Вирусы-вымогатели (ransomware) — это семейство вредоносных программ, которые либо шифруют данные жертвы, либо похищают их с угрозой публикации (а часто и то, и другое), после чего требуют выкуп. Большинство современных операций строятся по модели Ransomware-as-a-Service (RaaS): одна команда разрабатывает шифровальщик и инфраструктуру, а отдельные «партнёры»-исполнители — аффилиаты — проводят сами атаки и делят выкуп с операторами.
Данные за прошлый год показывают любопытный парадокс: публично известных ransomware-инцидентов стало на 47% больше, чем годом ранее, а суммарные выплаты по выкупам — упали. Группировки в ответ на снижение прибыльности не уходят с рынка, а перестраивают тактику: возвращением DDoS-сервисов в RaaS-пакеты, активной вербовкой инсайдеров и неочевидным использованием платформ для разовой подработки. Ниже — три ключевые тенденции, которые нужно учитывать в 2026 году.
Тенденция 1. DDoS-сервисы возвращаются в RaaS-пакеты
Аффилиаты зарабатывают меньше, и многие операторы шифровальщиков уходят из модели RaaS в самостоятельные операции. Тем, кто остаётся в RaaS, приходится предлагать аффилиатам что-то сверху, чтобы их удерживать. Один из таких бонусов — пакетные DDoS-сервисы.
Свежий пример — недавно появившаяся группировка Chaos (не путать со старой одноимённой), которая предоставляет DDoS-возможности всем своим аффилиатам. Сама тактика не нова: REvil в своё время предлагал похожие услуги — но на какое-то время они вышли из моды. Теперь, когда выкупы делить становится сложнее, RaaS-операторы возвращают «премиум-фичи», чтобы удержать партнёров.
Практический вывод: стратегии защиты от DDoS должны учитывать, что атака на доступность может идти в комплекте с шифрованием. Давление становится многоуровневым.
Примечание переводчика: на практике это значит, что традиционная связка «бэкап + EDR» перестаёт быть достаточной. Если параллельно с шифрованием идёт DDoS на публичные сервисы, у инцидент-команды попросту нет канала для оповещения клиентов и партнёров. Имеет смысл закладывать в архитектуру независимый обходной канал — отдельную почту и отдельный домен на инфраструктуре, не связанной с основным контуром.
Тенденция 2. Операторы всё активнее вербуют инсайдеров
Самые распространённые векторы первичного доступа для ransomware-группировок — украденные учётные данные, эксплуатация уязвимостей и фишинг. Социальная инженерия идёт четвёртой, заметно отставая, но быстро растёт. Отдельно стоит выделить ещё одну тенденцию: операторы шифровальщиков всё активнее работают с сотрудниками внутри компаний-жертв.
Самый публичный случай — попытка одной группировки завербовать журналиста BBC. Но это лишь видимая часть айсберга: по непубличным данным аналитической платформы Recorded Future, число попыток вербовки заметно выросло в 2025 году и продолжит расти, особенно если волна сокращений в крупных компаниях не остановится в 2026-м. Косвенно тренд подтверждает и публичная статистика: компания Flashpoint зафиксировала более 91 000 случаев вербовки и обсуждений вербовки инсайдеров в 2025 году.
Практический вывод: программы по работе с внутренними угрозами стоит пересмотреть и усилить. Тренинги для сотрудников должны включать сценарий внешней попытки вербовки, а мониторинг — ловить аномальные паттерны доступа, которые могут указывать на инсайдерскую помощь атакующим.
Примечание переводчика: стоит уточнить, как именно выглядит «вербовка», против которой нужны тренинги. Это не разновидность фишинга — это прямое предложение. Атакующие пишут сотруднику в LinkedIn, Telegram или на корпоративную почту и открытым текстом предлагают долю от будущего выкупа или фиксированную сумму в обмен на запуск шифровальщика внутри сети, передачу учётных данных или подключение к корпоративному устройству.
История с журналистом BBC — ровно такая: ему пришло письмо «поможете — получите долю». Поэтому обучение должно формировать у сотрудников не только навык «не открывать странные ссылки», но и понимание, что прямое денежное предложение от незнакомца — это инцидент, о котором нужно сообщить службе безопасности, а не просто проигнорировать.
Тенденция 3. Случайные подрядчики как неосознанные участники атаки
Согласно недавнему бюллетеню ФБР, ransomware-группировки начали задействовать сервисы для поиска подработки. В одном задокументированном случае атакующий успешно провёл социальную инженерию против службы поддержки, но не смог установить инструменты удалённо — мешала защита на конечных устройствах. Решение оказалось простым: через легитимную платформу для разовой работы нанять исполнителя, который физически зашёл в офис компании и забрал данные.
При этом сам исполнитель не подозревал, что работает на хакеров — он считал, что выполняет обычную ИТ-задачу. Сотрудник, который его впустил, думал, что помогает кому-то из службы поддержки. Пока что такая практика встречается редко, но доступность и глобальный охват подобных платформ означают, что повторить трюк смогут многие — с минимальными усилиями.
Практический вывод: регламенты физической безопасности должны учитывать сценарий, когда внутрь приходит «вроде бы легитимный» подрядчик. Процедуры верификации выездных ИТ-работ заслуживают свежего пересмотра.
Прогноз на 2026: глобализация экосистемы
Главное наблюдение в части прогнозов на 2026 год — экосистема вирусов-вымогателей заметно глобализируется. По оценке аналитиков, в 2026 году всё больше группировок появляется в новых для ransomware-сцены регионах. При этом важно: это не сигнал об угасании каких-либо «старых» операций — это маркер того, насколько резко расширилась мировая ransomware-экосистема в целом.
Примечание переводчика: для защищающейся стороны прикладной вывод здесь такой — географическая, языковая и часовая «привязка» атакующих как фактор риска постепенно размывается. Раньше модель угроз могла строиться из расчёта «эта группировка работает в таких-то часовых поясах и не атакует таких-то жертв» — в 2026 году такая модель будет всё хуже соответствовать реальности.
От Cloud4Y
Возвращение DDoS-сервисов в RaaS-пакеты — это, пожалуй, самый прикладной из трёх трендов: он напрямую меняет требования к инфраструктуре, на которой работает бизнес. DDoS стоит рассматривать как элемент комбинированной атаки, идущий в одной волне с шифрованием.
Cloud4Y предлагает защиту от DDoS-атак на базе StormWall — комплексное решение, которое фильтрует трафик до того, как он доходит до защищаемой инфраструктуры. Подключается к ресурсам, размещённым в облаке Cloud4Y по модели IaaS, без миграции данных, установки ПО или дополнительного оборудования. Уровень защиты регулируется — от базового до отражения гигабитных атак.
А для новых клиентов с Хабра — скидка 20% по промокоду HABR20 на услуги Cloud4Y, подробности на странице акции.
ссылка на оригинал статьи https://habr.com/ru/articles/1033098/