Частка організацій, які погоджуються на вимоги кіберзлочинців після атак ransomware, досягла історичного мінімуму. За даними Coveware, у третьому кварталі 2025 року викуп заплатили лише 23% постраждалих, проти 28% на початку 2024-го. Зменшуються й суми: середній платіж впав до $377 000, медіанний — до $140 000. Тренд відображає структурні зміни в обороні бізнесу та ризиковому профілі самих кампаній вимагання.
Чому компанії платять рідше: регуляторний тиск і зрілість захисту
Динаміку зумовлює поєднання чинників: посилення дій правоохоронців та регуляторів, жорсткіші внутрішні політики компаній і страхових договорів, а також впровадження цільових контролів безпеки. Кожна відмова від виплати підриває економіку вимагання, зменшуючи рентабельність атак та підвищуючи операційні ризики для зловмисників — від втрати інфраструктури до кримінальних переслідувань.
Роль правоохоронців і відповідності
Міжнародні операції проти інфраструктур груп-вимагачів, санкційні списки та правозастосування звужують можливості атакуючих. На рішення «не платити» впливають вимоги комплаєнсу, рекомендації регуляторів, умови кіберстрахування та готовність компаній швидко відновлюватися. Організації дедалі частіше формалізують політики відмови від викупу, фокусуючись на доказовій відбудові сервісів і юридично вивіреній комунікації з дотичними сторонами.
Трансформація тактики: від шифрування до крадіжки та публікації даних
Ransomware давно вийшов за рамки «чистого шифрування». Основний важіль тиску — ексфільтрація даних і погроза розголошення. У Q3 2025 такі сценарії становили понад 76% інцидентів. Якщо компанія оперативно ізолює атаку та підтверджує цілісність резервних копій і планів відновлення, імовірність виплати за «без-шифрувальне» вимагання падає до 19% — мінімуму за період спостережень Coveware.
Економіка зловмисників і ефект відмов
Менша частка виплат і нижчі чеки погіршують окупність злочинних кампаній. У відповідь групи переходять до ретельнішого профілювання жертв, комбінованого тиску (публікація фрагментів, контакти з клієнтами/партнерами), нарощують соціальну інженерію та шукають інсайдерів для первинного доступу. Мета — підвищити ймовірність монетизації навіть за умов швидкого технічного відновлення постраждалих.
Цілі та вектори доступу: зсув у бік середнього бізнесу
За оцінкою Coveware, групи Akira та Qilin сукупно відповідають за 44% зафіксованих атак кварталу. На тлі системних відмов від виплат у великих корпораціях фокус зміщується в сегмент середнього бізнесу, де вище очікування швидкої стабілізації операцій і, відповідно, готовність до переговорів у кризі.
Початковий доступ дедалі частіше здобувають через компрометацію RDP/VPN, експлуатацію вразливостей у критично важливому ПЗ та ланцюгах постачання. Зростає частка кампаній із таргетованим фішингом під бізнес-процеси та прямим підкупом співробітників. Така тактика мінімізує витрати зловмисників на проникнення та підвищує шанси на успіх.
Як зменшити ризик і собівартість інциденту
Зрілі базові практики напряму корелюють зі зниженням виплат. Критичні кроки: MFA для всіх віддалених доступів, сувора сегментація мережі, швидкі виправлення вразливостей, регулярні перевірені офлайн-резервні копії. Додатково — EDR/XDR із 24/7 моніторингом, контроль привілеїв (PAM), мінімізація експонованих сервісів і здатність миттєво ізолювати уражені вузли.
Для протидії «подвійному вимаганню» потрібні DLP-рішення, інвентаризація чутливих даних, шифрування на рівні сховищ і каналів, а також процеси достовірного встановлення факту та обсягу витоку. Регулярні tabletop-навчання, готові IR-плейбуки, налагоджені контакти з правоохоронцями та юридична готовність до повідомлень стейкхолдерам скорочують «вікно невизначеності» і стримують ескалацію з боку атакуючих.
Поточні цифри Coveware свідчать: відмова від викупу стає новою нормою, а грамотні технологічні та організаційні рішення суттєво зменшують збитки навіть у разі витоку. Компаніям варто планово укріплювати віддалений периметр, закривати відомі вразливості, тренувати персонал протидіяти соціальній інженерії та підтримувати готовність до інцидентів на рівні керівництва і підрядників. Інвестуйте у превенцію та кероване реагування зараз — це прямий шлях знизити ризик шантажу й уникнути непотрібних витрат завтра.
