Подразделение по расследованию финансовых преступлений Министерства финансов США (FinCEN) представило обновлённую статистику по атакам с использованием вымогательского ПО (ransomware), основанную на тысячах банковских отчётов по требованиям Bank Secrecy Act. Данные демонстрируют, что вымогательские хак-группы остаются одним из самых прибыльных сегментов киберпреступности, а суммарные выплаты жертв уже превысили 4,5 млрд долларов за период с 2013 по 2024 год.
Масштабы выплат вымогателям по данным FinCEN
Только за последние три года, с января 2022 по декабрь 2024 года, FinCEN зафиксировал 4194 инцидента с участием вымогательского ПО. За этот период жертвы перечислили злоумышленникам свыше 2,1 млрд долларов выкупов. Эти цифры основаны на отчётах финансовых организаций, обязанных сообщать о подозрительных транзакциях в рамках борьбы с отмыванием денег и финансированием преступной деятельности.
Динамика 2022–2024: пик в 2023 году и резкое падение выплат в 2024-м
Анализ динамики показывает, что самым прибыльным для вымогателей стал 2023 год. Тогда FinCEN зафиксировал 1512 атак, а сумма выплаченных выкупов достигла примерно 1,1 млрд долларов, что на 77% больше по сравнению с предыдущим годом. Однако в 2024 году картина заметно изменилась: количество инцидентов слегка сократилось до 1476, а общий объём выплат упал почти вдвое — до 734 млн долларов.
Такое снижение сумм выкупов не означает исчезновение угрозы ransomware. Скорее, оно отражает изменение баланса сил на «рынке» вымогателей, в том числе под давлением правоохранительных органов и регуляторов, а также постепенный рост зрелости кибербезопасности у части организаций.
Роль правоохранительных операций: удар по BlackCat и LockBit
Эксперты напрямую связывают перелом в статистике с громкими операциями правоохранительных органов против крупнейших вымогательских экосистем. В конце 2023 года была скомпрометирована инфраструктура группировки ALPHV/BlackCat, а в начале 2024-го аналогичный удар пришёлся по LockBit. Эти группы входили в число наиболее активных операторов схемы ransomware-as-a-service, обеспечивая платформу и инструменты для десятков аффилированных команд.
После вмешательства правоохранителей часть злоумышленников попыталась перезапустить инфраструктуру под новыми брендами, другая часть перешла в конкурирующие проекты. Тем не менее, демонстрация технических и юридических возможностей международных коалиций по кибербезопасности очевидно повлияла как на объёмы атак, так и на готовность жертв платить крупные суммы.
Кто страдает больше: отраслевой профиль атак вымогателей
FinCEN фиксирует, что большинство выкупов относились к относительно «умеренным» суммам — менее 250 000 долларов за инцидент. Это подчёркивает ориентацию многих вымогателей не только на гигантские корпорации, но и на средний бизнес, для которого даже шестизначный выкуп часто оказывается критическим.
По количеству атак больше всего пострадали следующие отрасли: производство — 456 инцидентов, финансовые услуги — 432, здравоохранение — 389, розничная торговля — 337 и юридические услуги — 334. Это сектора с высокой зависимостью от непрерывности процессов и обработки конфиденциальных данных, что делает их особенно уязвимыми к шантажу простоями и утечками.
Если смотреть на объём выплат, лидирует финансовый сектор — примерно 365,6 млн долларов. Далее следуют здравоохранение (около 305,4 млн), производство (примерно 284,6 млн), наука и технологии (около 186,7 млн) и ритейл (почти 181,3 млн). Для финансовых организаций и медицины такой уровень потерь особенно чувствителен из‑за регуляторных требований, риска вторичных исков и репутационных последствий.
Ключевые ransomware-группировки и структура вымогательской экосистемы
В отчёте FinCEN упоминается 267 различных семейств вымогательской малвари, однако основная доля атак и поступлений сосредоточена в руках нескольких крупных группировок. По количеству упоминаний в отчётах лидирует вымогатель Akira, связанный с 376 инцидентами.
По объёму полученных выкупов на первом месте находится ALPHV/BlackCat — ориентировочно 395 млн долларов. Вторую позицию занимает LockBit с доходом около 252,4 млн долларов. В десятку наиболее активных также входят Black Basta, Royal, BianLian, Hive, Medusa и Phobos. В совокупности 10 крупнейших хак-групп получили порядка 1,5 млрд долларов за период с 2022 по 2024 год.
Такая концентрация доходов в руках ограниченного числа игроков характерна для модели ransomware-as-a-service: одни группы разрабатывают и поддерживают вредоносное ПО и инфраструктуру, другие — аффилиаты — проводят атаки и делятся выкупом.
Криптовалюты и отмывание выкупов
Подавляющее большинство зафиксированных выплат по ransomware — около 97% — приходилось на Bitcoin. Остальные криптовалюты, такие как Monero, Ether, Litecoin и Tether, используются значительно реже. Bitcoin остаётся основным инструментом для вымогателей из‑за высокой ликвидности и широкой поддержки биржами и платёжными сервисами.
В то же время усиление контроля за криптобиржами, внедрение KYC/AML-процедур и развитие инструментов блокчейн‑аналитики осложняют злоумышленникам процесс отмывания средств. Отчёты в FinCEN помогают отслеживать подозрительные транзакции, связывать кошельки с конкретными группировками и вводить санкции против инфраструктуры вымогателей.
Для бизнеса опубликованные данные FinCEN — это напоминание, что атаки ransomware затрагивают не только крупные корпорации, но и организации любого размера, особенно в критически важных отраслях. Чтобы снизить риск, необходим комплексный подход к кибербезопасности: регулярные резервные копии с проверкой восстановления, сегментация сети, многофакторная аутентификация, оперативное обновление систем, внедрение средств обнаружения и реагирования (EDR/XDR), обучение сотрудников распознаванию фишинга и наличие отработанного плана реагирования на инциденты.
Чем лучше компании подготовлены технически и организационно, тем меньше вероятность, что им придётся выбирать между длительным простоем и выплатой выкупа. Инвестирование в киберустойчивость, взаимодействие с правоохранительными органами и финансовыми регуляторами, а также постоянный мониторинг актуальных угроз ransomware становятся ключевыми факторами выживания и конкурентоспособности в цифровой экономике.
