Отчёт Sophos «The State of Ransomware in Education 2025» показывает ощутимый технический прогресс школ и вузов, но и устойчивое давление на ИТ-команды. Векторы различаются по сегментам: в K-12 впервые лидирует фишинг (~22%), далее идут вредоносная почта, эксплуатация уязвимостей и компрометация учётных данных с близкими долями. В высшем образовании доминирует эксплуатация уязвимостей (~35%), затем вредоносная почта (~24%) и захват аккаунтов (~21%). Отсюда разная приоритизация: K-12 усиливают почтовые шлюзы, DMARC/DKIM/SPF, антифишинговые тренировки и проверку вложений; университеты — менеджмент патчей, устранение «неизвестных брешей», контроль экспонированных сервисов и качество WAF/IPS.
Шифрование удаётся реже. В K-12 оно произошло лишь в ~29% инцидентов, при этом ~67% атак остановлены до криптования; в HE шифрование — ~58%, остановка — ~38%. 97% организаций с фактом шифрования восстановили данные: бэкапы остаются ключевым методом, хотя их использование сокращается (K-12 ~59%, HE ~47%). Выплата выкупа держится около половины жертв (K-12 ~50%, HE ~54%). Растёт «чистая» эксторсия без шифрования (~3–4%) — индикатор смещения монетизации в сторону кражи и утечки данных.
Финансы и ремедиация улучшаются. Медианные требования выкупа снизились до ~$1,02 млн (K-12) и ~$697 тыс. (HE); медианные платежи — до ~$800 тыс. и ~$463 тыс. соответственно. Средняя стоимость восстановления без учёта выкупа — ~$2,28 млн в K-12 (-39% г/г, всё ещё максимум среди отраслей) и ~$0,90 млн в HE (-77% г/г, один из минимумов). Полное восстановление за неделю достигают 50% K-12 и 59% HE; 95% укладываются в три месяца, что отражает зрелость резервирования, изоляции критичных систем и процедур IR.
Корневые причины различаются: K-12 чаще фиксируют дефицит экспертизы и людей (~42%); университеты — «неизвестные бреши» (~49%) и недостаточность/качество защит (~44%). Человеческая цена высока: растут давление руководства, тревожность и выгорание; 25–31% сотрудников брали отпуск по здоровью. Практика снижения риска: строгая MFA/IdP-гигиена, EDR/XDR в чувствительных зонах, контроль удалённого администрирования, неизменяемые бэкапы с регулярной верификацией, частые учения IR и круглосуточный MDR.
Author: admin
Related Posts
Дайджест событий в сфере кибербезопасности и ИИ (5–10 сентября 2025 г.)
Военные ИИ-киберагенты (MAICA) как катастрофический риск для КИИ: что это, почему возможно уже сегодня и как защищаться
