Крупные организации больше не платят вымогателям: это делают малые и средние предприятия

В последние годы в сфере кибербезопасности наметился новый тренд: доходы хакеров от программ-вымогателей падают, но количество атак растет. Как и вирусы, группы вымогателей просто реагируют на изменения в среде кибербезопасности и эволюционируют соответствующим образом.

Крупные организации решают вообще не платить выкупы, поэтому хакеры нацеливаются на более мелкие компании с меньшими выкупами, чтобы восполнить дефицит. Сами программы-вымогатели также развиваются, чтобы преодолевать более сильные средства защиты кибербезопасности.

В то время как крупные корпорации могут фактически выиграть от этих изменений, малый и средний бизнес рискует крупно проиграть. Если вы управляете МСП, вы, возможно, уже заметили всплеск попыток фишинга или другой подозрительной активности на периметре вашей компании. Последние данные объясняют почему.

Как работают программы-вымогатели

Программа-вымогатель — это тип вредоносной программы, которую хакеры используют для блокировки доступа к данным, системам и сетям. Затем они требуют от владельцев выплаты выкупа в обмен на разблокировку доступа. Обычно она распространяется через вложения электронной почты, текстовые сообщения и веб-сайты, но креативные хакеры даже использовали собеседования при приеме на работу(новое окно) и предложения через Signal(новое окно), чтобы попытаться применить программу-вымогателя.

Правительства не рекомендуют платить выкупы и могут фактически наказывать компании за это. Например, как правительство Великобритании(новое окно), так и правительство США(новое окно) накладывают финансовые санкции на злоумышленников, использующих программы-вымогатели, и платежи в их пользу могут привести к штрафам или тюремному заключению.

Чтобы увидеть полную картину с программами-вымогателями, нам нужно понять, как организации разных размеров становятся мишенями. Это одна из причин, по которой мы запустили нашу Обсерваторию утечек данных.

Компании всех размеров страдают от программ-вымогателей, но в последние годы тенденции показывают, что группы вымогателей меньше фокусируются на атаках на крупные организации ради больших выплат и больше на малом бизнесе ради меньших выплат. Итак, какой вывод мы можем сделать из исследований, изучающих эти тенденции?

Состояние программ-вымогателей в 2025 году

Фирма по кибербезопасности как услуге Sophos выпускает ежегодный отчет, исследующий реальность программ-вымогателей. Согласно отчету Sophos State of Ransomware 2025:

• Среднее (медианное) требование выкупа упало на одну треть (34%) за последний год, составив 1 324 439 долларов в 2025 году по сравнению с 2 миллионами долларов в 2024 году.
• Средняя (медианная) выплата выкупа упала на 50% за последний год, снизившись с 2 миллионов долларов в 2024 году до 1 миллиона долларов в 2025 году.
• Основным фактором этого падения является сокращение процента выплат выкупа в размере 5 миллионов долларов и более, с 31% выплат в 2024 году до 20% в 2025 году.
• Третий год подряд жертвы называют эксплуатируемые уязвимости кибербезопасности самой распространенной технической первопричиной атаки, использованной в 32% инцидентов.

Стоимость индивидуальных выплат резко снизилась. Мы можем приписать это нескольким факторам. Крупные компании больше инвестируют в организационную кибербезопасность и больше осведомлены о потенциальных угрозах, чем в прошлом, что помогает им уклоняться от большего количества атак. Крупные компании также больше осведомлены о том, что власти рекомендуют не торговаться с хакерами и не платить выкупы, и что это может быть фактически незаконно. Шифрование данных и резервные копии также становятся более обычным явлением для организаций всех размеров, снижая риск потери данных и уменьшая мотивацию платить выкуп.

Например, австралийская авиакомпания Qantas не заплатила выкуп и не вела переговоры, когда стала мишенью коллектива Scattered Lapsus$ Hunters, что привело к утечке данных, затронувшей 5,7 миллиона клиентов Qantas. Правительство Австралии утверждает, что это было правильным действием, и не прокомментировало возможный штраф за утечку данных.

