Злоумышленники, использующие программы-вымогатели (ransomware), все чаще меняют тактику, делая упор на незаметное проникновение. Это связано с тем, что угроза публикации конфиденциальных корпоративных данных стала основным рычагом давления при вымогательстве.
Ежегодный отчет Red Teaming от Picus Security показывает, что злоумышленники все чаще переходят от заметных сбоев к тихому, долгосрочному доступу, то есть от «хищнических» методов типа «smash-and-grab» к «паразитарной» стратегии с замаскированным постоянным присутствием.
Так, четыре из пяти наиболее распространенных техник атак вариантов ransomware нацелены на то, чтобы оставаться незамеченными после первоначального вторжения. По данным Picus Security, поскольку методы злоумышленников постоянно развиваются, они все больше полагаются на обход мер безопасности и закрепление в сети.
Кроме того, злоумышленники все чаще направляют трафик командно-контрольных центров (C2) через доверенные корпоративные сервисы, такие как OpenAI и AWS, чтобы их вредоносная активность больше походила на обычный деловой трафик.
Цепочки как стратегия
Выводы Picus Security основаны на симуляциях атак, а также на анализе 1,1 миллиона файлов вредоносного ПО и 15,5 миллионов действий атак, сопоставленных с фреймворком MITRE ATT&CK.
Picus не одинока в понимании того, что злоумышленники предпочитают маскировку и настойчивость заметным сбоям. Это совпадает с результатами исследования ransomware от Securin (скачивание в обмен на данные). Как сообщает компания, злоумышленники все чаще связывают несколько уязвимостей в своих атаках на корпоративные системы.
«Группы ransomware больше не рассматривают уязвимости как изолированные точки входа», — объясняет Авирал Верма, ведущий аналитик по анализу угроз в Securin. «Они связывают их в целенаправленные цепочки атак и выбирают уязвимости не только по степени их критичности, но и по тому, насколько эффективно они могут подорвать доверие, устойчивость и оперативный контроль над целыми платформами».
ИИ усиливает ransomware
Хотя злоумышленники все больше осваивают ИИ, в атаках ransomware он в первую очередь выступает в роли усилителя, а не движущей силы. Банды, использующие ransomware, часто предпочитают двойное вымогательство: с одной стороны, они угрожают опубликовать украденную информацию, а с другой — хаосом, который вызывает шифрование данных после проникновения в корпоративные сети.
Однако, как сообщает Picus, количество таких атак сократилось. В частности, компания говорит о снижении числа случаев шифрования на 38 процентов за последние 12 месяцев. Причина в том, что все больше киберпреступников переходят к незаметной эксфильтрации данных для вымогательства у жертв.
Нет спада, скорее рост
Утверждение Picus о снижении числа атак ransomware, однако, оспаривается. Тони Анскомб, главный евангелист по безопасности в ESET, поставщике решений для защиты конечных точек, придерживается противоположного мнения:
«В актуальном отчете ESET Threat Report за второе полугодие 2025 года данные обнаружений показывают рост на 13 процентов между первым и вторым полугодием», — объясняет эксперт нашему американскому изданию. «В то же время, по данным ecrime.ch, число публично заявленных жертв выросло на 40 процентов. Таким образом, ransomware, похоже, не сдает позиций».
Больше жертв благодаря оптимизации
Поставщик услуг кибербезопасности GuidePoint Security также не видит спада — наоборот. Как сообщает компания, число активных групп ransomware достигло нового максимума в прошлом году.
Ник Хаятт, старший консультант по разведке угроз в GuidePoint Security, заявляет, что в прошлом году были опубликованы данные более чем 7000 жертв. Эта цифра, вероятно, не включает тех, кто заплатил выкуп, но чьи данные так и не были опубликованы злоумышленниками.
«Злоумышленники оптимизировали свои наступательные возможности и полагаются на сочетание устоявшихся методов, использования уязвимостей и новых атак для достижения своих целей», — говорит Хаятт.
В лидерах — обычные подозреваемые
Эксперты, опрошенные CSO, в целом назвали Qilin, Cl0p и Akiraсамыми активными группами ransomware, хотя было и множество других конкурентов.
«Согласно данным Huntress за 2025 год, Akira сегодня является ведущей группой ransomware», — объясняет Дрей Ага, старший менеджер по операциям безопасности у поставщика управляемого обнаружения и реагирования Huntress. «Их методы стремительно развиваются, особенно в части нейтрализации существующих решений безопасности. Мы наблюдаем, как они агрессивно атакуют уровень гипервизора, чтобы полностью обойти традиционные меры защиты конечных точек».
Коллин Хог-Спирс, старший директор и технический эксперт в компании по безопасности Black Duck Software, заявляет, что операторы ransomware действуют не как организованные преступники, а как платформенные компании. Так, Qilin зафиксировала «более 1000 жертв в 2025 году, что в семь раз больше, чем в предыдущем году», — поясняет эксперт. «LockBit 5.0 восстановил свою работоспособность после отключения».
Услуги киберпреступности подпитывают преступления
Тем временем федерация в составе Scattered Spider, Lapsus$ и ShinyHunters, сокращенно SLSH, предлагает Extortion-as-a-Service (Вымогательство как услуга) — подход, который облегчает технически менее подкованным киберпреступникам мошеннический заработок. «За шесть месяцев появилось 73 новые группы, потому что им больше не нужно разрабатывать свои инструменты самостоятельно», — говорит Хог-Спирс. «Они их арендуют».
Василиос Мурдзинос, член команды по анализу угроз в компании управляемого обнаружения и реагирования Quorum Cyber, объясняет, что все больше групп переходят от эффективного шифрования к моделям, основанным на вымогательстве. В центре внимания здесь — кража данных и длительный незаметный доступ.
Опасность исходит изнутри
«Этот подход, ставший известным благодаря таким акторам, как Cl0p, который широко использует уязвимости в сторонних системах и цепочках поставок, теперь находит все более широкое применение», — говорит Мурдзинос. «К этому добавляется растущее злоупотребление действительными учетными записями и легитимными административными инструментами для встраивания в нормальную деловую активность. В некоторых случаях даже завербовываются инсайдеры или им предлагают стимулы для обеспечения доступа».
Эти постоянно развивающиеся методы групп ransomware требуют пересмотра стратегий защиты. «Для CISO приоритетом должно стать усиление контроля идентификации, тщательный мониторинг доверенных сторонних приложений и интеграций, а также обеспечение того, чтобы стратегии обнаружения были сосредоточены на устойчивости и эксфильтрации данных», — советует он. (tf)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
