Отчёт GuidePoint Research and Intelligence Team (GRIT) обобщает тенденции 2025 года в области шифровальщиков-вымогателей и кибервымогательства. Источниковая база — открытые данные, включая сайты и «витрины» утечек самих групп; заявленные пострадавшие организации не верифицировались. Авторы подчёркивают ограничения: число «наблюдаемых» жертв не равно реальному числу атак, а злоумышленники могут применять отрицание и дезинформацию. В статистику включены и операции вымогательства без шифрования (эксфильтрация данных и последующее давление), поскольку они формируют единый рынок монетизации похищенной информации.

Ключевые метрики указывают на рекорд: 7 515 публично заявленных жертв, 124 отслеживаемые группы и 20,6 жертвы в день; рост год к году — 58%. Динамика была волнообразной: февральский пик связан с публикациями Clop после массовых кампаний эксплуатации уязвимостей, а 4 квартал стал максимальным (2 287 жертв, около трети годового объёма). Географически доминируют США (55,37% заявленных случаев). По отраслям лидирует промышленность: 1 060 жертв (14%); технологический сектор, розница/опт и здравоохранение также входят в группу наиболее поражаемых. Отдельно выделен правовой сектор: число публичных жертв выросло с 196 до 455 за год (+132%), причём 74% таких случаев приходятся на США.

Технический разбор фиксирует смещение к эксплуатации уязвимостей в интернет-периметре (VPN, межсетевые экраны, пограничные устройства) и в корпоративных платформах. Показательны кампании: Akira — SonicWall SonicOS/SSL VPN (CVE-2024-40766), Clop — Oracle E-Business Suite (CVE-2025-61882/61884), Qilin — SAP NetWeaver Visual Composer (CVE-2025-31324) и уязвимости Fortinet. В 1 квартале 2025 года зафиксирован рост новых записей в каталоге известных эксплуатируемых уязвимостей (KEV) на 82,5%, что указывает на ускорение «индустриализации» эксплуатации. Одновременно растёт злоупотребление легитимными средствами удалённого администрирования и использование встроенных инструментов ОС (приёмы «жить за счёт среды»), усложняющие детектирование.

Инновации включают BYOVD («принеси свой уязвимый драйвер») для подавления средств защиты на уровне ядра и прагматичное внедрение искусственного интеллекта и больших языковых моделей — для переговоров, генерации материалов социальной инженерии и анализа похищенных данных; массового появления полностью автономных «ботов-вымогателей» авторы не подтверждают. Финансовые оценки показывают снижение доли оплат: для Akira минимум 24,5% случаев оплаты (≈73 млн долл.; средний платёж ≈457 тыс.), для Qilin — 14,79% (≈47 млн; ≈366 тыс.). Практический вывод — сокращать «окно непатченных уязвимостей», усиливать контроль удалённого доступа, сегментировать сеть, внедрять принцип наименьших привилегий/архитектуру «нулевого доверия» и иметь неизменяемые резервные копии, изолированные от основной сети.

GRIT-2026-Ransomware-and-Cyber-Threat-Report Скачать