75% взломов начинаются с обычного логина и пароля — как устроен рынок вымогателей в 2026
19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри.
🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с valid credentials на 71% год к году. Каждый день в даркнете появляется более 6 000 свежих пар логин-пароль от инфостилеров. Для SOC это значит одно: initial access выглядит как легитимный вход. Никакого эксплойта, никакого подозрительного бинарника — просто сотрудник «сам» зашёл в VPN в 3 часа ночи воскресенья.
Вся эта машина работает на трёх ролях:
• Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа.
• Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC.
• IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000.
Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году.
⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале.
Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов.
📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн.
Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки.
Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме.
