Вымогатели в 2025 году устроили самый шумный год за всю историю ransomware-наблюдений, но денег при этом получили меньше. По оценке Chainalysis, известные ransomware-кошельки собрали около $820 млн. Это на 8% ниже обновленной оценки за 2024 год, когда сумма дошла до $892 млн.
На первый взгляд рынок все еще гигантский: почти миллиард долларов за год только в отслеживаемых криптовалютных платежах. Вот только экономика уже не сходится так идеально как раньше. Публичных заявлений о жертвах стало больше на 50%. Доля компаний, которые могли заплатить выкуп, опустилась примерно до 28%. Получается, что атакующие все чаще доходят до стадии давления, публикуют жертву на сайте утечек, требуют деньги, но так и не получают перевод — потому что денег у компании нет.
В результате, денег в криптокошельки утекает меньше, а ущерб бизнесу никуда не девается: простой, затраты на восстановление систем, юридические издержки, уведомление клиентов, проверку украденных данных. Добавьте к этому репутационные потери и затраты на расследование.
Что изменилось в цифрах
Главная развилка 2025 года: атак стало больше, выплат — меньше. Chainalysis пишет, что ransomware-группы получили более $820 млн в ончейн-платежах. Компания сразу делает оговорку: оценка может вырасти, когда аналитики свяжут новые адреса и инциденты с конкретными группами. Так уже было в 2024 году: первая оценка составляла $813 млн, позже ее подняли до $892 млн.
Даже с этой поправкой тренд заметен. Платежи перестали расти второй год подряд. Для индустрии, которая долго жила по модели, что чем больше атак, тем больше денег, — это неприятно.
Вторая важная цифра — медианный платеж. Он вырос на 368%: с $12 738 в 2024 году до $59 556 в 2025-м. Простыми словами: платят реже, но средний успешный перевод укрупнился. Вымогатели компенсируют падение конверсии повышением ставок.
Логика понятна: если из десяти жертв раньше платили трое, а теперь только один или два, переговорщики пытаются выжать максимум из тех, кто все еще готов переводить деньги. Поэтому растет давление: угрозы публикацией данных, звонки сотрудникам, контакты с клиентами, давление через партнеров и регуляторные риски.
Рынок ransomware: ОПГ, а не шайка
Старое представление о ransomware слишком простое: злоумышленники зашифровали серверы, показали таймер, жертва перевела биткоины.
Сейчас все изменилось: действует цепочка поставщиков. Один участник добывает первичный доступ: украденный пароль, сессия VPN, доступ к RDP, учетка администратора, токен облачного сервиса, зараженный ноутбук сотрудника или доступ подрядчика. Другой участник предоставляет вредоносную инфраструктуру: загрузчики, панели управления, прокси, домены, хостинг. Третий шифрует сеть. Четвертый ведет переговоры. Пятый помогает выводить криптовалюту.
Именно поэтому закрытие одной группы больше не решает проблему. Бренд исчезает, люди расходятся по другим проектам, инфраструктура переезжает, украденные доступы продаются снова. На вывеске может быть новое название, но внутри — те же подрядчики, брокеры и сервисы анонимизации.
Chainalysis оценивает поступления брокерам первичного доступа минимум в $14 млн за 2025 год. На фоне $820 млн ransomware-платежей это выглядит скромно. Но здесь важнее маржинальность. Если доступ купили за сотни или тысячи долларов, а после атаки получили десятки тысяч или миллионы, экономика все еще сходится.
Chainalysis отдельно сравнивает эти величины: ransomware-платежи в 2025 году почти в 58 раз превышали поступления брокерам доступа. Для криминального рынка это простой стимул: покупать входы, быстро проверять их и запускать атаки пачками.
Всплески поступлений брокерам первичного доступа часто предшествуют росту ransomware-платежей и публикаций о жертвах примерно на 30 дней. Доступы продают на подпольном рынке и их средняя цена тоже просела. Darkweb IQ приводит оценку: с первого квартала 2023 года по первый квартал 2026 года средняя цена упала примерно с $1 427 до $439. Рынок залило украденными логами инфостилеров, автоматизацией и инструментами, которые помогают быстрее сортировать добычу.
