Хакеры из Qilin доминируют на рынке программ-вымогателей, но другие группировки уже дышат в спину

изображение: recraft
Расстановка сил среди операторов программ-вымогателей резко изменилась за последние месяцы. После разгрома нескольких известных группировок их место заняла Qilin, которая, по свежим оценкам, держит около 16% рынка Ransomware-as-a-Service. Российских пользователей и компаний это тоже касается напрямую, поскольку операторы такого профиля давно перестали делить жертв по географическому признаку.
Экосистема вымогателей за последнюю пару лет пережила несколько крупных потрясений. Проблемы LockBit, RansomHub и ALPHV освободили огромный пул партнёров, которые искали новую крышу для продолжения своих операций. Львиную долю этого потока перехватила Qilin, предложив выгодные условия и рабочую техническую базу.
Вице-президент исследовательского подразделения Check Point Лотем Финкельштейн сослался на данные отчёта Cyber Security Report 2026, где зафиксирована доля Qilin в 16%. Рынок постепенно возвращается к модели с несколькими доминирующими игроками вместо прежней раздробленности. Финкельштейн добавил, что процесс концентрации ускоряется буквально каждый квартал.
Qilin работает с октября 2022 года и за это время выстроила зрелую инфраструктуру. Партнёрам достаётся готовый комплект инструментов для атак, круглосуточная поддержка и налаженные каналы вывода выкупа.
Стоит обратить внимание, что операторы вроде Qilin давно не смотрят на паспорт жертвы. Российские компании, которые ещё год назад считали себя вне зоны интереса международных вымогателей, всё чаще получают шифровальщики через подрядчиков и филиалы в СНГ.
Статистика Sophos X-Ops Counter Threat Unit показывает масштаб операций Qilin. За двенадцать месяцев исследователи насчитали 1496 организаций, чьи данные группа выложила на своём сайте утечек. Для сравнения соперники выглядят так:
- Akira опубликовала сведения о 1205 пострадавших;
- The Gentlemen засветилась с показателем 763 жертвы;
- совокупная доля остальных мелких проектов оказалась ниже, чем у любой из тройки лидеров;
- рост Qilin за квартал составил порядка одной пятой от прежних объёмов;
- средний срок между заражением и публикацией данных сократился до нескольких дней.
Главный исследователь угроз Sophos X-Ops CTU Эйден Синнот связал взлёт Qilin с полицейскими операциями против прежних лидеров. Освободившееся место заняла та группа, которая быстрее прочих смогла принять новых партнёров и предложить им понятные финансовые условия.
Синнот перечислил приманки, ради которых операторы перебежали в Qilin. Речь идёт о высоких выплатах, развитой поддержке, регулярных обновлениях платформы и расширенном арсенале для давления на жертв. Всё это совпало с моментом, когда конкурирующие проекты один за другим сыпались под ударами следствия.
Финкельштейн зацепил и другую тенденцию. Партнёры вымогательских программ подключают ИИ к подготовке атак, автоматизируя разведку, составление писем и подбор целей. Порог входа в такой бизнес падает, а количество новичков растёт.
Раздел рынка при этом не закрыт. Данные Comparitech показали неожиданный поворот, когда в июне первое место по числу опубликованных жертв ушло к The Gentlemen. Расклад получился такой:
- The Gentlemen отчиталась о 115 новых пострадавших организациях;
- Qilin за тот же месяц опубликовала сведения о 78 жертвах;
- по годовому объёму атак Qilin сохраняет отрыв;
- динамика The Gentlemen показывает потенциал для рывка;
- обе группы активно тестируют новые схемы шантажа.
Руководитель направления исследований данных Comparitech Ребекка Муди обратила внимание на географию. Более половины жертв Qilin находятся в США, а среди пострадавших от The Gentlemen американские компании в июне заняли меньше одной пятой. Оставшиеся жертвы распределились между Европой, Азией, Латинской Америкой и постсоветским пространством.
Check Point ещё весной предупреждал о быстром развитии The Gentlemen. Дополнительный интерес к группе подогрела майская утечка её внутренней базы, попавшая в открытый доступ.
Уточняется, что среди слитых материалов оказались фрагменты переписки с жертвами. В одном из эпизодов первоначальное требование в 250 тысяч долларов после торга снизилось до 190 тысяч, что даёт представление о реальной экономике таких переговоров.
Финкельштейн предположил, что доминирование Qilin рано или поздно привлечёт внимание крупных международных операций. Логика прозрачная: пока рынок был раздроблен, следователям приходилось распылять ресурсы на десятки мелких мишеней. Когда лидер очевиден, удар можно нанести точечно и с максимальным эффектом.
Методы атак Qilin продолжают эволюционировать. Помимо эксплуатации уязвимостей группа держит в арсенале фишинг для первичного проникновения, компрометацию подрядчиков и злоупотребление легитимными инструментами удалённого доступа. Российские инфраструктуры получают такие же образцы, что и западные, разница лишь в языке фишинговых писем.
Один из эпизодов затронул решения Remote Access VPN и Mobile Access самой Check Point. Финкельштейн уточнил, что злоумышленники смогли задеть одного клиента, но даже единичный случай стал поводом пересобрать защиту продуктов. Компания расширила программу Frontier AI Models Readiness Program, где алгоритмы искусственного интеллекта прогоняют код через масштабный аудит, ускоряют выпуск патчей и адаптируют механизмы защиты под свежие приёмы преступников.
Ранее сообщалось, что пользователей iPhone предупредили о новой мошеннической схеме, связанной с распространением поддельной версии Telegram. Как рассказал «Газете.Ru» старший преподаватель кафедры КБ-14 «Цифровые технологии обработки данных» Института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец, злоумышленники предлагают установить якобы «нормально работающий» клиент мессенджера с дополнительными функциями. После установки устройство блокируется, а владельцу предлагают заплатить за восстановление доступа к смартфону.
Эксперты редакции CISOCLUB уверены, что консолидация вымогательского рынка вокруг Qilin создаёт двойственную ситуацию для защитников. С одной стороны, силовикам действительно проще концентрировать усилия на одном крупном противнике, чем гоняться за десятками мелких банд. С другой стороны, до момента разгрома лидер успевает нанести колоссальный ущерб экономике и цепочкам поставок по всему миру. Российским компаниям стоит перестать рассчитывать на географическую изоляцию и внимательно смотреть за подрядчиками, филиалами и любыми интеграциями с зарубежными сервисами.
Рекомендуем усилить сегментацию сетей, отработать сценарии восстановления из офлайн-копий и подготовить регламенты общения со злоумышленниками на случай инцидента. Игнорировать угрозу дальше уже не получится, поскольку статистика по 1496 жертвам за год не оставляет пространства для иллюзий.



