Підрозділ з боротьби з фінансовими злочинами Міністерства фінансів США FinCEN оприлюднив оновлену статистику щодо атак із використанням ransomware, базовану на тисячах звітів банків та фінансових установ за вимогами Bank Secrecy Act. Дані демонструють: за період з 2013 по 2024 рік жертви перерахували кіберзлочинцям понад 4,5 млрд доларів США, а вимогательське ПЗ залишається одним із найприбутковіших інструментів кіберзлочинності.
Масштаби атак ransomware за даними FinCEN
У проміжку з січня 2022 по грудень 2024 року FinCEN зафіксував 4194 інциденти ransomware, за результатами яких зловмисники отримали понад 2,1 млрд доларів викупів. Ці цифри ґрунтуються на повідомленнях про підозрілі транзакції від банків, платіжних сервісів та інших фінансових посередників, які зобов’язані відстежувати відмивання грошей і фінансування злочинної діяльності.
Динаміка 2022–2024: рекордний 2023 рік та корекція у 2024‑му
Пік активності вимагань припав на 2023 рік, коли FinCEN задокументував 1512 атак і орієнтовно 1,1 млрд доларів виплачених викупів — це приблизно +77% до показників 2022 року. Натомість у 2024 році кількість інцидентів дещо знизилася до 1476, а сума виплат суттєво просіла — до близько 734 млн доларів, тобто майже вдвічі менше, ніж роком раніше.
Зменшення обсягів викупів не означає зникнення загрози ransomware. Швидше йдеться про зміну балансу сил на ринку кібервимагань: з одного боку — посилення тиску правоохоронців і регуляторів, з іншого — поступове підвищення кіберзрілості організацій, які дедалі частіше відмовляються платити та роблять ставку на відновлення з резервних копій.
Правоохоронні операції проти ALPHV/BlackCat і LockBit
Ключовим фактором зниження сум викупів FinCEN називає масштабні міжнародні операції проти провідних екосистем ransomware-as-a-service (RaaS). Наприкінці 2023 року правоохоронні органи порушили інфраструктуру угруповання ALPHV/BlackCat, а на початку 2024‑го подібного удару зазнала група LockBit. Обидві структури виступали ядром ринку RaaS, надаючи «платформу» та інструменти десяткам афілійованих команд‑учасників.
Після конфіскації серверів, доменів і криптогаманців частина злочинців спробувала пер ребрендинг та міграцію в інші RaaS‑проєкти. Втім, демонстрація технічних і юридичних можливостей міжнародних коаліцій суттєво вплинула як на активність самих угруповань, так і на готовність жертв погоджуватися на великі суми викупу.
Галузі‑мішені: кого ransomware вражає найчастіше
Статистика FinCEN показує, що більшість окремих виплат були відносно «невеликими» — менше 250 000 доларів за інцидент. Це свідчить про цілеспрямований фокус багатьох груп не лише на транснаціональних корпораціях, а й на середньому бізнесі, для якого навіть шестизначний викуп може бути руйнівним.
За кількістю атак найбільше постраждали такі сектори: виробництво — 456 інцидентів, фінансові послуги — 432, охорона здоров’я — 389, роздрібна торгівля — 337 та юридичні послуги — 334. Це галузі з високою залежністю від безперервної роботи критичних систем і конфіденційних даних, що робить їх особливо вразливими до шантажу простоями та витоками інформації.
Якщо аналізувати суми виплат, лідирує фінансовий сектор — близько 365,6 млн доларів. Далі йдуть медицина (приблизно 305,4 млн), виробництво (понад 284,6 млн), наука й технології (орієнтовно 186,7 млн) та ритейл (майже 181,3 млн). Для фінансових установ і лікарень такі втрати особливо критичні через суворі регуляторні вимоги, ризик судових позовів і репутаційні наслідки.
Лідери серед ransomware‑груп і економіка RaaS
У звіті згадується 267 різних сімейств вимогательського ПЗ, але основні обсяги атак і доходів концентруються в руках кількох великих гравців. За кількістю інцидентів перше місце посідає Akira, пов’язана з 376 атаками.
За обсягом отриманих викупів лідирує ALPHV/BlackCat із приблизно 395 млн доларів, на другій позиції — LockBit з близько 252,4 млн доларів. До десятки найактивніших також входять Black Basta, Royal, BianLian, Hive, Medusa, Phobos та інші. Сукупно 10 провідних угруповань заробили понад 1,5 млрд доларів лише за 2022–2024 роки, що добре ілюструє концентрацію доходів у моделі ransomware-as-a-service, де розробники платформи та афілійовані «партнери» ділять між собою суми викупів.
Bitcoin як основний інструмент викупу та відмивання коштів
Близько 97% зафіксованих виплат за атаки ransomware припадає на Bitcoin. Інші криптовалюти — Monero, Ether, Litecoin, Tether — застосовуються значно рідше. Перевага BTC для зловмисників пояснюється його ліквідністю, глобальним поширенням і підтримкою більшістю бірж та платіжних сервісів.
Водночас посилення KYC/AML‑контролю на криптобіржах та розвиток інструментів блокчейн‑аналітики ускладнюють процес відмивання коштів. Звіти до FinCEN дозволяють ідентифікувати підозрілі гаманці, пов’язувати їх із конкретними угрупованнями та запроваджувати санкції проти їхньої інфраструктури.
Для бізнесу опублікована статистика FinCEN — це нагадування, що атаки ransomware загрожують організаціям будь‑якого розміру, особливо у критично важливих секторах. Знизити ризики допомагає комплексний підхід до кіберзахисту: регулярні резервні копії з перевіркою відновлення, сегментація мережі, багатофакторна автентифікація, оперативне встановлення оновлень, використання рішень класу EDR/XDR, навчання персоналу розпізнавати фішинг та наявність відпрацьованого плану реагування на інциденти. Чим краще організація підготовлена технічно й організаційно, тим менша ймовірність, що їй доведеться обирати між тривалим простоєм і сплатою викупу — і тим вищою буде її кіберстійкість у довгостроковій перспективі.