Но хотя массовые украденные учетки дешевеют, проверенный доступ с правами администратора домена, понятной структурой сети и подтвержденной ценностью жертвы остается дорогим. Рынок разделился на два слоя: дешевый поток мусорных входов и дорогой «премиум-доступ», который можно сразу превращать в вымогательство.
Инфостилеры подпитывают шантаж
Инфостилер — это вредоносная программа, крадущая пароли, cookie, токены, данные браузера, криптокошельков, иногда файлы и сведения о системе. Украденные cookie и токены особенно опасны. Пароль можно сменить, а многофакторная аутентификация может остановить вход. Но действующая сессия порой позволяет обойти часть проверок, если сервис и политика доступа настроены плохо. Так обычный зараженный домашний компьютер сотрудника оборачивается корпоративным инцидентом.
В 2025 году правоохранители и частные компании били уже не только по шифровальщикам, а по потенциальным поставщикам сырья. Microsoft в мае сообщила о глобальной операции против Lumma Stealer. За два месяца компания выявила более 394 тыс. зараженных Windows-устройств и помогла разорвать связь между вредоносным инструментом и жертвами. Речь шла примерно о 2 300 доменах, связанных с инфраструктурой Lumma.
Кража данных вместо шифрования
Резервные копии и нормальное восстановление ломают старую схему ransomware. Если компания может быстро поднять системы, один шифровальщик уже не гарантирует выплату. Поэтому вымогатели все чаще делают ставку на кражу данных.
Сценарий такой: атакующие заходят в сеть, выгружают документы, базы, переписку, договоры, персональные данные, технические файлы, бухгалтерию. Потом угрожают публикацией или продажей. Если жертва отказывается платить, ее имя появляется на сайте утечек. Иногда туда выкладывают «пробник» — несколько файлов для подтверждения взлома.
Chainalysis приводит наблюдение Arete: некоторые группы стали агрессивнее на переговорах, начали связываться с сотрудниками и клиентами жертв. Отдельные команды анализируют украденные данные, выбирают самые чувствительные фрагменты и используют их как аргумент в переписке.
География: богатые рынки остаются главной целью
Сайты утечек показывают сильную концентрацию атак в развитых экономиках. США остаются самой заметной целью. Далее идут Канада, Германия, Великобритания и другие европейские страны. Для Германии и Канады Chainalysis отдельно отмечает высокую долю компрометаций в цепочках поставок, логистике и критической инфраструктуре.
Крупные бренды теряют власть, мелкие группы плодятся
Еще один сдвиг — дробление рынка. Check Point Research в третьем квартале 2025 года насчитала 85 активных групп вымогателей и extortion-групп. Доля десяти крупнейших групп в публикациях о жертвах снизилась с 71% в первом квартале до 56% в третьем.
Раньше рынок держался на крупных ransomware-as-a-service-проектах. RaaS — это «вымогательство как сервис»: разработчики дают шифровальщик, панель, сайт утечек и правила партнерки, а аффилиаты ищут жертв и проводят атаки. Выручку делят.
Крупные группы дорожили репутацией, потому что хотели, чтобы жертвы верили: заплатишь — получишь дешифратор, данные не выложат или хотя бы сделают вид, что удалили. Мелким группам сложнее поддерживать такую репутацию. Часть из них живет одним сезоном, меняет название, ворует чужие данные, перепродает доступы и исчезает после выплаты.
Для жертв это ухудшает переговорную позицию. Платеж не гарантирует ничего, дешифратор может быть сломан, а данные никто не удалит, а перепродаст дальше. Юридические риски тоже никуда не деваются: перевод денег группе под санкциями может стать отдельной проблемой.
Правоохранители бьют по инфраструктуре
Главный сдвиг в противодействии ransomware — удар по инфраструктуре. Раньше в новостях чаще звучали названия групп: LockBit, Conti, BlackCat, Cl0p и другие. В 2025 году все больше внимания уделяют тому, что обеспечивает атаки: загрузчики, ботнеты, инфостилеры, хостинг, прокси, обменники, схемы отмывания.
