Хакеры просят у компаний десятки миллионов за расшифровку данных, но почти всегда торгуются

Российские компании, столкнувшиеся с программами-вымогателями, вступают в переговоры с преступниками. Исследование RED Security SOC показывает: средний первоначальный запрос хакеров составляет около 50 млн рублей в криптовалюте, но в реальных кейсах итоговая сумма обычно снижается до 15–20 млн рублей.

Центр мониторинга и реагирования на кибератаки изучил более 100 инцидентов с шифровальщиками, активность группировок на закрытых площадках и обсуждения на теневых форумах. В выборку попали случаи, где злоумышленники шифровали инфраструктуру, угрожали публикацией данных или совмещали оба сценария.

Главный инсайт исследования — выкуп редко остается на уровне первой суммы. В 8 из 10 случаев жертвы вступают в переговоры. Почти в половине изученных инцидентов стартовое требование превышало 100 млн рублей, но финальная выплата часто оказывалась заметно ниже. Для вымогателей это стандартная экономика криминального сервиса: получить часть денег быстрее выгоднее, чем тянуть переписку, рисковать срывом сделки и тратить ресурсы на переговоры и давление.

Перед атакой преступники обычно оценивают компанию. В ход идут открытая отчетность, сведения о выручке, тендеры, вакансии, новости о проектах, информация о подрядчиках и цифровом следе организации. Так они прикидывают, сколько жертва теоретически может заплатить, и закладывают в первое требование пространство для торга.

Но оплата выкупа не гарантирует восстановление данных. Дешифратор может работать медленно, часть файлов может оказаться поврежденной, а украденные документы всё равно могут выставить на продажу. Компания получает обещание от преступников, у которых нет юридических обязательств.

Еще один риск — повторная атака. Организация, которая уже заплатила, становится понятной целью: у нее есть деньги, слабые места в защите и готовность обсуждать условия. Такие сведения могут уйти другим группам, партнерам по криминальной схеме или брокерам доступа.

Третий риск — простой бизнеса. Даже при наличии ключа расшифровки инфраструктура не возвращается в рабочее состояние мгновенно. Нужно проверить серверы, убедиться, что злоумышленники не оставили удаленный доступ, восстановить резервные копии, пересобрать учетные записи, проверить рабочие станции и журналы событий.

Международная статистика показывает похожую картину. В отчете Verizon DBIR 2026 вымогатели фигурируют почти в половине подтвержденных утечек, но большинство жертв в исследуемой выборке не платили. Это говорит о том, что компании стали чаще полагаться на резервные копии, готовые планы реагирования и внешние команды расследования.

Chainalysis фиксирует, что суммарные криптовалютные платежи вымогателям за 2025 год снизились, хотя число заявленных атак выросло. Преступники атакуют чаще, но деньги получают не всегда. Для бизнеса это позитивный сигнал только при одном условии: у компании есть рабочая схема восстановления, а не просто папка бэкапа на том же сервере.

В первые часы после атаки стоит изолировать зараженные системы от сети и интернета. Не стоит хаотично выключать всё подряд, удалять файлы или перезагружать серверы: это может испортить следы атаки и усложнить восстановление.

Дальше нужна фиксация состояния инфраструктуры. Важны журналы событий, снимки виртуальных машин, сведения об учетных записях, сетевые подключения и список затронутых узлов. Эти данные помогают понять, как злоумышленники попали внутрь и остались ли они в сети.

После этого проверяются резервные копии. Ключевой вопрос — возможно ли из бэкапа поднять критичные сервисы и сколько времени это займет. Резервная копия, которую никто не тестировал, часто оказывается красивой галочкой в отчете, а не способом спасения бизнеса.

Отдельно нужно определить, были ли похищены данные. Современные вымогатели часто используют двойное давление: сначала крадут документы, затем шифруют инфраструктуру и угрожают публикацией. При таком сценарии одного восстановления из бэкапа мало — требуется оценить состав утечки, уведомления, юридические риски и коммуникации с клиентами.