День борьбы с шифровальщиками: «Лаборатория Касперского» проанализировала атаки программ-вымогателей по всему миру

12 мая — международный День борьбы с шифровальщиками. К этой дате эксперты компании подготовили ежегодный глобальный отчёт об атаках программ-вымогателей.

Эксперты «Лаборатории Касперского» проанализировали атаки шифровальщиков по всему миру. В новом отчёте компании отмечается, что злоумышленники всё чаще требуют выкуп без шифрования файлов, Telegram по-прежнему служит им площадкой для продажи украденных данных, а также появляются семейства вредоносов, основанные на постквантовых криптографических шифрах.

География атак. Согласно данным компании, в 2025 году наибольшая доля организаций, столкнувшихся с программами-вымогателями, пришлась на Латинскую Америку (8%). За ней следуют Азиатско-Тихоокеанский регион (8%), Африка (8%), Ближний Восток (7%), СНГ (6%) и Европа (4%).

Доля российских организаций, которые подверглись атакам шифровальщиков в 2025 году, составила 6%, а чаще всего с этой угрозой встречались компании из ИТ-сектора (11%), энергетики (10%) и телекома (9%).

Ключевые тенденции атак. В последнее время злоумышленники сфокусировались на краже данных, а не только на шифровании систем. При этом они масштабируют атаки и постоянно развивают свои методы, в том числе автоматизируют операции.

Основными каналами для распространения и продажи скомпрометированных данных остаются Telegram-каналы и даркнет. Для рекламы своих услуг и публикации информации, связанной с шифровальщиками, злоумышленники используют теневые форумы — например, RAMP или LeakBase. Обе площадки были закрыты в начале 2026 года, поскольку правоохранительные органы активно отслеживают подобные ресурсы. Тем не менее, со временем могут появляться аналогичные форумы.

В 2025 году продолжился рост использования так называемых «убийц» EDR (Endpoint Detection and Response) — инструментов, предназначенных для отключения защитных решений на конечных устройствах перед запуском вредоносного ПО. Они стали уже стандартным элементом атак с использованием шифровальщиков — это говорит о том, что операции становятся всё более целенаправленными и продуманными.

Кроме того, начали появляться семейства программ-вымогателей, использующих стандарты постквантовой криптографии, что ранее прогнозировали эксперты «Лаборатории Касперского». Таким образом, злоумышленники начали переходить к методам шифрования, которые сделают восстановление данных без уплаты выкупа практически невозможным.

В атаках значительную роль продолжают играть брокеры первоначального доступа (Initial Access Brokers, IAB), выступающие в качестве посредников. Они продают в даркнете или на других ресурсах доступ к учётным записям другим злоумышленникам, которые в дальнейшем используют эти данные для кибератак. Всё чаще целью атак становятся порталы RDWeb — веб-сайты, через которые можно удалённо управлять устройствами. Это связано с тем, что группы шифровальщиков продолжают масштабировать атаки по модели «доступ как услуга» («Access-as-a-Service»), что упрощает процесс организации операций.

Активные группы. На первом месте в 2025 году оказалась группа Qilin — она стала доминировать среди шифровальщиков, распространяющихся по модели «программа-вымогатель как услуга» (Ransomware-as-a-service, RaaS), после того как свою деятельность прекратила RansomHub. На втором месте — Clop, на третьем — Akira.

Хотя в 2025 году исчезли сразу несколько крупных групп программ-вымогателей, на их место пришли новые участники. Среди наиболее заметных примеров — Gentlemen. Группа быстро растёт и хорошо организована, а в её состав могут входить злоумышленники, которые ранее были связаны с другими масштабными операциями. При этом Gentlemen стала переходить от хаотичных и «резонансных» атак к масштабируемым, а её методы извлечения прибыли напоминают бизнес-модель. Группа нацелена на кражу конфиденциальных данных, создание репутационных и регуляторных рисков для жертвы, а не только на шифрование файлов и блокирование доступа к ним.

«Программы-вымогатели эволюционировали в целую экосистему, направленную на монетизацию украденных данных, отключение средств защиты и масштабирование атак — причём её эффективность близка к бизнес-модели. Злоумышленники быстро адаптируются и используют для атак легитимные инструменты, эксплуатируют инфраструктуру удалённого доступа, при этом они начали применять постквантовую криптографию на несколько лет раньше, чем ожидалось. Цель международного Дня борьбы с шифровальщиками — повышать глобальную осведомлённость об угрозах, которые несут программы-вымогатели, а также продвигать лучшие практики, помогающие предотвращать подобные атаки и реагировать на них. Для успешного противостояния атакам мы призываем организации выстраивать многоуровневую систему защиты, инвестировать в резервное копирование, а также повышать уровень цифровой грамотности сотрудников», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.

День борьбы с шифровальщиками был объявлен 12 мая 2020 года по инициативе Интерпола и «Лаборатории Касперского». Дата выбрана неслучайно: 12 мая 2017 года достигла своего пика самая масштабная «эпидемия» шифровальщика в истории — WannaCry.

Полный текст отчёта доступен на сайте Securelist.ru.