Operation Endgame стала одним из примеров такого подхода. Европейские и американские ведомства били по вредоносным загрузчикам и инфраструктуре, которые используются разными группами. В мае 2025 года Europol сообщал о 300 отключенных malware-серверах, 650 нейтрализованных доменах, ордерах на арест 20 целей и криптовалюте на сумму €21,2 млн, изъятой в рамках операции. В ноябре участники операции сообщили уже о 1 025 отключённых серверах, связанных с Rhadamanthys, VenomRAT и Elysium.
Bulletproof хостинг как фундамент атак
В отчете отдельно выделен bulletproof хостинг. Дословный перевод вроде «пуленепробиваемый хостинг» звучит криво, поэтому лучше объяснить: это хостинг, устойчивый к жалобам и блокировкам. Такие провайдеры продают серверы клиентам, которые хотят держать фишинговые сайты, панели вредоносов, командные серверы, даркнет-сервисы или инфраструктуру атак.
В июле 2025 года Минфин США ввел санкции против такого оператора Aeza Group. OFAC описал компанию как bulletproof hosting provider, которая поддерживала киберпреступную активность против жертв в США и других странах. В документах ведомства Aeza связана с вымогателями, инфостилерами, даркнет-рынками и другой вредоносной инфраструктурой.
Резидентские прокси маскируют атаки
Второй инфраструктурный слой — резидентские прокси. Это сети, где трафик идет через реальные домашние или мобильные устройства. Для защитных систем такой вход выглядит как обычный пользовательский IP-адрес.
Google в январе 2026 года описала крупную операцию против IPIDEA — одной из крупнейших резидентских прокси-сетей. Исследователи Google Threat Intelligence Group заявили, что за одну неделю января более 550 отслеживаемых групп угроз использовали IP-адреса IPIDEA для сокрытия активности. Среди них были группы из Китая, КНДР, Ирана и России.
Такие сети полезны не только ransomware-группам. Через них идут фишинг, подбор паролей, обход антифрода, разведка, входы в облачные сервисы, операции влияния и шпионаж. Граница между финансовыми преступниками и государственными группами становится все прозрачнее: разные акторы покупают одни и те же сервисы.
Почему выплаты падают
Причин несколько.
-
Компании лучше готовятся. Резервные копии стали нормой, EDR чаще ловит атаку до полного шифрования, команды реагирования быстрее изолируют сегменты, юристы заранее знают, кого уведомлять и какие решения нельзя принимать в панике.
-
Платить стало опаснее. Санкционные риски, требования регуляторов, давление страховых компаний и публичность инцидентов делают выкуп отдельной юридической проблемой.
-
Качество атак стало неоднородным. Рынок раздробился, появилось больше мелких групп, часть из них плохо проверяет инструменты. Chainalysis приводит пример VolkLocker: у штамма нашли криптографическую слабость, в некоторых случаях это позволяло расшифровать данные бесплатно. Для жертвы это редкая удача, для преступников — провал контроля качества.
-
Жертвы меньше верят обещаниям. Даже если вымогатель получил деньги, он не может доказать удаление данных. Украденный массив мог уже уйти аффилиату, брокеру, другому покупателю или на закрытый форум.
Почему число атак выросло
Порог входа снизился из-за ИИ и удешевления доступов. Инфостилеры генерируют постоянный поток логов, а прокси и хостинг покупаются как обычная услуга. Инструменты автоматизации помогают быстрее сортировать жертв. Новичку уже не нужно уметь все: можно купить доступ, арендовать инфраструктуру, подключиться к партнерской программе и получить инструкции.
Малый и средний бизнес оказался удобной целью. У крупных компаний чаще есть SOC, резервные копии, сегментация, отдельный бюджет на реагирование и готовый план коммуникации. У небольшой компании часто есть один админ, старый VPN, подрядчики с широкими правами и резервная копия, которую никто давно не проверял.
Поэтому вымогатели берут количеством. Меньше громких историй на сотни миллионов, больше атак на компании, которые не попадут в мировые заголовки, но могут заплатить быстро, чтобы вернуться к работе.
Ransomware в 2025 году не умер и не сдулся, зато стал менее предсказуемым. Денег через криптовалютные платежи прошло меньше, но атак и групп — больше, инфраструктура — усложнилась, а давление на жертв — усилилось.