Чтобы восполнить потери от неудачных атак, подобных Qantas, группы вымогателей чаще атакуют малый бизнес, но требуют меньше. МСП с меньшей вероятностью имеют адекватную защиту и с большей вероятностью капитулируют, потому что их финансовое положение, как правило, более хрупкое. Один отчет Verizon предполагает, что программы-вымогатели составляют 88% кибератак на МСП против всего 39% для крупных компаний.

Как защитить свой малый бизнес от программ-вымогателей

Защита от программ-вымогателей не обязательно должна быть дорогой для МСП — с правильными инструментами и правильной подготовкой любой бизнес может эффективно защитить себя.

Будьте готовы

Ни один бизнес не является слишком маленьким, чтобы быть интересным для киберпреступников. Даже если у вашего бизнеса четыре клиента и два сотрудника, вы всё равно создаете конфиденциальные данные, которые ценны для хакеров. Маловероятно, что у МСП есть ресурсы на штатного эксперта по кибербезопасности, поэтому обучение каждого сотрудника помогает сделать кибербезопасность вашей организации командным усилием. Некоторые из ваших лучших инструментов против того, чтобы стать жертвой группы вымогателей, включают:

• Обучение членов команды атакам программ-вымогателей для устранения рисков, таких как переход по подозрительным ссылкам в электронных письмах или неспособность распознать поддельное письмо.
• Создание плана реагирования на инциденты помогает вашей организации точно понимать, какие данные у вас есть, где они хранятся и какие меры безопасности вы принимаете для их защиты.
• Создание культуры прозрачности и открытости. Члены команды должны чувствовать себя комфортно, задавая вопросы о кибербезопасности и отмечая потенциальные риски.
• Использование обнаружения угроз и мониторинга сети для вашей бизнес-сети для выявления подозрительных попыток входа и обязательное включение двухфакторной аутентификации.

Найдите правильные инструменты

Может быть трудно увидеть ценность проактивных мер против программ-вымогателей, особенно когда речь идет о ROI, но помните: Предотвращение доступнее, чем плата за восстановление после утечки. Надежные повседневные инструменты могут быть экономически эффективными, при этом защищая ваш бизнес:

• Безопасный менеджер паролей хранит пароли вашего бизнеса зашифрованными, гарантируя, что они не могут быть украдены хакерами. Он также позволяет безопасно делиться паролями при необходимости, не ставя под угрозу безопасность.
• Надежная защита от фишинга и вредоносных программ для вашего провайдера электронной почты может предотвратить даже получение опасных писем членами вашей команды.
• Зашифрованное хранилище — это самое безопасное место для всех ваших бизнес-данных. Выбор простого в использовании решения, которое члены команды могут безопасно использовать с любого устройства и из любого местоположения, значительно снижает риск несанкционированного доступа. Вы также можете использовать зашифрованное облачное хранилище для резервных копий, делая атаки программ-вымогателей бессильными.
• Использование членами команды VPN для доступа к вашей бизнес-сети значительно улучшает контроль доступа и защищает от вредоносных программ и атак «человек посередине».

Ожидайте атак программ-вымогателей

Как МСП, вы можете предположить, что ваша организация слишком мала(новое окно), чтобы представлять интерес для атаки программы-вымогателя. На самом деле, вы с большой вероятностью станете мишенью, потому что вы МСП. Даже если хакеры получат меньшую выплату, отсутствие инфраструктуры и ресурсов делает атаку гораздо более вероятной для успеха. Чтобы максимально увеличить шансы вашего бизнеса пережить атаку программы-вымогателя, вам нужно иметь правильные планы на случай непредвиденных обстоятельств. Безопаснее строить планы на атаку, которая не произойдет, чем не спланировать успешную атаку.

• Регулярно создавайте резервные копии ключевых систем и хранилища. В случае потери доступа восстановление из резервной копии значительно сокращает время простоя.
• Сегментация сети помогает быстрее перекрыть доступ, если хакеру всё же удастся взломать вашу сеть.
• Используйте принципы нулевого доверия, чтобы гарантировать, что каждый член команды имеет доступ только к тем данным, которые ему нужны, и не более того.
• Держите приложения обновленными, чтобы избежать риска эксплойтов нулевого дня.