные коды, наборы эксплойтов или партнерские схемы на форумах в даркнете, предоставляя новым или уже существующим группам возможность адаптировать арсенал под свои цели. Кроме того, иногда вредоносные инструменты «утекают» в Сеть, как это произошло с LockBit 3.0. В результате множество мелких групп или отдельных лиц, совершенно не связанных с разработчиками шифровальщиков, включая хактивистов и низкоквалифицированных киберпреступников, получили доступ к этим инструментам и используют их в своих целях. Этот цикл передачи знаний ускоряет эволюцию шифровальщиков, поскольку новые участники применяют уже проверенные стратегии, адаптируются к контрмерам и эксплуатируют уязвимости быстрее, чем специалисты по безопасности успевают реагировать. В телеметрии такие новые группы, использующие старые наборы инструментов, могут быть ошибочно идентифицированы как уже существующие, например LockBit.

Группы шифровальщиков все чаще разрабатывают свои уникальные наборы инструментов

Таким образом злоумышленники стремятся повысить эффективность атак и снизить вероятность обнаружения. Подобные наборы инструментов часто включают средства эксплуатации, ПО для горизонтального перемещения, утилиты для сбора паролей и другие компоненты, заточенные под конкретные цели или отрасли. Разработка собственных инструментов снижает зависимость групп от общедоступных и легко обнаруживаемых эксплойтов, позволяя им сохранять полный контроль над своими операциями. Такой подход также способствует регулярному обновлению методов обхода защиты и эксплуатации новых уязвимостей, что делает атаки более устойчивыми, а защитные меры — более сложными.

Сравнение долей целевых и массовых шифровальщиков

Атаки шифровальщиков на конкретные организации с целью парализовать их работу и затребовать выкуп нацелены на такие критически важные объекты, как больницы, финансовые и государственные учреждения, при этом для повышения точности злоумышленники полагаются на разведданные и эксплойты нулевого дня. Массовые шифровальщики, распространяемые с помощью фишинга или внешних устройств, чаще всего поражают малый бизнес или частных лиц с более слабой защитой. Акцент на целевых атаках отражает стремление киберпреступников к более крупным выкупам, хотя массовые шифровальщики продолжают существовать благодаря простоте организации атак и широкому охвату целей.

По данным исследований «Лаборатории Касперского», в 2024 году самой активной группой, осуществляющей целевые атаки, была RansomHub, за ней следовала Play.

Доля жертв каждой группы, по данным их сайтов с эксфильтрованными данными (DLS), в процентном соотношении к общему числу опубликованных жертв всех групп за рассматриваемый период (скачать)

Разработка шифровальщиков с помощью инструментов на основе ИИ (FunkSec)

Группа FunkSec появилась в конце 2024 года и быстро привлекла к себе внимание: только в декабре она атаковала несколько жертв, обойдя такие известные группировки, как Cl0p и RansomHub. FunkSec работает по модели RaaS и использует тактику двойного вымогательства, сочетая шифрование данных с их эксфильтрацией. Группа ведет атаки на государственный, технологический, финансовый и образовательный сектора преимущественно в таких странах, как Индия, Испания и Монголия.

FunkSec выделяется тем, что активно использует инструменты на базе искусственного интеллекта (ИИ) при разработке вредоносного кода. Шифровальщики группы содержат сгенерированный ИИ код с безошибочно написанными комментариями, что указывает на применение больших языковых моделей (LLM) для упрощения разработки и обхода систем обнаружения. В отличие от большинства групп, требующих многомиллионные выкупы, FunkSec запрашивает сравнительно небольшие суммы, делая ставку на массовость и низкую стоимость атак.

Продолжение атак на основе техники BYOVD

Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках шифровальщиков для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.

BYOVD предполагает установку злоумышленниками в целевую систему легитимного, но уязвимого драйвера, часто подписанного доверенным производителем или самой Microsoft. Поскольку драйверы работают на уровне ядра (кольцо 0) с высокими привилегиями, эксплуатация их уязвимостей позволяет злоумышленникам отключать средства защиты, повышать привилегии или незаметно выполнять вредоносный код. Благодаря использованию подписанных драйверов злоумышленники успешно обходят стандартные проверки безопасности Windows.

Хотя BYOVD считается продвинутой техникой, существует ряд инструментов с открытым исходным кодом, например EDRSandblast и Backstab, которые упрощают проведение подобных атаках. По данным проекта Living Off The Land Drivers (LOLDrivers), известно о сотнях уязвимых драйверов, что подчеркивает масштаб проблемы. Злоумышленники постоянно находят новые уязвимые драйверы, а такие инструменты, как KDMapper, позволяют загружать в память даже неподписанные драйверы в рамках метода BYOVD, что значительно усложняет защиту.

