12 мая — международный День борьбы с шифровальщиками. К этой дате эксперты компании подготовили ежегодный глобальный отчёт об атаках программ-вымогателей
Эксперты «Лаборатории Касперского» проанализировали атаки шифровальщиков по всему миру. В новом отчёте компании отмечается, что злоумышленники всё чаще требуют выкуп без шифрования файлов, Telegram по-прежнему служит им площадкой для продажи украденных данных, а также появляются семейства вредоносов, основанные на постквантовых криптографических шифрах.
География атак. Согласно данным компании, в 2025 году наибольшая доля организаций, столкнувшихся с программами-вымогателями, пришлась на Латинскую Америку (8%). За ней следуют Азиатско-Тихоокеанский регион (8%), Африка (8%), Ближний Восток (7%), СНГ (6%) и Европа (4%).
Доля российских организаций, которые подверглись атакам шифровальщиков в 2025 году, составила 6%, а чаще всего с этой угрозой встречались компании из ИТ-сектора (11%), энергетики (10%) и телекома (9%).
Ключевые тенденции атак. В последнее время злоумышленники сфокусировались на краже данных, а не только на шифровании систем. При этом они масштабируют атаки и постоянно развивают свои методы, в том числе автоматизируют операции.
Основными каналами для распространения и продажи скомпрометированных данных остаются Telegram-каналы и даркнет. Для рекламы своих услуг и публикации информации, связанной с шифровальщиками, злоумышленники используют теневые форумы — например, RAMP или LeakBase. Обе площадки были закрыты в начале 2026 года, поскольку правоохранительные органы активно отслеживают подобные ресурсы. Тем не менее, со временем могут появляться аналогичные форумы.
В 2025 году продолжился рост использования так называемых «убийц» EDR (Endpoint Detection and Response) — инструментов, предназначенных для отключения защитных решений на конечных устройствах перед запуском вредоносного ПО. Они стали уже стандартным элементом атак с использованием шифровальщиков — это говорит о том, что операции становятся всё более целенаправленными и продуманными.
Кроме того, начали появляться семейства программ-вымогателей, использующих стандарты постквантовой криптографии, что ранее прогнозировали эксперты «Лаборатории Касперского». Таким образом, злоумышленники начали переходить к методам шифрования, которые сделают восстановление данных без уплаты выкупа практически невозможным.
В атаках значительную роль продолжают играть брокеры первоначального доступа (Initial Access Brokers, IAB), выступающие в качестве посредников. Они продают в даркнете или на других ресурсах доступ к учётным записям другим злоумышленникам, которые в дальнейшем используют эти данные для кибератак. Всё чаще целью атак становятся порталы RDWeb — веб-сайты, через которые можно удалённо управлять устройствами. Это связано с тем, что группы шифровальщиков продолжают масштабировать атаки по модели «доступ как услуга» («Access-as-a-Service»), что упрощает процесс организации операций.
Активные группы. На первом месте в 2025 году оказалась группа Qilin — она стала доминировать среди шифровальщиков, распространяющихся по модели «программа-вымогатель как услуга» (Ransomware-as-a-service, RaaS), после того как свою деятельность прекратила RansomHub. На втором месте — Clop, на третьем — Akira.
Хотя в 2025 году исчезли сразу несколько крупных групп программ-вымогателей, на их место пришли новые участники. Среди наиболее заметных примеров — Gentlemen. Группа быстро растёт и хорошо организована, а в её состав могут входить злоумышленники, которые ранее были связаны с другими масштабными операциями. При этом Gentlemen стала переходить от хаотичных и «резонансных» атак к масштабируемым, а её методы извлечения прибыли напоминают бизнес-модель. Группа нацелена на кражу конфиденциальных данных, создание репутационных и регуляторных рисков для жертвы, а не только на шифрование файлов и блокирование доступа к ним.
«Программы-вымогатели эволюционировали в целую экосистему, направленную на монетизацию украденных данных, отключение средств защиты и масштабирование атак — причём её эффективность близка к бизнес-модели. Злоумышленники быстро адаптируются и используют для атак легитимные инструменты, эксплуатируют инфраструктуру удалённого доступа, при этом они начали применять постквантовую криптографию на несколько лет раньше, чем ожидалось. Цель международного Дня борьбы с шифровальщиками — повышать глобальную осведомлённость об угрозах, которые несут программы-вымогатели, а также продвигать лучшие практики, помогающие предотвращать подобные атаки и реагировать на них. Для успешного противостояния атакам мы призываем организации выстраивать многоуровневую систему защиты, инвестировать в резервное копирование, а также повышать уровень цифровой грамотности сотрудников», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
День борьбы с шифровальщиками был объявлен 12 мая 2020 года по инициативе Интерпола и «Лаборатории Касперского». Дата выбрана неслучайно: 12 мая 2017 года достигла своего пика самая масштабная «эпидемия» шифровальщика в истории — WannaCry.
Полный текст отчёта доступен на сайте Securelist.ru.
Для защиты от атак с применением программ-шифровальщиков «Лаборатория Касперского» также рекомендует организациям:
· регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
· в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
· предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI), а также регулярно повышать их навыки с помощью специальных тренингов;
· проводить тренинги по кибербезопасности для сотрудников. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform;
· использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
