Рекордный выкуп: 500 миллионов за разблокировку?

Выкуп в полмиллиарда: эволюция программ-вымогателей

«500 миллионов за разблокировку? Да это уже не выкуп, а бюджет небольшого завода!» — именно так прокомментировал мой коллега из службы цифровой безопасности один из инцидентов 2025 года, когда я показал ему свежие данные из отчётов.

И знаете, что самое тревожное? Это не единичный случай, а устойчивый тренд. Если вы думаете, что после бурных 2022-2024 годов наступило затишье, то я вынужден вас разочаровать. Ландшафт угроз не «успокоился» — он стал тоньше, целеустремлённее и, честно говоря, дороже для бизнеса. Я работаю в SOC и аналитике угроз уже больше десяти лет, и последний год показал интереснейшую, хотя и пугающую, трансформацию.

🔥 Вот вам шок-цифры на старт, чтобы понимать масштаб:

• Рекордный выкуп: 50 биткойнов, или примерно 500 млн рублей за разблокировку одной компании. Год назад максимум был 240 млн.
• Горы данных: В открытом доступе за год «всплыло» более 760 миллионов строк с персональными данными россиян.
• Новые игроки: Обнаружено 7 новых APT-групп, о которых мы раньше не знали. Они просто тихо работали, а мы их не видели.

Вы всё ещё уверены, что ваша компания — не цель?

📊 Атаки «под флагом»: почему APT-группы — это новая норма для России

Да, количество инцидентов вроде бы стабилизировалось. Но это как сравнивать тихий шторм и ураган с вырванными деревьями — разрушения всё равно происходят, просто они менее заметны со стороны. Аналитики фиксируют «выход на плато», но по моему опыту, это плато находится на такой высоте, где многим компаниям уже не хватает воздуха для нормальной работы.

В 2025 году мы отследили 27 прогосударственных группировок, которые целенаправленно работали против России и СНГ. Это на три больше, чем в 2024-м. И дело не только в цифре. Часть старых групп затаилась, но появились новые — Silent Lynx, Telemancon, Mythic Likho и другие. Что любопытно, большинство из них начали операции ещё в 2024-м, но раскрыли их только сейчас. Это говорит о чём? О возросшей скрытности и качестве операционной безопасности со стороны атакующих.

Кого они бьют в первую очередь? Топ-5 отраслей почти не изменился, но появился важный нюанс.

1. Госучреждения (13 групп). Здесь всё понятно — дипломатическая переписка, стратегические планы.
2. Промышленность (11 групп). Станки с ЧПУ, чертежи, технологии — золотая жила для промышленного шпионажа.
3. НИИ и наука (9 групп). Результаты исследований, патенты. Помните историю с утечкой данных о композиционных материалах? Это оттуда.
4. ВПК (8 групп). Без комментариев.
5. ТЭК (7 групп). Нефть, газ, энергетика — всегда в цене.

А вот и личное наблюдение: последний год показал резкий рост атак на ИТ-компании и вендоров. Сначала мы удивлялись: зачем хакерам атаковать софтверную фирму? Оказалось, это идеальный плацдарм. Скомпрометировав разработчика, можно внедрить бэкдор в его продукт и получить доступ ко всем его клиентам. Это как заразить водопроводную станцию, чтобы отравить весь город. Если ваш софтверный поставщик не имеет сертификации по 152-ФЗ и не проводит пентесты, вы фактически играете в русскую рулетку.

💸 Выкуп в полмиллиарда: эволюция программ-вымогателей от заработка к тотальному разрушению

Вот мы и подобрались к самой сочной, с точки зрения хакеров, части. Активность ransomware (программ-вымогателей) выросла на 15%. Кажется, что немного, особенно на фоне 44%-го роста годом ранее. Но это ложное спокойствие.

Суть в том, что изменилась сама мотивация.

Раньше это был чистый бизнес: шифруем — требуем выкуп — получаем деньги. Сейчас же в 15% атак на средний и крупный бизнес (а год назад было 10%) конечной целью была даже не оплата, а диверсия. Полное уничтожение инфраструктуры, включая резервные копии. Зачем? Чтобы вывести предприятие из строя на максимальный срок, нанести ущерб экономике или репутации.

