Около 50% компаний обнаруживают атаки хакеров-вымогателей на свои сети только после утечки данных

Операторы программ-вымогателей выносят информацию из сетей задолго до того, как жертва замечает чужое присутствие. Новый отчёт ExtraHop показал, что 49% компаний узнают о вторжении лишь по факту утечки конфиденциальной информации, а доля подобных инцидентов почти удвоилась за год. Это говорит о стремительной перестройке тактики атакующих в сторону скрытного длительного присутствия.

Опрос охватил свыше 1800 руководителей ИТ-служб и инженеров по защите из разных стран. Полученные цифры собраны в Global Cyber Confidence Report, авторы которого фиксируют резкий скачок успешности преступных группировок в маскировке своей активности внутри корпоративного периметра. Год назад о краже данных до обнаружения атаки сообщали 31% пострадавших, сейчас — уже почти каждая вторая организация.

2,5 недели — среднее время, которое атакующие проводят в сети жертвы до момента, когда их кто-то замечает. За этот срок преступники успевают сделать слишком многое для того, чтобы шифрование стало финальным аккордом, а не первым ударом. В арсенал входит несколько повторяющихся шагов:

• картографирование внутренней сети и поиск доменных контроллеров;
• сбор сведений о используемых СЗИ и системах резервного копирования;
• повышение привилегий через украденные учётные данные;
• выгрузка наиболее ценных архивов на внешние хранилища;
• подготовка инфраструктуры к финальному шифрованию.

Стоит обратить внимание на то, что шифрование файлов в современных кампаниях превращается из основной цели в способ давления — настоящая ценность для атакующих лежит в украденных данных.

14% организаций узнали о компрометации только после получения требования выкупа. Годом ранее доля таких случаев составляла лишь 6%, то есть рост превысил двукратный. Это означает, что значительная часть жертв не имеет даже минимальной видимости происходящего в собственной сети, пока преступники сами не дадут о себе знать через записку с реквизитами для перевода криптовалюты.

Длительное скрытое присутствие в инфраструктуре напрямую связано с её усложнением. Авторы отчёта называют пять факторов, мешающих своевременно среагировать на инцидент:

• шифрованные каналы связи злоумышленников отметили 41% опрошенных;
• 38% сталкивались с маскировкой действий преступников под обычную работу сотрудников;
• 34% указали на эксплуатацию реальных привилегированных учёток;
• 30% назвали усталость аналитиков от потока оповещений SIEM;
• 27% упомянули постепенный сдвиг базовой линии поведения пользователей.

Зашифрованный трафик лишает аналитиков возможности заглянуть внутрь соединений, а имитация рутинных операций пользователей растворяет вредоносную активность в общем шуме сети. Когда атакующий приходит с действительной учёткой администратора домена, средства защиты воспринимают его команды как штатную работу ИТ-службы — претензий к такому пользователю у систем мониторинга попросту нет.

Интересно, что злоумышленники постепенно переобучают системы поведенческой аналитики, медленно смещая то, что считается нормой, пока подозрительные действия не перестают вызывать срабатывания.

Финансовая картина выглядит противоречиво. Средняя сумма выплаты снизилась с 3,6 млн долларов до 2,8 млн долларов, что выглядит позитивным сигналом для бизнеса. Зато доля компаний, согласившихся заплатить выкуп, выросла с 70% до 83% — переговорная позиция жертв ослабла, и преступники чаще получают желаемое, пусть и в меньших объёмах за один инцидент.

Параллельные данные Chainalysis рисуют картину иначе. Число успешных атак в 2025 году продолжило расти, тогда как суммарный объём выплат остался примерно на уровне предыдущего периода. В абсолютных значениях количество организаций, реально переводящих деньги преступникам, могло даже сократиться, несмотря на увеличение числа самих атак — расхождение объясняется разными методологиями подсчёта и охватом разных сегментов рынка.

Группировки всё реже строят бизнес-модель исключительно вокруг шифрования. Двойное вымогательство с угрозой публикации украденных файлов вытесняет классическую схему, а в ряде случаев атакующие вообще отказываются от шифрования, ограничиваясь кражей данных и шантажом. Подобный формат требует меньше технических усилий и приносит сопоставимый результат.

К списку защитных мер, которые помогают ловить атакующих до момента выгрузки данных, относятся:

• сетевая видимость трафика east-west, а не только периметра;
• мониторинг аномалий поведения привилегированных учёток;
• сегментация инфраструктуры с ограничением латерального движения;
• регулярная ротация учётных данных и применение PAM-решений;
• проактивный поиск угроз силами команд threat hunting.

Перегрузка SOC остаётся одной из главных проблем отрасли. Тысячи ежедневных оповещений размывают внимание аналитиков, заставляя их закрывать тикеты автоматически или откладывать разбор до лучших времён, которых обычно не наступает. Преступники прекрасно знают про этот эффект и сознательно растягивают свои действия во времени, прячась в потоке низкоприоритетных событий.

Ранее мы писали о том, что специалисты Check Point Software Technologies сообщили о резком росте активности операторов программ-вымогателей. По итогам мая 2026 года исследователи зафиксировали 698 публично известных атак с использованием ransomware, что на 48% больше по сравнению с аналогичным периодом прошлого года. По данным компании, это стало самым высоким годовым приростом активности подобных группировок с начала 2025 года.

Эксперты редакции CISOCLUB уверены, что отчёт ExtraHop фиксирует переломный момент в индустрии программ-вымогателей. Шифрование перестало быть главным оружием атакующих и превратилось в финальный жест давления, тогда как настоящая ценность для преступников переместилась в украденные данные.

Российским компаниям стоит пересмотреть приоритеты защиты, сместив фокус с восстановления зашифрованных файлов на обнаружение скрытой выгрузки информации. Без качественного мониторинга восточно-западного трафика и поведенческой аналитики привилегированных учёток шансы заметить атакующего до момента кражи данных стремятся к нулю. Отдельного внимания заслуживает работа с SOC — без снижения числа ложных срабатываний и пересмотра процессов триажа любые технические средства защиты будут пробуксовывать.