Из одной банды ‒ сотня новых: как полицейские облавы укрепили армию шантажистов

Число атак программ-вымогателей в 2024 году побило все предыдущие рекорды и достигло 5 263 случаев. Об этом сообщили эксперты британской компании NCC Group в своем ежегодном отчете . По сравнению с 2023 годом количество атак выросло на 15%, несмотря на громкие аресты хакеров и масштабные операции правоохранителей.

Главная мишень - объекты критической инфраструктуры. И, судя по прогнозам аналитиков, в 2025 году ситуация только ухудшится: злоумышленники не оставят в покое промышленный сектор.

Предприятия действительно оказались под ударом в 2024 году: эксперты зафиксировали 1 424 случая против 1 240 в 2023-м – рост на те же 15%.

В чем причины такого всплеска? В NCC Group указывают на целый комплекс факторов. Преступники молниеносно обнаруживают уязвимости в программах и проникают в системы, похищают пароли сотрудников. Они умело используют напряженность в международных отношениях. На черном рынке процветает новая схема – ransomware-as-a-service (вымогательское ПО как услуга), позволяющая даже неопытным преступникам проводить крупные операции. А из-за роста курса криптовалют, в которых обычно шантажисты требуют выкуп, их доходы достигают заоблачным сумм.

Правоохранители не оставляют попыток выследить крупные банды и отключить их серверы, но модель ransomware-as-a-service позволяет преступникам быстро менять штаб-квартиры. После разгрома одной группировки ее члены тут же вливаются в другую или создают собственную – и снова принимаются за старое.

Главным успехом полиции в 2024 году стала ликвидация LockBit – банды, совершившей рекордные 526 нападений. В феврале британское Национальное агентство по борьбе с преступностью, ФБР и другие спецслужбы захватили сайт группировки и раскрыли личность предполагаемого главаря, известного как LockBitSupp.

На лидера наложили санкции, но задержать его не удалось. Он даже осмелел настолько, что анонсировал выход новой версии вируса – LockBit 4.0 – в начале февраля 2025 года. Впрочем, в NCC Group призывают скептически относиться к этим заявлениям: вероятно, хакеры просто пытаются запугать будущих жертв и сохранить репутацию.

Эксперты признают: сколько бы полиция ни боролась с цифровым злом, ни сажала виновных за решетку и ни отключала оборудование – это всё больше напоминает бесконечную игру в "кошки-мышки". Показательна история BlackCat/ALPHV: после захвата их сайта злоумышленники успели взломать Change Healthcare , предположительно обманули собственных сообщников и скрылись с деньгами, а затем просто сменили вывеску и возобновили атаки. Схожая судьба у Scattered Spider: после ареста ключевых фигур банда быстро пополнила ряды новобранцами и вернулась к незаконной деятельности.

С ростом давления со стороны полиции множатся и преступные группы. В 2023 году NCC Group отслеживала 62 банды, а в 2024-м их число достигло 94.

Среди новичков выделяется RansomHub, появившаяся в феврале – как раз на фоне разгрома LockBit. Группировка быстро переманила бывших участников LockBit и ALPHV, которые незамедлительно развернули активность. В итоге RansomHub заняла второе место по масштабу операций в 2024 году, атаковав 501 цель.

В первом полугодии LockBit взломал 433 организации, тогда как RansomHub – лишь 123. Однако во второй половине года картина изменилась кардинально: на счету RansomHub оказалось 378 жертв, у LockBit – только 93.

Опять же, пока существует схема ransomware-as-a-service, даже разгром крупнейшей банды не остановит волну нападений. Стоит полиции обезвредить лидера рынка, как его место занимает новая структура, предлагающая исполнителям более выгодные условия и продвинутые инструменты взлома. RansomHub наглядно показал: новички способны действовать эффективнее ветеранов.