В 2025 году максимальная сумма первоначального требования выкупа в атаках группировок программ-вымогателей на российские организации достигла 400 млн рублей (около $5 млн), что на 67% превышает показатель 2024 года, когда рекорд составлял 240 млн рублей. По данным Лаборатории цифровой криминалистики F6, за год зафиксировано более 450 атак, при этом суммы выкупа варьировались от 4 млн до 40 млн рублей ($50 тыс. — $500 тыс.).

Финансовая мотивация была основной в 85% инцидентов — злоумышленники нацеливались на компенсацию за расшифровку данных и восстановление доступа к критическим системам. В 15% случаев атаки носили деструктивный характер: цели — остановка производственных процессов, уничтожение данных, нарушение функционирования инфраструктуры, независимо от возможности получения выкупа.

Наиболее часто атаковались:
— производственные и инжиниринговые компании (18,9%);
— организации оптовой торговли (17%);
— розничные сети (15,1%);
— транспортные компании;
— предприятия топливно-энергетического комплекса;
— медицинские учреждения.

Среди наиболее активных группировок в 2025 году:
— Bearlyfy — не менее 35 атак;
— THOR — не менее 7 атак;
— Лабубу, 3119/TR4CK, Blackjack/Mordor — по 4 атаки каждая;
— Shadow/DarkStar — не менее 3 атак.

Малый и средний бизнес чаще становился целью группировок, ориентированных на массовые атаки с низким порогом входа: Mimic/Pay2Key, Proton/Shinra, C77L. Эти группы используют автоматизированные инструменты для сканирования уязвимых систем, эксплуатации слабых паролей и распространения вредоносного ПО через фишинг.

Атаки отличаются растущей сложностью: злоумышленники применяют многоэтапные сценарии — от компрометации удалённого доступа (RDP) до прямого доступа к резервным копиям и системам управления инфраструктурой. Это позволяет им не только шифровать данные, но и блокировать восстановление, увеличивая давление на жертву.

Рост требований связан с несколькими факторами:
— увеличение размера и ценности данных, хранящихся в корпоративных системах;
— рост зависимости бизнеса от непрерывности работы ИТ-инфраструктуры;
— возможность монетизации утечек данных через даркнет-рынки, даже если выкуп не оплачен.

Группировки, действующие на российском рынке, включают как проукраинские, так и ассоциированные с ближневосточными регионами структуры. Их тактики постоянно адаптируются: изменяются методы проникновения, используемые инструменты, способы маскировки активности и коммуникации с жертвами. Это делает стандартные меры защиты недостаточными — требуется комплексный подход: от мониторинга поведения в сети до регулярного тестирования на проникновение и изоляции резервных копий от основной инфраструктуры.

Среди уязвимостей, чаще всего эксплуатируемых злоумышленниками:
— незащищённый удалённый доступ (RDP);
— отсутствие двухфакторной аутентификации;
— неактуальные версии ПО;
— отсутствие изоляции резервных копий от основной сети;
— недостаточная сегментация сетей.

Рост числа атак и размеров выкупов указывает на переход от случайных инцидентов к целенаправленным операциям, где российские организации рассматриваются как приоритетные цели. Эффективная защита требует не только технических решений, но и системного управления рисками: чётких процедур реагирования, обучения персонала, регулярного аудита и восстановления после инцидентов.