Что делать, если вас зашифровали: BI.ZONE представила гайд для малого и среднего бизнеса

Среди наиболее опасных ошибок, совершаемых пострадавшими компаниями, — самостоятельные попытки найти дешифратор в интернете, а также выплата выкупа.

По оценкам BI.ZONE, в последние годы на долю малых и средних предприятий приходится до 80% кибератак. Часто их целью становятся незащищенные подрядчики. Через такие компании злоумышленники стремятся добраться до их клиентов — более крупных организаций с выстроенной киберзащитой, которые сложно атаковать напрямую. По данным BI.ZONE DFIR, с начала 2025 года доля высококритичных киберинцидентов, связанных с атаками через подрядчиков, выросла в два раза и составила 30%.

Вопреки распространенному стереотипу, небольшие компании подвержены атакам с шифровальщиками так же, как и крупные организации. Отчасти это может быть связано с тем, что экосистема программ-вымогателей в России и других странах СНГ значительно отличается от западной. В международной практике часто применяются известные сервисы, такие как LockBit или RansomHub. Они обычно распространяются по модели RaaS (ransomware-as-a-service, программа-вымогатель как услуга). Стоимость ВПО определяется не только функциональностью, но также известностью «бренда» и условиями партнерской программы. Как правило, она предполагает процент с выкупа, полученного от жертвы (обычно 10–40%), а также единоразовый взнос за доступ к платформе (1000–3000 долларов). Однако в атаках, нацеленных на Россию и другие страны СНГ, злоумышленники обычно используют либо программы-вымогатели собственной разработки, либо билдеры «официальных» версий все тех же LockBit и RansomHub, ранее утекших в сеть.

Специалисты BI.ZONE DFIR выделили основные факторы, повышающие риск шифрования для малой или средней компании. Среди наиболее существенных — отсутствие собственного IT-отдела и тем более выделенной службы кибербезопасности, бесконтрольное наделение сотрудников правами администратора, отсутствие регулярного резервного копирования, а также неправильно выстроенная практика BYOD (bring your own device), когда сотрудники используют для работы личные устройства, на которых не обеспечен даже базовый уровень киберзащиты.

Среди наиболее опасных ошибок, совершаемых пострадавшими компаниями, специалисты BI.ZONE DFIR назвали самостоятельные попытки найти дешифратор в интернете, а также выплату выкупа. В последнем случае компания не только нарушает закон, но и повышает для себя риск повторной кибератаки.

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Некоторые злоумышленники, промышляющие шифрованием данных, делают это из политических убеждений. Так что после выкупа хактивисты лишь поблагодарят сговорчивую жертву в своих телеграм-каналах и обвинят ее в финансировании запрещенных организаций. Бывают случаи, когда атакующие действуют «порядочно» и расшифровывают данные после оплаты. Но это спасает пострадавшую компанию лишь на время: ее заносят в список приоритетных целей и шифруют снова».