Вымогательское ПО и платежи 2025: Меньше денег несмотря на рекордное число атак

Кибербезопасность в 2025 году демонстрирует парадоксальную картину: несмотря на рекордные показатели по количеству ransomware-атак, суммы фактически выплаченных выкупных снизились. По данным Chainalysis, в прошлом году на on-chain платежи злоумышленникам было переведено всего 820 миллионов долларов — на 8% меньше по сравнению с оценочными 892 миллионами долларов за предыдущий год.

Игра чисел: больше жертв, меньше прибыли

Настоящий шок в данных 2025 года вызывает разрыв между частотой атак и реальными доходами преступников. Количество зарегистрированных жертв ransomware выросло на 50% — этот рост сделал текущий год рекордным по количеству инцидентов. Тем не менее, выплаты выкупных значительно не оправдали ожиданий.

Это привело к тому, что среднее соотношение между выплаченным выкупом и числом жертв в 2025 году достигло рекордно низкого уровня — всего 28%. Однако в отчёте Chainalysis отмечается, что окончательные выплаты могут достигнуть до 900 миллионов долларов, если будут учтены все случаи и сопоставлены с конкретными группами. Даже в этом сценарии разница с 2024 годом останется минимальной и отразит стагнацию.

Особенно интересное явление наблюдается в медианной сумме выкупа: она выросла на 368% — с 12 738 долларов в прошлом году до 59 556 долларов в 2025-м. Это говорит о том, что хотя в целом меньше жертв платили, те, кто платил, переводили значительно большие суммы. Такой тренд свидетельствует о смене тактики ransomware-атак.

Почему злоумышленники сменили стратегию

Эксперты связывают эти изменения с несколькими факторами, действующими одновременно. Во-первых, в мире значительно усилились меры против инфраструктуры ransomware и её операторов. Во-вторых, рынок ransomware сам по себе прошёл децентрализацию: вместо нескольких доминирующих вариантов и централизованных групп появилось множество мелких, независимых коллективов. Эта фрагментация усложняет не только отслеживание, но и надежное определение принадлежности платежей конкретным группам.

Киберпреступники реагируют на давление сменой стратегии: они всё больше ориентируются на малый и средний бизнес вместо крупных корпораций. Логика проста — меньшие цели воспринимаются как более сговорчивые по части требований выкупа и привлекают меньше внимания со стороны общественности. В результате — меньше громких атак, но расширенная зона поражения.

Географическая и секторальная структура угроз

Географический анализ показывает, что США остаются основным регионом целей, за ними следуют Канада, Германия и Великобритания. В этих странах наиболее часто атакуются производственный сектор и сферы финансовых и услуг. Однако Chainalysis предупреждает, что злоумышленники по-прежнему действуют оппортунистически — они меньше ориентируются на конкретные отрасли или сезоны, а скорее используют доступные уязвимости, неправильные настройки и недавно обнаруженные уязвимости безопасности.

Несмотря на тенденцию к меньшим целям, в 2025 году произошло несколько заметных масштабных инцидентов. Атака на Jaguar Land Rover нанесла ущерб примерно на 2,5 миллиарда долларов. Также группа Scattered-Spider осуществила нападение на британскую розничную сеть Marks & Spencer, что привело к остановке бизнес-процессов и значительным финансовым потерям. Эти случаи показывают, что крупные организованные группы всё ещё обладают ресурсами и интересом к атакам на высокоценные цели.

Перспективы: меняющаяся ландшафт ransomware

Данные 2025 года рисуют картину диверсифицирующейся угрозы. Больше атак, при этом меньшие средние выплаты и рост медианных сумм требуют всё более сложных мер борьбы с ransomware. Организациям всех размеров необходимо усиливать защиту, поскольку децентрализованный характер современного рынка ransomware означает, что угрозы могут исходить из любой стороны — не только от устоявшихся крупных акторов.