Доля компаний, которые соглашаются заплатить выкуп после атак вымогателей, опустилась до исторического минимума — лишь 23% жертв соглашались на условия злоумышленников в третьем квартале 2025 года, сообщают аналитики Coveware.
Постепенное снижение доходов ransomware-группировок продолжается уже шесть лет: все меньше организаций идут на переговоры и сделки с хакерами. Для сравнения, в начале 2024 года выкуп вымогателям заплатили 28% пострадавших. К такому снижению, по мнению аналитиков, приводят действия правоохранителей и властей, которые усиливают давление на жертв, чтобы те не платили атакующим, а также внедрение новых целевых мер защиты.
«Киберзащитники, сотрудники правоохранительных органов и юристы должны рассматривать эту тенденцию как подтверждение коллективного прогресса, — пишут специалисты. — Работа, которая проводится для предотвращения атак, минимизации их последствий и противодействия кибервымогательству, ведет к тому, что каждый невыплаченный выкуп перекрывает кислород киберпреступникам».
Однако хак-группы уже давно не ограничиваются одним только шифрованием данных. Основной инструмент давления на жертв — кража данных и угроза их публикации. В третьем квартале 2025 года такие инциденты составили более 76% от общего количества атак.
При этом в Coveware утверждают, что в случаях, когда злоумышленники не шифруют, а похищают данные, и атаку удается изолировать, вероятность выплаты выкупа падает до 19% — минимального уровня за всю историю наблюдений.
Также отмечается, что заметно снизились суммы выплаченных выкупов — до 377 000 (средние) и 140 000 (медианные) долларов США. Эксперты связывают это с тем, что крупные компании перестают платить хакерам и направляют свои ресурсы и средства на усиление защиты от будущих атак.
По данным специалистов, по этим причинам группировки Akira и Qilin, которые ответственны за 44% всех зафиксированных за квартал вымогательских атак, сместили фокус на средний бизнес, где компании чаще соглашаются заплатить, надеясь быстрее восстановить работу после инцидента.
Вектор атак тоже меняется. Все больше инцидентов начинается с компрометации средств удаленного доступа и эксплуатации уязвимостей в различном ПО.
Исследователи предупреждают: по мере падения доходов вымогатели действуют более прицельно и активнее ищут новые способы проникновения. Теперь, когда крупные компании укрепили свою защиту, хакеры все чаще обращаются к социальной инженерии и ищут инсайдеров (вплоть до подкупа сотрудников, способных помочь им попасть в корпоративную сеть).
