В марте 2024 года член банды вымогателей BlackCat обратился с жалобой на форум киберпреступников. Они осуществили атаку на Change Healthcare — одну из крупнейших утечек данных в сфере здравоохранения в истории США — но так и не получили свою долю от выкупа в размере 22 миллионов долларов. Операторы BlackCat забрали деньги и исчезли, разместив на своем сайте с утечкой поддельное уведомление ФБР об изъятии, чтобы прикрыть свой уход.
Эта жалоба почти напоминает спор с подрядчиком. Если отбросить преступный элемент и явное предательство, то останется (намек на) то, что может узнать любой руководитель компании: деловые договоренности, включающие цепочки поставок, ценообразование, конкуренцию и клиентов, ожидающих, что их деньги будут потрачены не зря. Современные программы-вымогатели работают именно по этой логике.
Однако со стороны этого не заметно. Неподготовленному глазу атаки кажутся взломом с приложенной запиской с требованием выкупа — кто-то проникает внутрь, блокирует (и крадет) важные файлы, оставляет грубое требование и ждет вознаграждения. Все ясно и просто, но почти наверняка неполно. Понятно, что взрыв и особенно его последствия попадают в заголовки новостей, в то время как все, что к нему привело, остается «за кадром». Но большая часть того, что сделало атаку возможной и успешной, произошла там, где никто не смотрел.
Слишком дешево, чтобы провалиться
За «витриной» программы-вымогателя скрывается своего рода франчайзинговая операция или, возможно, гиг-экономика, включающая рынки труда и инструментов, услуги по подписке, поставщиков, партнеров и даже нечто, похожее на соглашения об уровне обслуживания между вовлеченными сторонами.
Эта индустрия устроена так, что каждому участнику нужно лишь быть компетентным в своей (узкой) функции. Разработчик, который поддерживает платформу вымогательского ПО и бренд, никогда не должен беспокоиться о том, чтобы прикасаться к среде жертвы, чтобы заработать свое вознаграждение. Партнер платит долю или комиссию за доступ, используя учетные данные, которые он не собирал сам. Посредник, предоставляющий первоначальный доступ, который продает точку опоры в корпоративной сети, не знает (и даже не должен знать), что покупатель планирует делать с этими учетными данными. В совокупности они прокладывают путь для вторжения задолго до того, как поступит требование выкупа.
Поэтому, если ваша организация рассматривает инцидент с вымогательством выкупа лишь как почти случайное вторжение, произошедшее практически из ниоткуда, ее защитные меры не смогут учесть, насколько хорошо обеспечена ресурсами и насколько итеративна эта угроза на самом деле. И всякий раз, когда отрасль структурируется таким образом, следует рост объемов.
Данные ESET по обнаружению показывают, что во второй половине 2025 года количество случаев использования программ-вымогателей увеличилось на 13 процентов по сравнению с предыдущими шестью месяцами, после 30-процентного роста в первой половине 2025 года. Между тем, в отчете Verizon «Расследования утечек данных » (DBIR) за 2025 год зафиксирован скачок доли утечек, связанных с вымогательским ПО, с 32% до 44%, в то время как средняя сумма выкупа снизилась с 150 000 до 115 000 долларов. Меняются и цели. Анализ Mandiant показывает переход к более мелким организациям с менее развитой системой защиты.
Большее количество (и более уязвимых) целей плюс меньшие суммы выкупа — это классическая стратегия «количество превосходит качество».
Программы-вымогатели — это далеко не случайность
Злоумышленники, использующие программы-вымогатели, применили логику франчайзинга к древнему «искусству» вымогательства, распределив при этом ответственность. Конечно, внутреннее устройство того, что часто называют «вымогательством как услугой» (RaaS), более хаотично, чем, скажем, у сети фаст-фуда — координация слабая, а территориальные войны реальны и иногда выходят на публику. Тем не менее, основная логика остается прежней. Эта индустрия живет и умирает благодаря доверию между ее участниками и стимулам , которые их связывают. А как мы знаем, стимулы, как известно, определяют результаты больше всего на свете.
