Проверенные «бизнес-модели», которым отдают предпочтение некоторые из самых искусных и опасных в мире программ-вымогателей, стремительно масштабируются, поскольку киберпреступники все чаще используют структурированные партнерские модели и активно ищут новых рекрутов, включая злонамеренных инсайдеров и даже самих киберпрофессионалов, согласно последнему ежемесячному обзору NCC Group. То, что банды киберпреступников действуют как организованная индустрия, конечно, не новость, и хорошо известно и понятно в индустрии безопасности, а в наши дни и за ее пределами. Однако, по данным NCC, на фоне 13%-ного роста зарегистрированных атак программ-вымогателей в декабре 2025 года растущий финансовый «успех» банд вымогателей позволяет им предлагать более сильные финансовые стимулы – включая более крупные комиссии – своим новым рекрутам, а также улучшенные меры операционной безопасности (OpSec), что свидетельствует о растущей профессионализации в экосистеме. Мэтт Халл из NCC заявил, что банды, предлагающие ransomware-as-a-service (RaaS), теперь рассматривают сотрудников, подрядчиков и доверенных партнеров как шлюзы в целевые организации и активно нацеливаются на них, чтобы получить легитимный доступ к учетным данным, системам и процессам. Это позволяет им как обходить средства контроля безопасности, так и снижать зависимость от использования уязвимостей, которые могут быть обнаружены и исправлены в любой момент, что, в свою очередь, снижает риск обнаружения и раскрытия до проведения кибератаки. Он привел хорошо освещенный инцидент, в котором банда Medusa ransomware опрометчиво нацелилась на BBC, связавшись с ее корреспондентом по кибербезопасности Джо Тайди. Банда написала Тайди в зашифрованном приложении Signal, предложив ему 15% от будущей выплаты выкупа, если он предоставит им доступ к своему ПК. Когда это было отклонено, рекрутер Medusa повысил предложение до четверти процента от доходов BBC и пообещал Тайди, что тот никогда больше не будет работать. «Нацеливание на громкие организации, такие как BBC, является одновременно финансово привлекательным и коммерчески стратегическим», — сказал Халл. «Даже ограниченный успех против известного бренда может принести известность и доверие, помогая группам привлекать будущих партнеров и возможности. Хорошо обеспеченные группы, такие как Medusa и Qilin, могут позволить себе использовать финансовые стимулы для привлечения инсайдеров, но у мелких банд часто не хватает средств для конкуренции. «Для организаций это смещает фокус с чисто технической защиты на управление человеческими рисками. Программы по работе с инсайдерскими угрозами, надежное управление доступом и надежные процессы увольнения имеют решающее значение для снижения риска того, что нынешние или бывшие сотрудники станут частью цепочки поставок программ-вымогателей». Но нацеливаются не только на сотрудников. В ноябре 2025 года власти США предъявили обвинения трем мужчинам, обвиняемым в вымогательстве у пяти известных жертв с использованием программы-вымогателя ALPHV/BlackCat. Изюминкой было то, что все трое работали в области кибербезопасности, специализируясь на реагировании на инциденты и переговорах по поводу программ-вымогателей. Министерство юстиции (DoJ) заявило, что один из мужчин был вовлечен в схему из-за долгов. Двое обвиняемых, Райан Голдберг и Кевин Мартин, в конце декабря 2025 года признали себя виновными в воспрепятствовании торговле путем вымогательства, и их приговор будет вынесен в марте. «Программы-вымогатели превратились в организованную бизнес-модель. Эти группы теперь думают в терминах рекрутинга, стимулов, масштаба и роста, а не просто атак», — добавил Халл. «Поразительно, что эти тактики не новы. Доверие, обман, социальная инженерия и финансовое давление всегда работали, просто они теперь организованы и масштабируются по-новому. Рекрутинг специалистов по кибербезопасности показывает, насколько далеко это зашло: группы вымогателей используют экспертизу, доступ и человеческое доверие для работы как структурированные преступные предприятия».
Qilin остается самой активной группой
В декабре 2025 года телеметрия NCC зафиксировала 170 атак программы-вымогателя Qilin, что примерно вдвое больше, чем у ближайшего соперника банды Akira, которая совершила 78 атак. LockBit 5.0, Safepay и Sinobi завершили пятерку лидеров с 68, 67 и 54 зафиксированными атаками соответственно. NCC заявила, что рост числа атак программ-вымогателей в конце года является хорошо задокументированным событием, поскольку киберпреступники нацеливаются на организации, оставшиеся с нехваткой персонала в праздничный период. Как обычно, Северная Америка оставалась наиболее целевым регионом, на долю которого пришлось 50% атак, наблюдавшихся NCC, Европа — еще четверть, а Азия — 12%. Примерно 30% атак были нацелены на промышленный сектор, за ним следовали 22% атак на сектор потребительских товаров дискреционного спроса и 10% атак на ИТ-компании.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
