Криптовымогательство в 2025 году: $820 млн выплат, рост числа атак и новая экономика программ-вымогателей

Главное

• Несмотря на рекордное количество заявленных атак, выплаты вымогателям почти не выросли. Общая сумма платежей, зафиксированных в блокчейне и связанных с программами-вымогателями, снизилась примерно на 8% и составила около $820 млн в 2025 году, хотя число заявленных атак увеличилось на 50%.
• При этом средний размер отдельного выкупа значительно вырос. Даже при стагнации общей выручки медианный платеж увеличился на 368% по сравнению с прошлым годом и достиг почти $60 000.
• Активность так называемых брокеров первоначального доступа (Initial Access Brokers, IAB) может служить ранним индикатором будущих атак: анализ транзакций в блокчейне показывает, что всплески поступлений к таким посредникам обычно предшествуют росту выплат вымогателям и публикации данных о жертвах примерно на 30 дней.
• Криминальные группировки и связанные с государствами структуры используют общую инфраструктуру. Финансово мотивированные киберпреступники и государственные акторы применяют одни и те же сервисы хостинга и сети анонимизации, чтобы скрывать свою деятельность.
• В 2025 году усилия по противодействию были направлены не только против конкретных группировок, но и против инфраструктуры, которая обеспечивает их работу. Правоохранительные органы и частные компании все чаще нацеливались на сервисы размещения серверов и инструменты распространения вредоносных программ, чтобы нарушить работу всей экосистемы.

Сегодня программы-вымогатели следует рассматривать не как отдельные атаки, а как часть взаимосвязанного рынка, где одни участники продают доступ к взломанным системам, другие предоставляют техническую инфраструктуру, а третьи помогают получать деньги. GetBlock AML Research публикует детальный отчет о криптовымогателях.

В 2025 году общий объем выплат, отраженных в блокчейне, оставался относительно стабильным, даже несмотря на рост числа заявленных атак и увеличение средних сумм выкупа. Одновременно с этим международные правоохранительные органы и регуляторы все чаще наносили удары по инфраструктуре — включая так называемых «пуленепробиваемых» хостинг-провайдеров — повышая издержки как для преступных группировок, так и для структур, связанных с государствами.

В 2025 году операторы программ-вымогателей получили более $820 млн в виде платежей, зафиксированных в блокчейне — это на 8% меньше по сравнению с $892 млн годом ранее. Ожидается, что итоговая сумма за 2025 год может приблизиться или превысить $900 млн по мере уточнения данных, как это уже происходило с оценками за предыдущий год.

Общие потери от криптовымогателей в период с 2020 года по 2025 год. Визуализация: Chainalysis

Несмотря на относительную стабильность общей суммы выплат, число атак в 2025 году резко выросло. По данным мониторинга специализированных ресурсов, количество заявленных жертв увеличилось на 50% по сравнению с прошлым годом, что сделало 2025 год самым активным за все время наблюдений. На этом фоне доля компаний, которые действительно платят выкуп, вероятно, снизилась до исторического минимума — около 28%.

Такое расхождение — больше заявленных атак, но меньше общих выплат — отражает сложные процессы в экономике вымогательства.

Улучшение реагирования на инциденты и усиление регуляторного контроля помогли сократить частоту выплат. Международные операции против операторов программ-вымогателей, их инфраструктуры и сетей по отмыванию денег ограничили часть финансовых потоков.

В некоторых случаях появлялись новые вредоносные программы, содержащие технические слабости, что позволяло пострадавшим бесплатно расшифровывать данные и тем самым снижать доходы злоумышленников. Произошла заметная фрагментация рынка: вместо нескольких крупных сервисов «вымогательство как услуга» появилось множество небольших независимых групп. По оценкам некоторых аналитиков, активно действовало до 85 различных группировок.

Переход от нескольких доминирующих программ к более раздробленной и нестабильной среде усложнил расследования и долгосрочный мониторинг. Эксперты отмечают структурный сдвиг: стало меньше крупных громких атак и больше массовых атак на малый и средний бизнес. Предположение злоумышленников простое — небольшие компании чаще платят быстрее. Однако данные показывают, что несмотря на рекордное количество заявленных инцидентов, выплаты в целом снижаются. Это означает, что преступники вынуждены работать больше, получая меньше.

В целом это позитивная тенденция: меньше выплат означает снижение экономической привлекательности вымогательства.

