Крупные кампании по массовому вымогательству данных с использованием уязвимостей нулевого дня постепенно теряют эффективность, даже когда злоумышленникам удаётся получить доступ к ценным корпоративным системам. Новый отчёт компании Coveware показывает, что бизнес всё реже соглашается на выплаты, а сама экономика таких атак заметно проседает.
В четвёртом квартале 2025 года группировка CL0P провела масштабную операцию, задействовав ранее неизвестную уязвимость в Oracle E-Business Suite. Схема повторяет подход, который команда использует уже несколько лет. Сначала приобретается готовый инструмент эксплуатации популярного корпоративного решения, затем массово взламываются установки клиентов и их партнёров, после чего происходит выгрузка данных и рассылка требований о выплате. При этом шифрование систем не применяется, давление строится только на факте кражи информации.
Похожие операции CL0P проводила ранее через Accellion FTA, GoAnywhere MFT, MOVEit Transfer и Cleo MFT. Если в 2021 году доля согласившихся на выплату доходила примерно до 25%, то в более поздних кампаниях показатель резко снизился. В инциденте с MOVEit он оказался около 2,5%, а в атаках через Cleo пострадавшие клиенты, по данным Coveware, вообще не переводили деньги злоумышленникам. Кампания против Oracle EBS, несмотря на чувствительность похищенных данных и сложность анализа утечки, также показала один из самых низких уровней отклика со стороны жертв.
Авторы отчёта связывают это с изменением отношения компаний к подобным требованиям. Организации лучше понимают юридические последствия инцидентов и ограничения такого способа «решения проблемы». Выплата не снимает обязанность уведомлять регуляторов и клиентов, не защищает от судебных исков и не гарантирует уничтожение копий украденных сведений. Более того, после начала диалога давление часто усиливается и выходит за рамки цифровых угроз.
Похожая картина наблюдалась и в других громких сериях взломов, включая инциденты вокруг Snowflake и атаки на CRM-платформы, которые связывают с группой Shiny Hunters. Несмотря на широкий охват и публичность, переводы средств оставались редкостью, а многие компании предпочитали полностью игнорировать требования.
Статистика выплат по программам-шифровальщикам в конце 2025 года также указывает на перекос. Средняя сумма перевода выросла до 591 988 долларов, медианная до 325 000. Рост связан не с массовой готовностью платить, а с отдельными крупными случаями, где простой инфраструктуры был критичен. В целом доля выплат снизилась примерно до 20% и продолжает падать.
Наиболее распространёнными семействами вредоносного ПО остаются Akira и Qilin, которые делают ставку на шифрование, а не только на кражу информации. Основным начальным вектором проникновения стал захват удалённого доступа и учётных данных, включая облачные сервисы и SaaS. Социальная инженерия всё чаще используется как вспомогательный инструмент для получения легитимных прав входа.
По оценке Coveware, снижение доходности массовых кампаний утечки данных подталкивает преступные группы к смене тактики. Вероятен возврат к атакам с шифрованием и более точечному использованию доступа к сетям жертв.