Я сам разбирал один такой случай на предприятии из топливно-энергетического комплекса. Злоумышленники неделями двигались по сети, изучили всю архитектуру резервного копирования, нашли и удалили offsite-копии. И только потом привели в действие шифровальщик. Восстановление заняло 23 дня. Финансовые потери были на порядок выше любого потенциального выкупа. Это уже не киберпреступность, а кибертерроризм.

И да, про рекордные 500 млн рублей.

Группировка CyberSec’s запросила такие деньги у крупного холдинга. В среднем же цифры тоже кусаются: для крупного бизнеса вымогатели сейчас стартуют с 4-5 млн и доходят до 40 млн рублей. Для малого и среднего — от 250 тысяч до 4 млн. Согласитесь, даже нижняя граница — это катастрофа для небольшой компании.

🚪 Как они попадают внутрь? Векторы атак, которые работают прямо сейчас

А теперь сядем поближе. Я расскажу, как именно злоумышленники пробивают вашу оборону в 2025 году. Старые методы никуда не делись, но их вес кардинально изменился.

Если раньше главной бедой была загрузка ПО с сомнительных сайтов (помните эти «крякнутые» фотошопы?), то сейчас её доля рухнула. С 74% в первом полугодии до 38% во втором. Компании наконец-то начали блокировать недоверенные источники и обучать сотрудников. Это хорошая новость.

Но хакеры просто перестроили тактику.

Резко, почти в 6 раз, выросла доля атак через эксплуатацию уязвимостей — с 5% до 31%. И здесь я хочу наступить на любимую мозоль многих сисадминов. «У нас всё патчено, мы следим за обновлениями!» — говорят они. А на деле оказывается, что в сети висит забытый всем миром принтер или сетевое хранилище 2018 года выпуска с публичным аккаунтом admin:admin. Его и используют как первую точку входа.

Ещё один стремительно набирающий популярность вектор — использование валидных учётных данных. Рост с 2% до 15% просто колоссальный. Откуда пароли? Фишинг, утечки из старых баз, банальные «123456» на корпоративных почтах. Однажды мы расследовали инцидент в логистической компании: финдиректор использовал один и тот же пароль на работе и в игровом сервисе, который взломали. Игрушки — игрушками, но через этот пароль злоумышленники получили доступ к 1С и банк-клиенту.

Микро-кейс из практики:

Ко мне обратился владелец сетки магазинов. «Меня взломали через флешку!» — заявил он. Стали смотреть. Оказалось, что один из менеджеров по продажам, возвращаясь с выставки, вставил в рабочий ноутбук «рекламную» флешку от «поставщика». На ней был не каталог, а скрипт, который за секунды установил бэкдор. Это классика, доля таких атак сейчас около 8%. И знаете, что самое обидное? Антивирус на ноутбуке был, но он «посчитал» действия скрипта легитимными.

🔐 Утечки данных: когда информация утекает тоннами, а не каплями

225 утекших баз данных российских компаний за год — это много или мало? Кажется, что мало, ведь в 2024-м их было 455. Но здесь важен не спад, а контекст. Раньше утекало много «мусора» — старые, неактуальные базы. Сейчас же утекает качественная, свежая информация, за которую готовы платить конкуренты, мошенники и спецслужбы.

760 миллионов строк — это паспорта, телефоны, emails, финансовые истории. Представьте, что на каждый житель России, включая младенцев, приходится по 5-6 утекших строк персональных данных. Жутковато, правда?

И что делают с этими данными? Вариантов масса:

• Целевой фишинг (spear phishing). Зная ваше имя, должность и проект, на котором вы работаете, можно составить письмо от имени гендира, которое не отличишь от настоящего.
• Взлом аккаунтов. Люди до сих пор используют одни пароли везде. Взломав почту на старом сервисе, можно получить доступ к корпоративному облаку.
• Шантаж и компромат. Особенно актуально для госсектора и топ-менеджеров.