Рост медианного выкупа в 2025 году и изменение тактики давления злоумышленников

Хотя общая сумма выплат оставалась стабильной, средний размер отдельного платежа в 2025 году значительно вырос. Медианный платеж увеличился на 368% — с $12 738 в 2024 году до $59 556 в 2025 году. Это совпадает с данными компаний, занимающихся реагированием на инциденты, которые сообщали о более чем двукратном росте средних выплат в отдельных кварталах.

Крупные кибератаки 2025 года и их экономические последствия

В 2025 году произошел ряд масштабных киберинцидентов, усиливших глобальное воздействие программ-вымогателей.

Одним из самых дорогостоящих событий стала кибератака на Jaguar Land Rover, которая остановила производственные линии в нескольких странах и нанесла экономический ущерб примерно в 1,9 млрд фунтов стерлингов (около $2,5 млрд) — это крупнейший киберинцидент в истории Великобритании.

Сектор розничной торговли и услуг также пострадал. Крупная британская компания Marks & Spencer столкнулась с длительными перебоями после атаки группы Scattered Spider, что привело к значительным финансовым потерям и падению рыночной стоимости.

Медицинские учреждения остаются привлекательной целью. Компания DaVita Inc., предоставляющая услуги диализа, пережила серьезную утечку данных, в результате которой были раскрыты сведения почти о 2,7 миллиона пациентов и похищено около 1,5 терабайта медицинской информации.

Кроме отдельных компаний, продолжались массовые атаки на уязвимые программные продукты. Например, группа Cl0p использовала ранее неизвестную уязвимость в корпоративном программном обеспечении Oracle для проведения масштабной кампании вымогательства, затронувшей сотни организаций.

Операторы программ-вымогателей остаются крайне оппортунистичными. Они не придерживаются одной отрасли или времени года, а используют любые обнаруженные уязвимости и ошибки в настройках систем.

Как анализ блокчейна помогает выявлять кибергруппировки по финансовым моделям

Анализируя способы вывода средств у десяти крупнейших групп 2025 года, можно выявить характерные финансовые «подписи». Даже если вредоносные программы похожи по коду, способы получения и распределения денег различаются.

Эти различия позволяют следователям различать группировки не только по способам атаки и ведения переговоров, но и по их поведению в блокчейне. Также можно отслеживать участников, которые работают сразу с несколькими программами, по их уникальным схемам перевода средств.

География кибератак и утечек данных в 2025 году

Анализ публикаций на сайтах, где злоумышленники размещают украденные данные, показывает устойчивую концентрацию атак в развитых странах. Число заявленных инцидентов выросло на 50% по сравнению с прошлым годом и достигло рекордного уровня.

Среди стран с четко определенной географией лидируют США, за ними следуют Канада, Германия, Великобритания и другие европейские государства. Чаще всего страдали производственные компании и финансово-профессиональные сервисы. В Канаде и Германии особенно высокий уровень атак наблюдался в цепочках поставок, логистике и критической инфраструктуре.

Важно учитывать, что не все заявления злоумышленников на сайтах утечек соответствуют действительности. Кроме того, публикация информации не всегда означает, что жертва отказалась платить. Специалисты по реагированию отмечают, что некоторые группы публиковали старые данные или копировали чужие жертвы для создания видимости активности. При этом все больше организаций внедряют резервное копирование и современные системы защиты, что снижает количество фактических выплат.

Некоторые группировки ответили на сокращение выплат более агрессивной тактикой переговоров, включая контакты с сотрудниками и клиентами компаний-жертв. Другие стали уделять больше внимания краже и анализу данных, чтобы делать более точечные угрозы о последствиях их публикации.

США остаются наиболее атакуемой страной, причем рост числа инцидентов затронул практически все отрасли. Число заявленных жертв в критической инфраструктуре, логистике и государственном секторе выросло на 45–56% по сравнению с прошлым годом. Организации в США продолжают рассматриваться злоумышленниками как высокодоходные цели.

Брокеры первоначального доступа как ключевое звено киберпреступной цепочки

Программы-вымогатели не действуют изолированно. Их поддерживает более широкая цепочка киберпреступности, включая брокеров первоначального доступа. Эти посредники продают доступ к уже взломанным сетям, что позволяет другим злоумышленникам быстрее развернуть вредоносное ПО.

