Более $4,5 млрд компании из США выплатили кибервымогателям за последние десять лет
За период с 2013 по 2024 год американские организации сообщили о выплатах программам-вымогателям на сумму более 4,5 млрд долл. Только за 2022–2024 годы поступила информация о 4 194 инцидентах с совокупными переводами свыше 2,1 млрд долл., при этом пик пришелся на 2023 год. Больше всего атак зафиксировано в финансовом секторе, промышленности и здравоохранении, подробнее в материале SecPost.
За три года, с января 2022 по декабрь 2024 года, американские организации перевели вымогателям более 2,1 млрд долл по 4 194 инцидентам, отраженным в отчетах по Закону о банковской тайне (BSA). В 2013–2021 годах через те же механизмы прошло около 2,4 млрд долл., поэтому совокупные известные выплаты за 2013–2024 годы превышают 4,5 млрд долл.
Эти данные собраны и проанализированы Управлением по борьбе с финансовыми преступлениями Министерства финансов США (FinCEN, Financial Crimes Enforcement Network), которое выполняет функции финансовой разведки и наблюдает за выполнением требований BSA. В исследование «Financial Trend Analysis: Ransomware Trends in Bank Secrecy Act Data Between 2022 and 2024» включены сообщения по инцидентам 2022–2024 годов. При этом отчетность BSA фиксирует только выявленные случаи, тогда как многие атаки остаются вне поля зрения.
Основные тенденции 2022–2024
Активность вымогателей достигла максимума в 2023 году: зафиксировано 1 512 инцидентов и около 1,1 млрд долл. выплат, что на 77% больше, чем в 2022-м. Рост выглядел особенно заметно после спада 2022 года, и его обеспечили крупные группировки, активно проводившие атаки.
В 2024 году число инцидентов осталось высоким — 1 476, но сумма выплат снизилась до 734 млн долл. Это связывают с операциями правоохранителей против ALPHV/BlackCat (крупная ransomware-группировка, работающая по модели Ransomware-as-a-Service (RaaS) и LockBit (одна из наиболее массовых и устойчивых сетей вымогателей). После их инфраструктурных потерь уменьшились прежде всего крупные выплаты, хотя массовые атаки продолжались.
Динамика по кварталам была неравномерной: выраженные всплески пришлись на середину 2023 года, а в 2024-м почти каждый квартал суммы выплат снижались относительно аналогичных периодов предыдущего года.
Размеры выплат и распределение по диапазонам
Размеры выплат менялись заметно: медианная сумма составляла около 124 тыс. долл. в 2022 году, выросла до 175 тыс. долл. в 2023-м и снизилась до 155 тыс. долл. в 2024 году. Такой разброс показывает, что пик требований пришелся на 2023 год, когда давление со стороны вымогателей усилилось, а в 2024-м суммы снова уменьшились.
Большинство инцидентов находилось в диапазоне до 250 тыс. долл., что соответствует модели массовых атак, где злоумышленники рассчитывают на быструю оплату относительно небольшого выкупа. Смещение выплат к нижним диапазонам связано с развитием стратегии «быстрого давления»: вымогатели предпочитают большое число параллельных атак, уменьшая риски и увеличивая суммарный доход. В 2024 году эта тенденция проявилась особенно заметно — число инцидентов почти не изменилось, тогда как суммы выплат сократились.
Наиболее пострадавшие отрасли
Чаще всего атакам подвергались производственные компании (456 случаев), организации финансового сектора (432) и здравоохранение (389). Эти отрасли особенно уязвимы из-за зависимости от непрерывных процессов и высокой стоимости простоя, что повышает вероятность выплаты выкупа.
По суммам выплат лидирует финансовый сектор — около 365,6 млн долл. На втором месте здравоохранение — свыше 305 млн долл., далее производство — около 284,6 млн долл., затем наука и технологии — 186,7 млн долл. и розница — примерно 181,3 млн долл. Разница между числом атак и объемами выплат показывает разную чувствительность отраслей к перерывам в работе и утрате данных.
Общим фактором уязвимости остается масштаб инфраструктуры и критичность данных: финансовые операции, технологические циклы и медицинские сервисы требуют постоянной доступности. Поэтому атаки в этих секторах часто приводят к значительным ущербам и высоким суммам выкупа.
Активность семейств программ-вымогателей
В отчетах за три года упомянуто 267 вариантов вымогательского ПО; еще в 429 случаях семейство определить не удалось. Такое разнообразие показывает, что инструменты злоумышленников быстро меняются, а группы адаптируют свои наборы под разные кампании.