Тенденции и частота заражений шифровальщиками по регионам

Доля пользователей, чьи компьютеры подверглись атакам шифровальщиков, по регионам. Данные Kaspersky Security Network (скачать)

На Ближнем Востоке и в Азиатско-Тихоокеанском (APAC) регионе наблюдается высокая доля пострадавших пользователей, что связано с быстрой цифровой трансформацией регионов, расширением поверхности атак и перепадами в уровнях кибербезопасности. В регионе APAC интенсивным атакам подверглись объекты инфраструктуры и производственных технологий, особенно в странах с развивающейся экономикой и новыми законами о конфиденциальности данных.

Шифровальщики менее распространены в Африке из-за низкого уровня цифровизации и экономических ограничений, что снижает число высокозначимых целей. Однако с развитием цифровой экономики в таких странах, как ЮАР и Нигерия, увеличивается и число атак с целью вымогательства, особенно в производственном, финансовом и государственном секторах. Организации в этом регионе более уязвимы из-за ограниченной осведомленности о кибербезопасности и нехватки ресурсов, однако благодаря меньшей поверхности атаки регион все еще отстает от регионов с высоким уровнем кибератак.

Латинская Америка также страдает от атак вымогателей, особенно такие страны, как Бразилия, Аргентина, Чили и Мексика. Под ударом находятся производственная, сельскохозяйственная и торговая отрасли, а также критически важные секторы, в том числе государственные организации и энергетика, однако экономические ограничения и малые выкупы отталкивают некоторых злоумышленников. Постепенная цифровизация региона делает его более привлекательным для киберпреступников. Так, чилийская компания EmoTrans, работающая в сфере логистики и обслуживающая ключевые отрасли, включая горнодобывающую промышленность, сельское хозяйство и международную торговлю, пострадала от шифровальщика NightSpire. Одноименная группа впервые дала о себе знать в марте 2025 года, атаковав правительственные учреждения, производителей и другие организации по всему миру. Как и многие другие, NightSpire использует стратегию двойного вымогательства и имеет свой сайт с эксфильтрованными данными (DLS).

В странах СНГ наблюдается меньшая доля пользователей, столкнувшихся с атаками шифровальщиков. Тем не менее такие хактивистские группировки, как Head Mare, Twelve и другие активные в этом регионе, часто используют шифровальщики наподобие LockBit 3.0 в целевых атаках на организации. Наибольшему риску подвержены производственный, государственный и торговый секторы, где уровень кибербезопасности варьируется в зависимости от конкретного региона.

Европа также подвержена угрозе вымогательства, но благодаря строгим стандартам кибербезопасности и нормативным актам отчасти удается сдерживать некоторых злоумышленников. Целями атак становятся, к примеру, секторы промышленности, сельского хозяйства и образования, однако развитая система реагирования на инциденты и высокий уровень осведомленности значительно ограничивают масштаб атак. Диверсификация экономики и высокие стандарты защиты делают регион менее привлекательным для групп вымогателей, чем те, где цифровая трансформация происходит быстрее и с меньшей оглядкой на вопросы безопасности.

Например, в 2024 году группа RansomHub взяла на себя ответственность за атаку на европейские офисы Kawasaki, в результате которой были нарушены операции в нескольких странах. В ходе атаки были скомпрометированы данные о клиентах и операциях, что повлияло на цепочки поставок мотоциклов и промышленной продукции Kawasaki в Европе. Региональное воздействие было особенно ощутимо в Германии и Нидерландах, где компания широко представлена на рынке, что подчеркивает уязвимость европейского производственного сектора.

Сравнение доли пользователей, чьи компьютеры подверглись атакам шифровальщиков, по регионам в 2024 и 2023 годах. Данные Kaspersky Security Network (скачать)

Растущие угрозы и перспективы

В 2025 году мы ожидаем, что операторы шифровальщиков продолжат эволюционировать и выискивать нетрадиционные уязвимости, как, например, группа Akira, которая обошла EDR-решение с помощью веб-камеры, а затем проникла во внутренние сети. Злоумышленники, вероятно, будут все чаще нацеливаться на менее очевидные точки входа, например устройства IoT, «умные» приборы или неправильно настроенное оборудование в офисах, расширяя поверхность атаки за счет взаимосвязанных систем. По мере укрепления традиционных средств защиты организаций киберпреступники будут совершенствовать свои тактики, делая акцент на скрытой разведке и горизонтальном перемещении в сетях, чтобы более точечно развертывать шифровальщики и тем самым затруднить своевременное обнаружение и реагирование со стороны специалистов по кибербезопасности.