В 2025 году такие посредники получили не менее $14 млн в виде платежей, отраженных в блокчейне. Хотя эта сумма относительно невелика по сравнению с $820 млн выплат вымогателям, она играет ключевую роль. Общие выплаты почти в 58 раз превышают поступления к брокерам доступа, что говорит о высокой окупаемости этого сегмента преступной цепочки.

Связь между платежами посредникам и ростом числа атак

Важно отметить, что не все платежи брокерам связаны именно с вымогателями. Доступ может перепродаваться между посредниками, а некоторые злоумышленники преследуют иные цели. Кроме того, не все атаки происходят через брокеров доступа. Тем не менее наблюдается связь между инвестициями в покупку доступа и последующими всплесками атак.

Если анализировать периоды через 30 дней после крупных поступлений средств брокерам доступа, заметен рост как глобальных выплат вымогателям, так и числа заявленных жертв в США. Это указывает на возможную причинно-следственную связь.

По данным компаний, изучающих теневые рынки, средняя цена доступа к взломанной сети снизилась с примерно $1 427 в начале 2023 года до $439 в начале 2026 года. Это связано с усилением конкуренции и автоматизацией процессов. Одновременно подтвержденный доступ к крупным корпоративным системам по-прежнему продается по высокой цене, что говорит о разделении рынка на массовый и премиальный сегменты.

Автоматизация кибератак и использование ИИ в переговорах о выкупе

Появляются инструменты, которые позволяют автоматизировать не только взлом, но и переговоры о выкупе. В середине 2025 года исследователи зафиксировали эксперименты групп с интерфейсами переговоров на основе ИИ, что напоминает развитие мошеннических схем с использованием искусственного интеллекта.

Общая инфраструктура киберпреступников и государственных структур

Инфраструктура вымогательства — хостинг, сети анонимизации, загрузчики вредоносных программ — используется не только преступниками, но и структурами, связанными с государствами. Те же сервисы применяются для шпионажа и информационных операций.

Согласно утечкам 2025 года, иранские группы, включая структуры, связанные с разведывательными подразделениями, активно используют коммерческие хостинг-сервисы и прокси-сети, чтобы скрывать происхождение своих действий и маскироваться под обычную киберпреступность. Аналогичным образом действуют структуры, связанные с Россией и Китаем.

Хостинг и сети анонимизации как основа операций

В 2025 году были введены санкции против компании Media Land, также известной как Yalishanda, — поставщика хостинга, связанного с киберпреступной деятельностью. Эти меры показывают, что все больше внимания уделяется не только отдельным группировкам, но и инфраструктуре, которая усиливает их возможности.

Подобный подход усиливает давление на всю экосистему: отключение или санкционирование инфраструктуры может одновременно затронуть вымогателей, мошенников и государственных операторов.

Как государство и бизнес усиливают борьбу с кибервымогательством в 2025 году

В 2025 году борьба с вымогательством вышла за рамки преследования отдельных групп. В мае международные правоохранительные органы расширили операцию Endgame, направленную против ключевых инструментов распространения вредоносных программ и инфраструктуры, используемой разными преступными группами. Были изъяты серверы, произведены аресты и нарушена работа нескольких вредоносных семейств.

Параллельно усилилось давление на хостинг-провайдеров и сервисы по отмыванию средств. Санкции и уголовные дела повысили риски для тех, кто предоставляет инфраструктуру для атак.

Частный сектор также внес вклад в разрушение крупных прокси-сетей, используемых для анонимизации и атак. Анализ финансовых потоков в блокчейне показал взаимосвязи между различными сервисами, общие кошельки и пересекающиеся каналы финансирования.

Хотя объем атак остается высоким, такие меры повышают издержки и усложняют деятельность злоумышленников.

Парадокс 2025 года: меньше выплат — больше ущерба для бизнеса

Историю 2025 года нельзя оценивать только по суммам выплат. Хотя доходы вымогателей немного снизились, масштаб и последствия атак продолжили расти. От крупных автопроизводителей до региональных медицинских систем — организации сталкивались с серьезными сбоями, потерей доверия и огромными косвенными затратами, превышающими суммы выкупа.

Таким образом, 2025 год характеризуется не отступлением, а адаптацией вымогателей. Их методы продолжают развиваться, позволяя извлекать выгоду и наносить ущерб даже без прямых выплат. Эффективная защита требует не только технических мер, но и стратегической устойчивости, чтобы минимизировать общий вред от этих многоуровневых угроз.