Хакеры начали активнее торговаться со своими жертвами в России после кибератак
Хакеры, атакующие компании вирусами-шифровальщиками, все чаще вступают в переговоры о снижении выкупа. Аналитики RED Security SOC изучили более 100 инцидентов и активность киберпреступных группировок в даркнете. Выяснилось, что средний первоначальный запрос за последний год составил около 50 млн руб. в криптовалюте. В большинстве случаев компаниям удавалось снизить итоговую сумму до 15–20 млн руб. Подробности — в распоряжении «Инка».
Восемь из десяти атакованных организаций вступают в переговоры с злоумышленниками. Размер требований зависит от масштаба бизнеса и объема украденных или зашифрованных данных. Почти в половине случаев речь шла о суммах свыше 100 млн руб. Максимальный зафиксированный запрос за последний год достигал примерно 330 млн руб.
В RED Security SOC отмечают, что гибкость хакеров объясняется прагматикой теневого рынка. Операторы шифровальщиков предпочитают получить хотя бы часть суммы быстро, а не затягивать переговоры с риском остаться без денег. Завышенные стартовые требования часто используются как элемент давления и пространство для дальнейшего торга. Перед атакой группировки, как правило, изучают финансовое положение жертвы, анализируют открытую отчетность и оценивают потенциальную платежеспособность компании.
Схожую тенденцию фиксируют и другие участники рынка кибербезопасности. По данным F6, в 2025 году группировка CyberSec’s потребовала у одной из компаний 50 BTC — на тот момент около 500 млн руб. В среднем суммы первоначальных требований тогда колебались от 4 млн до 40 млн руб. Руководитель лаборатории цифровой криминалистики F6 Антон Величко отмечает, что в ряде случаев пострадавшим удавалось сократить выплаты на 30–50%.
Эксперты говорят, что для многих компаний предметом торга становятся уже не столько сами данные, сколько риски их публикации. Руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин поясняет, что крупный бизнес за последние годы научился выстраивать резервное копирование и зачастую способен восстановить инфраструктуру без помощи злоумышленников. Однако компании опасаются утечки информации в даркнет, Telegram-каналы и на хакерские форумы, поскольку это грозит репутационными потерями и многомиллионными штрафами.
Аналитик Positive Technologies Дмитрий Стрельцов обращает внимание, что затяжные переговоры невыгодны и самим преступникам. Чем больше времени проходит после атаки, тем выше вероятность, что жертва восстановит данные из резервных копий, обратится в правоохранительные органы или вовсе откажется платить. По данным Chainalysis, доля компаний, согласившихся на выплату выкупа в 2025 году, снизилась примерно до 28% — это минимальный показатель за последние годы.
Директор департамента расследований T.Hunter Игорь Бедеров считает, что нынешняя модель переговоров уже превратилась в полноценную экономику цифровой преступности. По его словам, первоначальные требования выполняют роль психологического давления, тогда как итоговая сумма чаще рассчитывается исходя из реальной стоимости простоя бизнеса и суммы, которую компания способна быстро выплатить без критического ущерба.
При этом эксперты подчеркивают, что готовность злоумышленников идти на уступки не делает выплату безопасным решением. В RED Security SOC напоминают, что перевод денег не гарантирует полного восстановления данных и может спровоцировать повторные атаки. Дополнительным фактором риска становятся юридические последствия.
Бедеров отмечает, что часть активных шифровальщиков может быть связана с проукраинскими группами, признанными в России террористическими организациями, а значит переводы в их адрес потенциально могут трактоваться как финансирование терроризма.
Ошибки при атаке шифровальщика дорого обходятся. Специалисты предупреждают: нельзя удалять файлы и перезагружать оборудование — это осложнит или сделает невозможным восстановление. Первое действие — изолировать зараженные машины от сети и интернета.
После изоляции необходимо вызвать экспертов по реагированию на инциденты и проверить резервные копии. Актуальные бэкапы в большинстве случаев позволяют отказаться от переговоров с хакерами.
Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.