Настолько, что в этой сфере соответственно много участников. Конкуренция между людьми в целом расширяет свои формы — сначала между отдельными людьми, затем между семьями, затем между сообществами, затем между нациями. В цифровом мире отдельные хакеры, соревнующиеся за известность, превратились в организованные группы, соревнующиеся за территорию, которая стала взаимосвязанной сетью специалистов, соревнующихся за долю рынка. Не обремененные границами или бюрократией, киберпреступники сжали дугу, на которую у легальных отраслей ушли десятилетия, до пары лет.
Правоохранительные органы, конечно, не стоят в стороне, и целенаправленные сбои создают реальную неопределенность и налагают реальные издержки. Но закрытие компании на конкурентном рынке не закрывает сам рынок. Поскольку стимулы остаются неизменными, исчезновение группы, занимающейся вымогательством выкупа, вызывает конкуренцию среди выживших за право занять ее место. Появляются новые участники, другие меняют бренды или объединяются с коллегами, клиенты выбирают новых поставщиков, проверенные сценарии действий выживают. Даже внутренние разборки между киберпреступными группами сводятся к тому, что рынок избавляется от своих слабых игроков — конкуренция работает так, как и заявлено.
Например, когда в 2024 году правоохранительные органы пресекли деятельность LockBit и BlackCat, их аффилированные лица перешли в основном на RansomHub. В 2025 году DragonForce — на тот момент относительно незначительный игрок — взломал сайты утечек нескольких конкурентов и вывел из строя сайт RansomHub, который на тот момент был лидером рынка. Когда RansomHub замолчал, его долю рынка поглотили Akira и Qilin. Эта модель сохраняется, потому что барьер для входа на рынок остается низким, инструменты доступны как услуга, а рабочая сила настолько заменяема, что предложение не может испытывать нехватку участников. Операции с программами-вымогателями построены так, чтобы масштабироваться независимо от того, обладает ли какой-либо отдельный «участник» впечатляющими навыками.
Гонка Красной королевы
С годами старый сценарий вымогательства выкупа — блокировка файлов и требование выкупа — уступил место двойному вымогательству, при котором злоумышленники крадут корпоративные данные перед их шифрованием и публикуют по крайней мере образцы из добычи на специальных сайтах утечек. ФБР и CISA теперь регулярно описывают вымогательство выкупа как проблему «кражи данных и вымогательства».
Но и конкретные опасности быстро меняются. Еще два года назад о ClickFix — методе социальной инженерии, при котором поддельное сообщение об ошибке заставляет пользователей скопировать и вставить, а затем выполнить вредоносные команды — почти никто не слышал. Сейчас он широко распространен и используется как государственными, так и киберпреступными группами.
С другой стороны, такая скорость адаптации едва ли удивляет, если учесть, что ее вариант существует в природе, ну, практически с незапамятных времен. Виды, находящиеся в конкуренции, должны постоянно адаптироваться, чтобы просто удержать свои позиции. Хищники становятся быстрее, поэтому и добыча становится быстрее. Добыча развивает камуфляж, поэтому хищники развивают более острое зрение. В биологии это называется эффектом Красной королевы, названным в честь персонажа из книги Льюиса Кэрролла «Алиса в Зазеркалье», который должен бежать, чтобы просто оставаться на месте.
Специалисты по безопасности узнают эту динамику, хотя более привычные названия — такие как гонка вооружений и игра в кошки-мышки — могут не в полной мере отражать суть явления. Эффект Красной королевы описывает нечто более конкретное: адаптацию, которая не дает чистого преимущества, поскольку другая сторона адаптируется почти параллельно.
