14/04/25
Согласно исследованию Cybernews, за первые три месяца 2025 года зафиксировано 2028 атак с применением вымогательского ПО — это на 101,8% больше, чем за аналогичный период 2024-го. Ни аресты, ни громкие ликвидации преступных групп не сдержали рост. Более того, количество активных группировок выросло с 47 до 65. Четырнадцать из них появились впервые или вернулись под новыми именами — привычный цикл в мире цифрового рэкета.
Лидером атакующих стала Cl0p — та самая группировка, запомнившаяся по инцидентам с MOVEit и GoAnywhere. Только за первый квартал хакеры атаковали 360 компаний, оттеснив LockBit с первого места на двадцать первое — у последних всего 23 инцидента против 219 годом ранее. Второе место заняла Akira, отметившаяся 205 случаями — в 3,2 раза больше, чем в начале 2024 года. На той же отметке расположился новичок RansomHub, который быстро набирает обороты и уже соперничает с ветеранами.
Появляются и новые игроки. Nightspire с первых шагов отметился 17 атаками, доказав, насколько просто даже в 2025 году запустить вымогательскую кампанию и получить первые результаты, пишет Securitylab. В это время группы вроде Babuk, Qilin и Lynx продолжают работу в тени, не попадая в заголовки, но стабильно нанося удары по бизнесу.
Наибольший урон понесли производственные и промышленные предприятия — привычные мишени для шифровальщиков. Малейший простой здесь приводит к многомиллионным потерям, поэтому компании часто идут на уступки. Вторыми по уязвимости стали потребительские и розничные сервисы, располагающие ценными клиентскими и платёжными данными. Технологические и IT-компании поднялись на третью строчку, опередив логистику и бизнес-услуги. Это неудивительно — такие фирмы хранят доступ к ключевым инфраструктурам и базам данных.
Вперёд вырвался и транспортно-логистический сектор, впервые за несколько лет войдя в топ-5. Атаки на цепочки поставок и перевозки — удобный способ вызвать эффект домино на глобальном уровне. Следом идут бизнес-сервисы, часто являющиеся промежуточным звеном, через которое можно проникнуть глубже в инфраструктуру других компаний.
Любопытно, что здравоохранение впервые за долгое время не вошло в пятёрку самых пострадавших отраслей. Однако снижение лишь относительное — сектор по-прежнему остаётся в зоне риска, а любая атака на больницы способна привести к фатальным последствиям.
Изменилось и качество целей. Если раньше злоумышленники массово атаковали малый и средний бизнес, то в 2025 году всё больше атак направлено на крупные компании с многомиллиардными оборотами. В десятку крупнейших жертв вошли Sam’s Club, HCA Healthcare, HP, Pinduoduo, Nippon Steel и другие — в совокупности они зарабатывают более 329,8 миллиарда долларов в год. Это на 61% больше, чем совокупный доход всех пострадавших компаний в первом квартале 2024 года.
Если преступники потребуют всего 1% от оборота каждой из этих компаний, потенциальный выкуп составит более 3,3 миллиарда долларов — при этом ущерб от простоев, потери клиентов и репутационные издержки не включены.
География атак также расширяется. США остаются безусловным лидером по числу инцидентов — 783 случая только за первый квартал. За ними следуют Канада (95 атак) и Великобритания (60). Германия, Франция, Италия и Индия продолжают попадать в фокус внимания, а в десятке также оказались Бразилия, Австралия и Мексика. Преступников интересует не только богатство, но и цифровая активность: чем выше подключённость страны, тем выше риски попасть под удар.
Общее направление ясно: шифровальщики меняют массовость на точность, предпочитая меньше атак, но на более ценные цели. Это новый этап эволюции вымогательских группировок, где выигрывает не тот, кто громче, а тот, кто эффективнее.