Группы шифровальщиков, скорее всего, будут переходить к более решительным стратегиям вымогательства, от двойного вымогательства к более агрессивным методам — угрозам передачи конфиденциальных данных регулирующим органам, конкурентам или общественности. Модель RaaS продолжит развиваться, предоставляя менее квалифицированным преступникам доступ к готовым инструментам и наборам эксплойтов для проведения более сложных атак. Геополитическая напряженность может еще больше способствовать росту хактивизма и числа атак с использованием шифровальщиков, финансируемых государствами, на такие объекты инфраструктуры, как энергетические сети и системы здравоохранения. Малые организации с ограниченными бюджетами на кибербезопасность будут сталкиваться с повышенными рисками, притягивая злоумышленников низким уровнем своей защищенности. Чтобы адаптироваться к новым угрозам, компаниям следует внедрять модели безопасности на основе принципа нулевого доверия, улучшить защиту IoT-экосистемы и акцентировать внимание на обучении сотрудников для эффективной борьбы с угрозами фишинга и социальной инженерии.

Проникновение LLM в сферу киберпреступности значительно расширит охват и ущерб атак с целью вымогательства. Поскольку LLM позиционируют в даркнете как инструмент для снижения технического порога при создании вредоносного кода, проведении фишинговых кампаний и атак социальной инженерии, даже менее опытные злоумышленники смогут создавать убедительные приманки или автоматизировать развертывание шифровальщиков. С учетом быстрого внедрения таких инновационных концепций, как автоматизация процессов с помощью роботизации (RPA) и LowCode, которые позволяют разрабатывать ПО с помощью интуитивно понятного интерфейса с функциями перетаскивания и ИИ-ассистентом, можно ожидать, что разработчики шифровальщиков также начнут использовать эти инструменты для автоматизации атак и написания нового кода, что сделает эту угрозу еще более распространенной.

Наши рекомендации

Для эффективного противостояния угрозам шифровальщиков в 2025 году организациям и пользователям необходимо внедрять многоуровневую стратегию защиты, которая учитывает новые тактики, применяемые такими группами, как FunkSec, RansomHub, и другими, использующими ИИ, BYOVD и методы двойного вымогательства.

Отдавайте приоритет проактивной защите, основанной на своевременных исправлениях и управлении уязвимостями. Поскольку многие атаки шифровальщиков эксплуатируют уязвимости в необновленных системах, организациям стоит внедрить автоматизированное управление обновлениями для своевременного обновления операционных систем, ПО и драйверов. Для среды Windows важно включать список запрещенных уязвимых драйверов Microsoft во избежание атак типа BYOVD. Регулярно проводите сканирование на наличие уязвимостей и уделяйте особое внимание устранению критических проблем безопасности, особенно в популярном программном обеспечении, например Microsoft Exchange или VMware ESXi, которые в 2024 году стали частыми целями атак шифровальщиков.

Укрепляйте защиту конечных устройств и сетей с помощью передовых методов обнаружения и сегментации. Внедряйте надежные EDR-решения, к примеру Kaspersky EDR для бизнеса Оптимальный, чтобы отслеживать подозрительную активность, в том числе загрузку драйверов или завершение процессов. Не менее значимую роль играет сегментация сети — ограничивайте горизонтальное перемещение угрозы, изолируя критические системы и контролируя трафик с помощью сетевых экранов. Реализуйте архитектуру, построенную на принципах нулевого доверия, требующую постоянной аутентификации для получения доступа.

Инвестируйте в резервное копирование, обучение персонала и планирование реагирования на инциденты. Храните неизменяемые или автономные резервные копии и регулярно проверяйте их целостность, чтобы иметь возможность быстро восстановить данные без выплаты выкупа. Резервные копии должны охватывать критически важные данные и системы, храниться в изолированных средах для защиты от шифрования или удаления. Повышение осведомленности пользователей является важнейшим элементом в борьбе с фишингом, который продолжает оставаться основным вектором атак. Проводите тренировки с имитацией фишинговых атак и обучайте сотрудников распознавать письма, сгенерированные ИИ, которые используют для маскировки такие группы, как FunkSec. Kaspersky GERT может помочь в разработке и отработке плана реагирования на инциденты, что позволит минимизировать простои и затраты.

Рекомендация не платить выкуп все еще актуальна, особенно с учетом риска утраты ключей из-за повреждения инфраструктуры, нестабильности среди аффилированных участников или злонамеренных действий злоумышленников, что было продемонстрировано в инцидентах 2024 года. Инвестируя в резервное копирование, реагирование на инциденты и такие превентивные меры, как установка исправлений и обучение персонала, организации могут избежать финансирования преступников и минимизировать последствия атак. «Лаборатория Касперского» также предлагает бесплатные инструменты для восстановления данных, пострадавших от некоторых семейств шифровальщиков. Если вы стали жертвой атаки, обязательно проверьте, доступен ли декриптор для вашего случая. Имейте в виду, что, даже если нужного инструмента пока нет, он может появиться в будущем.