17/11/25
Раньше рынок держался на крупных игроках с устойчивой инфраструктурой, но теперь он рассыпался на десятки мелких группировок, которые появляются, исчезают и снова возвращаются под другими названиями.
По данным Check Point Research, в третьем квартале 2025 года наблюдалось 85 действующих групп, что стало самым высоким показателем за весь период наблюдений. Вместо нескольких давлеющих сообществ вырисовывается сеть небольших групп, возникших после ухода таких имён, как RansomHub, 8Base и BianLian.
На сайтах утечек зафиксировано почти 1600 пострадавших за три месяца, при этом десятка наиболее активных группировок отвечает лишь за чуть больше половины всех случаев. Такая деятельность говорит о том, что многие атаки проводят независимые операторы, не связанные с известными брендами.
Раздробленность снижает предсказуемость. Когда рынок контролировали крупныеигроки, специалисты могли анализировать повторяющиеся методы, инфраструктуру и поведение операторов. Теперь же широко распространены временные сайты утечек, и определения преступника становится затруднительным. Эта картина усугубляется слабым эффектом полицейских операций: закрытие доменов и изъятие оборудования редко затрагивает тех, кто выполняет атаки. Освободившиеся участники быстро переходят на другие платформы или создают собственные.
Снижается и доверие к вымогателям. Небольшие команды не заинтересованы в поддержании репутации и часто не выполняют обещаний по восстановлению данных. Доля выплат продолжает падать, потому что жертвы всё чаще сомневаются в том, что расшифровка действительно последует после перевода средств.
Заметным событием стало возвращение LockBit, пишут в Securitylab. В сентябре появилась версия 5.0, и её появление стимулировало рост активности. Администратор проекта долго обещал перезапуск после операции Cronos, и новая версия включает обновлённые варианты для Windows, Linux и ESXi, ускоренную процедуру шифрования и персонализированные каналы переговоров.
В первый месяц подтверждено не меньше десятка атак, что показывает, что часть операторов решила вернуться под знакомым именем. Появляется вероятность повторной централизации, поскольку именно узнаваемость остаётся решающим фактором для тех, кто ищет структуру и понятные правила.
На этом фоне заметно другое развитие — попытки отдельных групп построить собственную репутацию. Так, DragonForce в октябре объявила о союзе с LockBit и Qilin, хотя никаких подтверждённых инфраструктурных связей при этом нет.
На США приходится примерно половина всех случаев, а Южная Корея впервые вошла в десятку ведущих регионов из-за кампаний против финансового сектора. В Европе повышенное давление испытывают Германия и Великобритания. Секторы наиболее частых атак стабильны: производственные компании и бизнес-услуги удерживают примерно равные доли, а медицинские организации по-прежнему сталкиваются с риском, хотя некоторые группировки стараются обходить их стороной, чтобы избежать излишнего внимания.
Главный вывод аналитиков сводится к тому, что объём атак удерживается на высоком уровне вне зависимости от давления со стороны правоохранителей. Каждая полицейская операция приводит лишь к появлению новых групп.