Защита персональных данных по 152-ФЗ — это не бюрократическая повинность от ФСТЭК.

Это базовая гигиена, которая может спасти компанию от многомиллионных штрафов и репутационного коллапса. По правде говоря, наблюдая за некоторыми аудитами, я поражаюсь, как компании до сих пор хранят базы клиентов в открытых Excel-файлах на сетевых дисках.

🛡️ 10 железных правил кибербезопасности на 2026 год от практика

Теория теорией, но что делать прямо сейчас? Вот свод правил, который мы даём нашим клиентам после расследования инцидентов. Никакой воды, только то, что реально работает.

1. Убейте учётку «Администратор».
   Создайте индивидуальные учётные записи с правами администратора для тех, кому это критически необходимо. Логирование действий такого аккаунта — золотое дно для расследования.
2. Внедрите двухфакторную аутентификацию (2FA) ВЕЗДЕ.
   Не только на почте, но и в CRM, 1С, облаках, системах управления. СМС — лучше, чем ничего, но TOTP-приложение (типа Google Authenticator) или аппаратный токен — надёжнее.
3. Управляйте уязвимостями, а не просто «патчите».
   Заведите реестр всего оборудования и ПО. Установите приоритетность закрытия дыр не по дате выхода патча, а по критичности для вашего бизнеса. Забытый сетевой принтер может быть опаснее непропатченного Windows.
4. Разделяй и властвуй над сетью.
   Выделите в отдельные сегменты сеть бухгалтерии, серверную, гостевой Wi-Fi, IoT-устройства (те же умные чайники). Чтобы движение из одной зоны в другую было под контролем.
5. Резервные копии — это святое. Храните их НЕДОСТУПНО.
   Правило 3-2-1: три копии данных, на двух разных типах носителей, одна из которых — за пределами офиса и физически отключена от сети (offline). Регулярно проверяйте, что эти копии действительно восстанавливаются.
6. EDR/XDR — не роскошь, а необходимость.
   Антивирус ловит уже известные угрозы. EDR (Endpoint Detection and Response) отслеживает аномальное поведение программ и пользователей, позволяя выявлять цепочки сложных атак. Если у вас больше 50 рабочих мест — пора задуматься.
7. Обучайте не только сотрудников, но и руководство.
   Проводите учебные фишинг-атаки. И обязательно донесите до CEO и CFO, что кибербезопасность — это не «вредный ИТ-отдел что-то запрещает», а стратегическая инвестиция в сохранение бизнеса.
8. Имейте план реагирования на инциденты (IRP).
   Пропишите пошагово: кто главный, кого звонить (включая внешних подрядчиков, нас например 😉), как изолировать сегмент сети, как общаться с прессой. Без плана в момент атаки начнется паника.
9. Проверяйте цепочку поставок.
   Запросите у своих ИТ-поставщиков и вендоров информацию об их мерах безопасности. Имеют ли они сертификаты ФСТЭК? Проводят ли аудит кода? Их уязвимость — ваша уязвимость.
10. Не игнорируйте мобильные устройства.
    Телефон финансового директора — такой же endpoint, как и его ноутбук. Установите политики на корпоративные смартфоны (MDM), запретите установку приложений из сторонних магазинов. Шпионское ПО часто проникает именно через мобильники.

══════

Нужна помощь, чтобы внедрить эти правила или проверить, насколько вы уязвимы прямо сейчас?

Оставьте заявку на Бесплатную консультацию прямо здесь: https://securedefence.ru/
Пришлём чек-лист аудита + дорожную карту внедрения + КП. Первые 5 заказов каждый месяц — расширенный аудит инфраструктуры на 12 страниц в подарок! Не упустите шанс начать год с чистой, защищённой ИТ-среды.

