12 мая отмечается Всемирный день противодействия шифровальщикам. К 2025 году, в эту дату, учрежденную Интерполом и «Лабораторией Касперского», важно рассмотреть тенденции в ransomware-атаках, доказывающие: переговоры с преступниками и выплаты криптовалютой становятся всё рискованнее.
Проблемы с эффективностью дешифраторов
После шифрования инфраструктуры компании бизнес стремится быстро восстановить работу систем. Вымогатели обещают, что после оплаты предоставят инструмент для мгновенного восстановления данных. Однако реальность иная.
Во-первых, часть преступников не высылает дешифрующее ПО вовсе. Это подтверждается утечками переписок группировок вроде Black Basta.
Во-вторых, основной фокус злоумышленников — на шифровании, а не на восстановлении. Их дешифраторы работают медленно, с ошибками. Они часто зависают при нестандартных именах файлов, конфликтах прав доступа или просто прерываются без возможности возобновления. В некоторых случаях данные повреждаются безвозвратно.
Это породило новый бизнес — профессиональный ремонт дешифраторов. Специализированные компании дорабатывают сырые версии злоумышленников, но поиск таких услуг отнимает драгоценное время и средства.
Риск повторных нападений
Старая истина о невозможности откупиться от шантажистов актуальна для ransomware. Группировки обмениваются данными, участники мигрируют между Ransomware-as-a-Service проектами. Даже после ликвидации преступной группы выжившие участники продолжают деятельность в новых коллективах.
Сведения о выплатах утекают к другим бандам, что провоцирует новые атаки на те же компании. Зафиксированы случаи четырёх атак разных групп на одну организацию за год.
Усиление регуляторных мер
Современные злоумышленники не только шифруют, но и похищают данные, создавая долгосрочные угрозы. После инцидента у компании три пути:
- публично объявить о случившемся и восстановить данные без контактов с преступниками;
- сообщить об атаке, но заплатить за возврат данных и предотвращение их утечки;
- скрыть инцидент полностью, оплатив «молчание».
Последние два варианта опасны, как демонстрируют кейсы Westend Dental и Blackbaud. Кроме того, государства ужесточают законодательство:
- ЕС внедрил директивы NIS2 и DORA, требующие оперативного оповещения о киберинцидентах;
- Великобритания рассматривает запрет платежей вымогателям для госструктур и КИИ;
- Россия вводит штрафы за утечки персональных данных;
- Сингапур обновил Cybersecurity Act, усилив отчётность по серьёзным инцидентам;
- В США обсуждают запрет крупных выплат вымогателям (от $100 000).
Таким образом, даже успешно замолчанный инцидент может привести к репутационным и финансовым последствиям годами позже.
Ненадёжность обещаний преступников
Платежи часто совершаются за гарантии неразглашения данных, но это не страхует от утечек. Обнародование может произойти в нескольких сценариях:
- Внутренний конфликт группировок. Данные публикуют из мести или при захвате инфраструктуры конкурентами, как в случаях с LeakLock, Mamona или утечкой 7 мая по LockBit;
- Операции правоохранителей. Факт атаки становится достоянием общественности, как произошло с жертвами LockBit;
- Ошибки преступников. Плохо защищённая инфраструктура позволяет случайно обнаружить данные, как в утечке через DDoSecrets.
Эволюция угрозы ransomware
Благодаря усилиям властей и изменению законодательства классические крупные группировки уступили место небольшим командам по модели Ransomware-as-a-Service. Возросло число атак, но общая сумма выкупов снизилась из-за отказа жертв платить и меньших требований к небольшим компаниям (подробнее — в отчёте Securelist).
Ключевой тренд — смешанные мотивы атак. Одна группа может совмещать шпионаж с ransomware, где шифрование маскирует кражу данных или служит допдоходом по заказу. Это лишает бизнес возможности оценить риски и репутацию злоумышленников.
Стратегия противодействия
Платёж вымогателям не решает проблему, а усугубляет её. Основа восстановления — заранее подготовленные сценарии реагирования:
- Детальные планы действий IT- и ИБ-команд при атаке: изоляция узлов, отключение VPN, блокировка аккаунтов;
- Регулярные тренировки по восстановлению из резервных копий, хранящихся в защищённых системах;
- Внедрение систем мониторинга. Крупным компаниям подойдёт XDR, остальным — услуга MDR.
