Доля организаций, идущих на условия вымогателей после атак ransomware, опустилась до исторического минимума: по данным Coveware, в третьем квартале 2025 года выкуп заплатили лишь 23% жертв. Это продолжение шестилетнего тренда снижения выплат (для сравнения, в начале 2024 года — 28%). Параллельно падают и суммы: средний платеж снизился до $377 000, медианный — до $140 000.
Почему бизнес платит реже: давление регуляторов и зрелость защитных практик
Аналитики объясняют динамику сочетанием факторов: усилением действий правоохранителей и регуляторов, а также внедрением целевых мер киберзащиты, повышающих устойчивость к инцидентам. Каждый отказ от выплаты ограничивает экономику вымогателей, снижающий рентабельность атак и повышающий для них операционные риски.
Роль правоохранителей и регулирования
Систематическое давление на криминальные экосистемы — от международных операций против инфраструктур вымогателей до санкционных и правоприменительных мер — сужает поле маневра атакующих. На практике на решения платить влияют корпоративные политики, страховые условия, отраслевые требования и повышенное внимание регуляторов к мотивированным отказам от выплат и быстрому восстановлению.
Смена тактики: от шифрования к кражам данных и эксфильтрации
Вымогатели давно вышли за рамки «классического» шифрования. Ключевой рычаг давления — кража данных и угроза публикации. В Q3 2025 такие сценарии составили более 76% всех инцидентов. При этом, когда организация быстро изолирует атаку и доказывает достоверность своих резервных копий и планов восстановления, вероятность выплаты при «без-шифровочном» вымогательстве падает до 19% — минимального уровня за весь период наблюдений Coveware.
Экономика вымогателей и эффект отказов
Меньшая доля выплат и снижающиеся чеки ухудшают окупаемость кампаний, вынуждая группы корректировать целевые профили и методы проникновения. Это проявляется в более тщательном разведывательном профилировании жертв, использовании многоступенчатого давления (публикация фрагментов данных, контакт с контрагентами и клиентами), а также в росте социальной инженерии и поиске инсайдеров.
Кого атакуют и как заходят: фокус на среднем бизнесе
По оценке Coveware, группировки Akira и Qilin ответственны за 44% зафиксированных вымогательских атак в квартале. На фоне отказов от выплат среди крупных компаний они смещают фокус на сегмент среднего бизнеса, где ожидание быстрой операционной стабилизации повышает готовность к переговорам.
Векторы начального проникновения смещаются в сторону компрометации средств удаленного доступа (RDP/VPN), эксплуатации уязвимостей в бизнес-критичном ПО и цепочках поставок. Параллельно растет доля атак с применением социальной инженерии, фишинговых кампаний под бизнес-процессы и вербовкой инсайдеров — вплоть до прямого подкупа сотрудников, способных обеспечить доступ к сетям.
Практические меры снижения риска и стоимости инцидентов
Снижение доли выплат коррелирует с зрелостью базовых практик: многофакторная аутентификация для всех удаленных доступов, строгая сегментация сети, оперативное устранение уязвимостей, а также тестируемые офлайн-резервные копии. Важны EDR/XDR с 24/7 мониторингом, контроль привилегий (PAM), минимизация экспонированных сервисов и сценарии быстрого изолирования.
Для противодействия «двойному вымогательству» (эксфильтрация + давление публикацией) критичны DLP-полотна, инвентаризация чувствительных данных, шифрование на уровне хранилищ и каналов, а также процессы фиксации факта и объема утечки. Регулярные «tabletop»-учения, готовые плейбуки IR, контакты с правоохранителями и юридическая готовность к уведомлениям заинтересованных сторон сокращают окно неопределенности и сдерживают попытки эскалации со стороны атакующих.
Текущие цифры свидетельствуют: отказ от выплат становится новой нормой, а правильные технологические и организационные решения заметно уменьшают ущерб даже при утечке данных. Компании, независимо от размера, должны планово укреплять удаленный периметр, закрывать известные уязвимости, обучать сотрудников распознаванию социальной инженерии и поддерживать готовность к инцидентам на уровне руководства и подрядчиков. Инвестируйте в превенцию и управляемое реагирование сегодня — это прямой путь снизить вероятность шантажа и избежать затрат на выкуп завтра.