Его наиболее яркое проявление до сих пор наблюдается в пространстве между инструментами защитников и антиинструментами злоумышленников. Продукты для обнаружения и реагирования на угрозы на конечных устройствах (а также расширенного обнаружения и реагирования, или EDR/XDR) играют ключевую роль в выявлении деятельности, которую партнеры по распространению программ-вымогателей ведут внутри скомпрометированных сетей. По мере совершенствования этих продуктов преступники отреагировали созданием подпольного рынка инструментов, предназначенных для их отключения.
А где есть рынок, там есть и продукт — как правило, в большом количестве.
Исследователи ESET отслеживают почти 90 «убийц EDR», находящихся в активном использовании. Пятьдесят четыре из них используют одну и ту же базовую технику: загрузка легитимного, но уязвимого драйвера на целевой компьютер и использование его для получения привилегий на уровне ядра, необходимых для отключения продукта безопасности. Эта техника называется «Bring Your Own Vulnerable Driver» (BYOVD), а уязвимые драйверы являются товаром — один и тот же драйвер появляется в несвязанных инструментах, а один и тот же инструмент переходит от драйвера к драйверу в разных кампаниях.
Рынок «убийц» EDR отражает экономику программ-вымогателей, которой он служит. Эти анти-инструменты поставляются в комплекте с услугами по обфускации на основе подписки, которые регулярно обновляются, чтобы опережать системы обнаружения. Как правило, выбор того, какой «убийца» будет развернут, делают не операторы программ-вымогателей, а их партнеры — решение о покупке принимается на уровне франшизы. Когда обновляется защитный продукт, обновляется и услуга по обфускации. И снова «Красная королева».
Сами по себе инвестиции в EDR-киллеры, как ни парадоксально, являются самым ярким показателем того, насколько серьезный ущерб наносят инструменты обнаружения преступной бизнес-модели. В конце концов, не создают целую категорию продуктов для того, чтобы отключить то, что не наносит ущерба вашей прибыли.
Кроме того, анти-инструменты могут масштабироваться еще больше, поскольку ИИ делает рынок, не говоря уже о более широкой экономике киберпреступности, еще более доступным для входа. Исследователи ESET подозревают, что ИИ помог в разработке некоторых «убийц» EDR — продукция банды Warlock является лишь одним из примеров. Фактически, в прошлом году эксперты ESET также обнаружили первое вымогательское ПО на базе ИИ, хотя и не в реальных атаках. Кроме того, другие исследователи задокументировали то, что они называют«vibeware»: массово производимое вредоносное ПО с помощью ИИ, предназначенное для наводнения целевой среды одноразовым кодом в надежде, что часть его пройдет. Барьер для производства вредоносного ПО снизился до такой степени, что ограничением является не столько наличие сложных навыков, сколько намерение — во многом так же, как мы наблюдали на более широкой арене киберпреступности.
Анализ рынка
Рассматривая программы-вымогатели исключительно как атаку, мы создаем средства защиты, направленные против атак. Но если думать о программах-вымогателях как об отрасли, то в фокусе появляются дополнительные приоритеты.
Среди вопросов, которые стоит себе задать: как развивается динамика «Красной королевы» между защитными продуктами и анти-инструментами? Какие вредоносные инструменты, техники и процедуры сейчас в ходу? Сможет ли наш набор средств безопасности отразить атаку BYOVD, использующую драйверы, которые сейчас находятся в обращении? Что произойдет с нашей средой, если MSP в нашей цепочке поставок будет скомпрометирован? Какие злоумышленники, использующие программы-вымогатели, активно нацелены на наш сектор, и какие «убийцы EDR» они покупают?
Если вы не можете ответить на эти и другие актуальные вопросы, возможно, к тому моменту, когда результаты работы отрасли дойдут до вас, большая часть цепочки уже будет выполнена. Вы не можете предсказать, какая группа нацелится на вас, когда и через какой вектор. Но вы можете поддерживать актуальную карту того, куда движутся активные группы — и может ли какой-либо из этих путей привести к вашей двери.
