Европол: доминирующим RaaS-поставщиком в 2025 году стал связываемый с Россией Qilin
Русскоязычный вымогатель Qilin занял лидирующую позицию на ransomware-рынке в 2025 году, предлагая партнёрам рекордные 80–85% от выкупа, сообщается в отчёте Европола. Параллельно меняется и весь рынок RaaS: LockBit пытается реинкарнироваться с версией 5.0, а DragonForce собирает полезные нагрузки из утекших кодов Conti и LockBit.
В 2025 году доминирующим семейством программ-вымогателей стал Qilin, разработанный при участии русскоязычных хакеров. Как считают в Европоле, основная группа команды базируется в России. Группировка предлагает одну из самых высоких долей прибыли для партнёров на рынке (80–85% от суммы выкупа с применением ВПО Qilin). Это следует из отчёта Европола «Internet Organised Crime Threat Assessment – 2026».
В Европоле отмечают, что группа работает над автоматизацией атак на уязвимости в устройствах Fortinet с протоколом Secure Socket Layer (SSL) VPN. Это позволяет партнёрам запускать атаки на нужные цели. Как предполагают европейские силовики, Qilin имеет связи с прекратившей существование группировкой Conti. «Они позиционируют себя как идеологически мотивированную группу, хотя их активность выглядит финансово мотивированной», — отмечается в отчёте.
SecPost писал, что Qilin впервые была выявлена в 2022 году и к 2025 году стала одной из наиболее активных групп вымогателей. Группа нацеливается на крупные организации в сфере здравоохранения, государственного управления, промышленности и транспорта. По данным мониторинга Ransomlooker, с 2023 года в списке жертв Qilin числится около 1455 организаций. В марте 2026 года Qilin заявила о взломе французской промышленной группы LISI, поставляющей компоненты для Airbus и Boeing.
Отчёт также рассматривает ситуацию с другими группировками-вымогателями, связанными с Россией. Так, в 2025 году попыталась восстановиться группа LockBit, которая была ликвидирована ещё в 2024 году. Но успех был ограничен — группировка пострадала от утечки данных: в открытом доступе оказались сборки, их конфигурации и журналы переговоров с жертвами. Активность снизилась после этого, но в последнее время начала восстанавливаться. В сентябре прошлого года был выпущен LockBit 5.0, включающий варианты, способные атаковать Windows, Linux и VMware, пишет Европол.
«В них появились обновлённые антифорензик-механизмы, более быстрые алгоритмы шифрования, геолокационные проверки для избежания заражения русскоязычных систем, а также другие функции, затрудняющие восстановление данных», — следует из отчёта.
На уроне, полученном LockBit и Conti, в 2025 году усилилась группа DragonForce, также преимущественно русскоязычная и действующая с 2023 года. Группировка выделилась, как пишет Европол, новыми бизнес-моделями, возможностями и «конкурентным подходом». «DragonForce предлагает различные полезные нагрузки, собранные из утекших кодовых баз Conti и LockBit, и позволяет партнёрам создавать разные варианты для атак на Windows, Linux, VMware и другие платформы», — сказано в отчёте.
Европол также отмечает, что в сентябре 2025 года в даркнете была анонсирована новая коалиция между DragonForce, LockBit и Qilin.
Однако были и серьезно пострадавшие группировки: в 2025 году прошла скоординированная операция международных правоохранительных органов при поддержке Европола против поставщика Phobos. Операция дала данные 400 компаниям по всему миру о продолжающихся или планирующихся на них атаках. Также в отчёте говорится об аресте четырёх «лиц российской национальности».
Другая группировка, сократившая свою активность, — также имеющая корни в Conti команда BlackBasta. В 2025 году эта полузакрытая группировка пострадала от утечки внутренних чатов, в которых содержалась ценная информация: шаблоны для фишинга, криптовалютные адреса, учетные данные жертв. После этого сайты группы, публиковавшие утечки, оказались неактивны. Однако Европол предполагает, что киберпреступники продолжат деятельность, но уже под другим брендом.
Касается отчёт и июльской операции «Eastwood» Европола против русскоязычной сети NoName057(16). Силовики пишут, что при совместной операции им удалось нарушить инфраструктуру сети, за чем последовала серия международных арестов. Это сначала привело к спаду активности, но она была быстро восстановлена.
«В последнее время группа, похоже, движется в сторону изучения и проведения более разрушительных атак, в том числе против промышленных систем управления (ICS)», — пишет Европол.
Читайте также