══════

❓ FAQ: 10 острых вопросов о киберугрозах, которые мне задают чаще всего

1. Правда ли, что атаки стали реже?
   Нет. Они стали целевыми и скрытными. Шума меньше, но ущерб — выше. Количество целевых атак (APT) даже выросло.
2. Стоит ли платить выкуп, если всё зашифровали?
   Ни в коем случае. Во-первых, нет гарантии расшифровки. Во-вторых, вы попадёте в список «плательщиков», и вас атакуют снова. В-третьих, финансируя преступников, вы способствуете развитию этой индустрии. Выход один — восстанавливаться из резервных чистых копий.
3. Хватит ли DLP-системы для защиты от утечек?
   Нет. DLP (Data Loss Prevention) контролирует «выходные ворота»: почту, флешки, облака. Но если злоумышленник получил полный контроль над сервером, он обойдёт DLP. Нужен комплекс: DLP + SIEM/EDR + сегментация сети.
4. Наш небольшой бизнес — мы же никому не интересны?
   Это опаснейшее заблуждение. Атаки на малый и средний бизнес часто автоматизированы. Вас не будут изучать месяцами, но запустят массовую ransomware-кампанию. Для вас выкуп в 500 тыс. рублей — катастрофа, для них — лёгкие деньги.
5. Обязательно ли соответствовать 152-ФЗ и 187-ФЗ (КИИ)?
   Если вы обрабатываете персональные данные (а это делает почти любая компания) — 152-ФЗ обязателен. Если работаете в критической инфраструктуре (энергетика, транспорт, здравоохранение и т.д.) — 187-ФЗ закон. Несоответствие грозит гигантскими штрафами и приостановкой деятельности.
6. Фишинг по-прежнему актуален?
   Да, но он стал тоньше. Раньше это были письма «вы выиграли айфон». Сейчас — идеально подделанное письмо от коллеги с «срочным вопросом по договору №345 от 12.12.24». Без обучения сотрудников не обойтись.
7. Помогают ли «страховки от киберинцидентов»?
   Помогают финансово покрыть часть убытков и привлечь специалистов для ликвидации. НО: страховка не предотвратит атаку. А чтобы её получить, вам всё равно придётся доказать, что у вас есть базовые меры защиты.
8. Можно ли доверять облачным сервисам (Яндекс, VK)?
   Да, их уровень безопасности зачастую выше, чем у большинства компаний. НО: ответственность за безопасность данных в облаке разделена. Провайдер защищает «облако» как платформу, а вы, как клиент, обязаны защищать свои данные внутри него: настраивать доступ, включать 2FA, шифровать чувствительную информацию.
9. Как часто нужен внешний пентест?
   Минимум — раз в год. А лучше — после любых значительных изменений в инфраструктуре (запуск нового сервиса, слияние с другой компанией) и при смене команды ИБ. Взгляд со стороны находит то, к чему свои глаза уже «замылились».
10. С чего начать, если бюджет на безопасность почти нулевой?
    С самого главного и бесплатного: 1) Включите 2FA везде, где можно. 2) Обновите всё ПО, включая роутеры. 3) Убедитесь, что резервные копии создаются и хранятся offline. 4) Проведите хотя бы одну беседу с сотрудниками о фишинге. Это уже поднимет ваш уровень на 30%.

🎯 Итог: что нас ждёт в 2026-м?

Честно говоря, легче не станет.

Тренды 2025 года будут только усиливаться. APT-группы станут ещё незаметнее, диверсионные атаки — чаще, а суммы выкупов продолжат бить рекорды. Появятся новые векторы, связанные с ИИ: генерация голоса для мошенничества, автоматизация социальной инженерии.

Ваша защита не может быть статичной.

Это живой организм, который нужно постоянно «кормить» обновлениями, «тренировать» учениями и «осматривать» с помощью аудитов.

И помните: в современном цифровом мире вопрос не в том, атакуют ли вас, а в том, когда это случится. Будете ли вы к этому моменту готовы?

Если после этой статьи вы задумались и хотите проверить свою «цифровую крепость» — не откладывайте. Угрозы не ждут.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию прямо сейчас: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП. И помните: первые 5 заказов каждый месяц получают расширенный аудит на 12 страниц в подарок. Не дайте хакерам сделать вашу компанию своей статистикой за 2026 год. Действуйте

══════

Больше материалов: Центр знаний SecureDefence.