Рекордный рост вымогательских атак: 20% больше за полгода
Число жертв вымогательских атак в первом полугодии 2025 года выросло на 20% по сравнению с аналогичным периодом 2024 года и на 67% — с первым полугодием 2023 года, достигнув 3 734 компаний, что связано с распространением модели Ransomware-as-a-Service и увеличением числа активных групп с 76 до 88. Большинство атак пришлось на страны Северной Америки и Европы, в том числе на США, где злоумышленники активно используют непатченные уязвимости и доступы, приобретённые через Initial Access Brokers, чтобы обойти этап первоначального проникновения.
По данным Searchlight Cyber, в первом полугодии 2025 года число жертв вымогательских атак достигло рекордных уровней. Всего за январь–июнь 3 734 компании оказались упомянуты на сайтах шантажа, что на 20% больше, чем за аналогичный период 2024 года, и на 67% — по сравнению с первым полугодием 2023 года. Росту способствует распространение модели Ransomware-as-a-Service, когда ядро группы предоставляет инструменты для атак аффилированным участникам, что позволяет расширять охват без участия в каждой операции.
Рост числа групп и сложность отслеживания угроз
Количество активных групп, занимающихся вымогательством, увеличилось с 76 в конце 2024 года до 88 в первом полугодии 2025. Из них 35 — это полностью новые группы, не имевшие предыдущей активности. Высокая текучесть участников и постоянные смены структуры угроз делают сложным отслеживание источников. Группы часто делятся, объединяются, меняют бренд или переходят в другие проекты. Даже если одна из них временно прекращает деятельность, ее члены редко покидают сферу киберпреступности.
География атак и мотивации злоумышленников
Большинство атак пришлось на страны Северной Америки и Европы. Из общего числа жертв 65% — это организации из стран НАТО. США лидируют по количеству пострадавших, за ними следуют Канада, Германия, Великобритания, Франция и Италия. Отмечено три ключевых фактора, обусловливающих такую концентрацию: высокая экономическая ценность, широкая атакуемая поверхность из-за развитой цифровой инфраструктуры и геополитические мотивы, связанные с действиями государственных групп.
Роль Initial Access Brokers
Важную роль в подготовке атак играют Initial Access Brokers (IABs), которые торгуют доступом к сетям на подпольных форумах. Это позволяет группам вымогателей обойти этап получения первоначального доступа. Например, в феврале брокер выложил информацию о доступе к сети компании Alcott HR Group, а 18 дней спустя группа Play уже публиковала эту организацию на своем сайте шантажа. По мнению эксперта, своевременное наблюдение за такими постами могло бы снизить риск атаки или предотвратить несанкционированный доступ.
Эксплуатация уязвимостей
Большинство активных групп продолжает использовать непатченные уязвимости для получения первоначального доступа. В отчете перечислены серьезные уязвимости, затрагивающие популярные корпоративные приложения и сетевое оборудование. Эти уязвимости часто используются до выхода патчей, что создает дополнительные трудности для команд безопасности, вынужденных быстро находить и устранять уязвимые системы.
Интересно: Как быстро можно среагировать на угрозы, связанные с Initial Access Brokers, чтобы минимизировать ущерб? Эксперты подчеркивают важность раннего обнаружения и мониторинга угроз.
Рост киберугроз как новый вызов для цифровой безопасности
Экономика киберпреступности и её масштабирование
Киберпреступность перешла на новый этап развития, став по сути полноценной экономической системой. Модель Ransomware-as-a-Service (RaaS) стала ключевым фактором роста масштаба и скорости атак. Она позволяет группам-основателям масштабировать свою деятельность, привлекая аффилированных исполнителей, которые получают доступ к инструментам, инфраструктуре и методологиям атак. Это снижает барьер входа для новых участников и ускоряет распространение угроз.
Ключевой момент: Такой подход не только увеличивает количество атак, но и усложняет отслеживание источников. Группы легко меняют структуру, бренд или переходят в другие проекты, что делает их устойчивыми к давлению со стороны спецслужб и правоохранительных органов.
В 2025 году стало очевидным, что искусственный интеллект становится активным участником кибератак. Преступники используют ИИ на всех этапах операций — от сканирования сетей до создания вредоносного ПО. Это позволяет им проводить атаки быстрее, масштабировать операции и снижать порог вхождения в киберпреступность. Например, ИИ автоматизирует задачи, которые раньше требовали команды специалистов, что делает атаки более эффективными и сложными для обнаружения.
Тренд: Киберпреступность становится более динамичной и децентрализованной, что требует от компаний более гибких и оперативных методов защиты.
Геополитика и киберпространство: новая реальность
Резкое увеличение атак на страны НАТО, особенно США, указывает на более широкую геополитическую мотивацию. Помимо экономического выгода, злоумышленники используют цифровую инфраструктуру как инструмент давления. Это особенно заметно в контексте роста государственных кибергрупп, которые могут использовать подобные методы для достижения стратегических целей.
Ключевой момент: В условиях геополитической напряжённости цифровые системы становятся не только объектами атак, но и ареной для косвенной конфронтации.
Обратите внимание: Для российских компаний особенно важным становится анализ геополитических трендов в киберпространстве, чтобы предвидеть новые угрозы и адаптировать стратегии защиты.
Слабые звенья: уязвимости и IABs
Одним из главных факторов, способствующих росту атак, остаётся медленное устранение уязвимостей. Многие группы продолжают использовать непатченные системы, что указывает на системные проблемы в управлении угрозами. Особенно опасны Initial Access Brokers — посредники, которые продают доступ к корпоративным сетям на подпольных рынках. Их деятельность делает подготовку атак более эффективной и менее предсказуемой.
Ключевой момент: Брокеры Initial Access играют роль «первого кирпичика» в цепочке атак, и их действия могут быть предсказуемыми, если компании вовремя отслеживают угрозы.
Важный нюанс: Своевременный мониторинг угроз и активное участие в системах раннего предупреждения могут снизить вероятность атаки на 40–60%, согласно данным аналитиков.
Киберпреступность в глобальном масштабе: международный опыт и уроки
Операция Serengeti 2.0, проведённая Интерполом с участием Лаборатории Касперского, показала, что масштабные международные усилия могут дать значительные результаты. В ходе операции задержали более 1200 киберпреступников в 18 африканских странах и Великобритании. Было ликвидировано 11 432 объекта вредоносной IT-инфраструктуры, а пострадавшим удалось вернуть $97,4 млн ущерба. Это подтверждает, что координация международных структур и частного сектора способна эффективно противостоять глобальным киберугрозам.
Однако, несмотря на успехи, масштабы ущерба остаются значительными. Так, 28-летний украинский хакер Владимир Тимощук, о котором объявлено вознаграждение в $11 млн, причастен к атакам, нанесшим ущерб на $18 млрд. Его группа в течение трёх лет атаковала более 250 компаний, включая Norsk Hydro, где ущерб составил $81 млн. Это подчеркивает, что киберпреступность представляет собой серьезную угрозу для международной экономики.
Ключевой вывод: В условиях роста угроз, усиления ИИ и децентрализации киберпреступности, необходимо повышать уровень защиты, ускорять реакцию и активно участвовать в международных инициативах по предотвращению атак.