Среди наиболее активных вариантов выделяются Akira, ALPHV/BlackCat и LockBit. Akira фигурирует в 376 инцидентах, что делает ее лидером по числу атак. ALPHV/BlackCat получила наибольшие выплаты — около 395,3 млн долл. LockBit зафиксирована в 353 инцидентах и связана примерно с 252,4 млн долл. выплат. Black Basta получила около 137,7 млн долл., а группы Hive, Royal, BianLian, Medusa и BlackSuit также заметно присутствуют в статистике. Разные схемы работы — массовые атаки или точечные, но дорогостоящие операции — формируют различия между числом инцидентов и объемами выкупов.
Высокий суммарный ущерб, связанный с ALPHV/BlackCat и LockBit, объясняется не только числом атак, но и структурой их операций. Такие группировки традиционно использовали двойное вымогательство — блокировку данных и угрозу публикации украденной информации. В ряде случаев это создавало дополнительное давление на жертв и повышало вероятность выплаты.
В то же время семейства вроде Phobos ориентированы на массовые атаки против более мелких организаций, что делает их «средний чек» значительно ниже.
Методы общения вымогателей с жертвами
Среди инцидентов, где удалось определить способ связи (42% случаев), в 67% фигурировала анонимная сеть TOR, что делает ее основным каналом переговоров. Такой выбор позволяет вымогателям скрывать инфраструктуру и усложнять отслеживание.
Электронная почта использовалась в 28% инцидентов и чаще служила первым способом уведомления, после чего жертв переводили на TOR-порталы для дальнейших переговоров. Зашифрованные мессенджеры встречались примерно в 3% случаев, а единичные атаки использовали текстовые файлы или сообщения, встроенные в блокчейн. Иногда комбинировались несколько каналов — например, e-mail и TOR.
Криптовалюты, используемые для выплат
В подавляющем большинстве случаев вымогатели требовали оплату в Bitcoin: в отчетах указано 3 489 таких транзакций на сумму около 2 млрд долл. Эта валюта остается основной из-за широкой доступности и удобства последующей конвертации.
Monero применялся значительно реже — в 55 случаях на сумму около 25,8 млн долл. Он обеспечивает повышенную анонимность, но сложнее в обращении, поэтому используется ограниченным числом группировок. Общая картина остается стабильной: Bitcoin доминирует и по числу операций, и по суммам выплат.
Тактики злоумышленников и схемы отмывания средств
Вымогатели предпочитают некастодиальные криптокошельки — такие, где владелец сам контролирует ключи и не зависит от биржи. Это снижает риск блокировки и усложняет отслеживание транзакций, поэтому через такие кошельки проходит большая часть выплат.
После получения средств группы выводят их через криптобиржи, нередко проводя цепочку переводов между несколькими площадками. Особенно уязвимы биржи с формальными или минимальными проверками клиентов, что облегчает отмывание.
Значимую роль играют продавцы первоначального доступа (initial access brokers), которые находят уязвимые системы и продают готовые точки входа. Покупая такой доступ, группы ускоряют подготовку атаки.
В ряде случаев вымогатели требуют дополнительные платежи уже после первого перевода — увеличивают сумму, заявляют о новых данных или затягивают переговоры. Эта тактика усиливает давление на жертв и повышает риск повторных выплат.
Методология анализа и ограничения данных BSA
FinCEN анализирует BSA-сообщения, в которых финансовые организации фиксируют подозрительные транзакции, связанные с вымогательским ПО. Перед обработкой данных ведомство проверяет отчеты на корректность, удаляет дубликаты и исключает записи, не относящиеся к ransomware-инцидентам, чтобы свести статистику к фактическим случаям.
При этом такой источник отражает только выявленные инциденты: многие атаки остаются вне отчетности. Отдельные суммы могут относиться к попыткам переводов или внутренним транзакциям, из-за чего итоговые значения могут быть завышены. Один инцидент нередко фигурирует в нескольких уточненных сообщениях. Кроме того, не все формы содержат сведения о каналах связи или криптокошельках, поэтому часть статистики остается неполной, хотя основные тенденции выражены достаточно четко.
Рекомендации FinCEN по обнаружению инцидентов и снижению ущерба
Для повышения устойчивости к атакам вымогателей отчет подчеркивает необходимость использовать индикаторы компрометации — подозрительные домены, IP-адреса, хэши файлов, криптокошельки и другие технические признаки, которые позволяют вовремя заметить попытку проникновения или шифрования.
Рекомендуется оперативно фиксировать инциденты и передавать информацию компетентным структурам, а также сохранять максимум технических данных о варианте вредоносного ПО, канале связи и реквизитах платежей. Это улучшает дальнейший анализ и помогает выявлять связанные атаки.
Отдельно отмечается важность единых обозначений и стандартизированного описания инцидентов, что облегчает сопоставление данных разных организаций. Также предлагается использовать общедоступные методические материалы по предотвращению и реагированию на атаки вымогателей, включая практики по защите целостности данных и рекомендации по восстановлению после инцидентов.
Отчет FinCen «Ransomware Trends in Bank Secrecy Act Data Between 2022 and 2024» доступен по ссылке.
