Пять новых причин не платить вымогателям

12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.

Низкое качество расшифровщиков

Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.

Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.

Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.

В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.

Повторные атаки

Старая истина о том, что шантажисту невозможно перестать платить, верна и для ransomware. Банды вымогателей общаются между собой, «партнеры» перетекают между группировками, работающими по схеме Ransomware-as-a-Service. Кроме того, когда правоохранительные органы успешно прекращают деятельность банды, далеко не всегда удается арестовать всех ее участников, и те, кто избежал ответственности, берутся за старое уже в другой группе.

В результате информация о том, что кто-то успешно получил выкуп с жертвы, становится известна новой банде, которая пытается атаковать ту же организацию, и зачастую успешно. Бывали случаи, когда одна и та же компания была атакована четырьмя разными группировками в течение года.

Ужесточение законодательств

Современные злоумышленники не только шифруют, но и крадут данные, что создает долгосрочные риски для компании и топ-менеджмента. После атаки ransomware у компании есть три основных варианта:

• публично объявить об инциденте и восстанавливать работу и данные без общения с вымогателями;
• объявить об инциденте, но заплатить выкуп за восстановление данных и предотвращение их публикации;
• скрыть инцидент вообще, заплатив выкуп за молчание.

Последние два варианта всегда были миной замедленного действия, как доказывают случаи компаний Westend Dental и Blackbaud. Более того, сейчас все больше стран принимают законы, которые делают такие действия незаконными. Вот несколько примеров.

• Принятые в ЕС законы NIS2 Directive и DORA (Digital Operational Resilience Act), требуют от компаний многих индустрий, а также крупных и критических бизнесов в короткие сроки сообщать о киберинцидентах, а также накладывают на организации существенные требования по киберустойчивости.
• В Великобритании обсуждается специальный закон, запрещающий государственным организациям и операторам критической инфраструктуры платить выкуп, а также вводящий требования ко всем бизнесам оперативно отчитываться об инцидентах ransomware.
• В России вступает в действие закон об оборотных штрафах за утечки персональных данных.
• В Сингапуре обновлен Cybersecurity Act, требующий от операторов КИИ отчитываться об инцидентах, включая инциденты в цепочке поставок и инциденты, связанные с прерываниями обслуживания клиентов.
•  В США находится в обсуждении и частично принят пакет федеральных директив и законов штатов, запрещающих крупные платежи вымогателям (от $100 000) и требующих оперативно отчитываться об инцидентах.

Таким образом, даже успешно восстановившись после инцидента, компания, тайно заплатившая вымогателям, еще многие годы рискует получать неприятные последствия, если инцидент станет публичен (например, после ареста вымогателей).

Отсутствие гарантий

Часто компании платят не столько за расшифровку, сколько за обещание не публиковать данные компании и не афишировать сам факт атаки. Но это вообще не гарантия того, что данная информация нигде не всплывет. Как показывают недавние инциденты, обнародование самого факта взлома и конкретных украденных данных возможна в нескольких сценариях.

• В результате внутреннего конфликта злоумышленников. Например, из-за разногласий в группировке или атаки одной группы на инфраструктуру другой. В результате данные жертв публикуют, чтобы отомстить, или же они утекают в процессе уничтожения активов конкурирующей банды. В 2025 году данные жертв появились при утечке внутренней переписки банды Black Basta, а также после уничтожения и захвата группой DragonForce инфраструктуры двух конкурентов — BlackLock и Mamona. 7 мая сайт LockBit взломали и выложили в публичный доступ данные из панели администратора, где перечислены и детально описаны все жертвы группы за последние полгода.
• В ходе атаки правоохранительных органов на группировку. Сами данные полиция, конечно, публиковать не будет, но вот факт взлома станет широко известен. В прошлом году таким образом стало известно о жертвах LockBit.
• Из-за ошибки самих вымогателей. Их инфраструктура зачастую не особенно хорошо защищена, и украденные данные могут случайно найти исследователи безопасности, конкуренты или просто случайные люди. Самый яркий пример: гигантская подборка данных, украденных в пяти крупных компаниях различными бандами ransomware и целиком опубликованных хактивистским коллективом DDoSecrets.

Возможно, ransomware — не главная проблема

Благодаря деятельности правоохранительных органов, эволюции законодательства и самого киберпространства портрет «типичной группировки вымогателей» сильно изменился. Активность крупных группировок, типичных для инцидентов 2020–2023 годов, несколько снизилась, а на первый план вышли схемы Ransomware-as-a-Service, в которых атакующей стороной могут быть очень небольшие коллективы и даже одиночки.

Появилась важная тенденция: при росте числа инцидентов с шифрованием снижается общая сумма выплаченных выкупов. Это объясняется двумя причинами: во-первых, жертвы все чаще отказываются платить, во-вторых, многие вымогатели вынуждены атаковать компании меньшего калибра и просить меньший выкуп. Более подробную статистику можно изучить в нашем отчете на Securelist.

Но главное — участились случаи, когда в деятельности атакующих прослеживаются смешанные мотивы. Одна и та же группа ведет шпионские кампании и попутно заражает инфраструктуру ransomware. Иногда шифровальщик служит лишь дымовой завесой, чтобы замаскировать шпионаж, а иногда атакующие, по всей видимости, выполняют чей-то заказ и используют вымогательство как дополнительный источник дохода.

Для владельцев и руководителей бизнеса это означает, что в случае ransomware-инцидента невозможно ни просчитать мотивацию атакующего, ни проверить его репутацию.

Что делать с ransomware

Вывод прост: плата денег вымогателям — это не решение, а продление и углубление проблемы. Ключ к быстрому восстановлению бизнеса — не плата вымогателям, а заранее спроектированный и отрепетированный сценарий реагирования и восстановления после атаки.

Так что организациям необходимо внедрить детальные планы реагирования ИТ- и ИБ-отделов на ransomware-инцидент. Включая сценарии изоляции хостов и подсетей, отключения VPN и удаленного доступа, деактивации аккаунтов, включая основные административные с переходом на запасные учетные записи. Нужны регулярные учения по восстановлению резервных копий и хранение этих копий в системе, где данные не смогут уничтожить атакующие.

Чтобы реализовать эти меры и успеть среагировать за то короткое время, когда атака развивается, но еще не поразила всю сеть, необходимо внедрить в организации глубокую систему мониторинга. Крупным компаниям подойдет решение XDR, в то время как бизнесы поменьше могут получить качественные мониторинг и реагирование, приобретая услугу MDR от экспертов.