Программы-вымогатели появились еще в 1980-х. Простенький вирус AIDS скрывал каталоги и шифровал имена всех файлов, требуя заплатить за продление просроченной «лицензии» $189. Целями вымогателей сначала были рядовые пользователи ПК. Но за последние годы киберпреступники стали настоящим кошмаром для бизнеса — cначала для международного, а потом и для российского. В 2016 году число атак вирусов-шифровальщиков выросли более чем в 100 раз. Но даже тогда многие российские CEO не воспринимали угрозу всерьез. «Черный лебедь» пока не прилетел.
Эпидемия шифровальщиков
Все изменил 2017 год. Использование хакерами инструментов из арсеналов американских спецслужб и новых механизмов распространения вирусов привело к международным эпидемиям. Самыми вредоносными из них оказались WannaCry (ущерб оценивается в сумму от $4 млрд до $8 млрд) и NotPetya (с потерями более $10 млрд). Несмотря на масштабы заражения, вымогатели собрали сравнительно ничтожные суммы. Скорее всего, это были попытки не заработать, а проверить на прочность уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний. И, надо заметить, эти попытки были успешными. Коллапс достиг мирового масштаба: была парализована работа метро, аэропортов, торговых сетей и государственных сервисов.
В 2022 году количество кибератак вымогателей на российские компании выросло в три раза. Чтобы жертва была сговорчивее, преступники стали не просто шифровать данные, но и заранее скачивать их, угрожая публикацией. Подобная техника «двойного давления» была опробована раньше на иностранных корпорациях. В 2022 году преступная группа OldGremlin поставила в России рекорд, потребовав у жертвы выкуп 1 млрд рублей. В 2023 году средняя сумма запрошенного выкупа составила уже 53 млн рублей, а рекордсменами по амбициям стали Shadow: 200 млн рублей.
Появились группы «двойного назначения», которые занимались как вымогательствами, так и диверсиями, если их целью становились госкомпании или госпредприятия. Самый яркий пример — Comet (Shadow) и Twelve. Comet (Shadow) сначала похищала данные из инфраструктуры жертвы, затем шифровала их и требовала выкуп. Twelve, в свою очередь, похищала информацию, а после разрушала ИТ-инфраструктуру жертвы с помощью необратимого шифрования. Мотивы, на первый взгляд, абсолютно разные: одни зарабатывали деньги, другие занимались политическим саботажем. Но наши эксперты в ходе исследования обнаружили тесную связь между двумя группировками.
За последние два года программы-вымогатели оставались в числе главных киберугроз для российских компаний. За 2024 год специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России. Это в полтора раза больше, чем было в 2023 году. Суммы первоначального выкупа в 2024 году для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, начинались от 5 млн рублей. При этом среднее время простоя после кибератаки обычно составляет 12 дней, а на восстановление нормальной работы уходит почти месяц.
По нашей статистике, жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации сферы услуг. Чем крупнее цель, тем она более привлекательна для злоумышленников. Многие россияне этим летом отчетливо почувствовали на себе последствия кибератак, когда не смогли купить авиабилеты, лекарства или бутылочку вина в сетевом магазине возле дома. И в этот момент в лучших традициях Нассима Талеба — внезапно и непредсказуемо — объявился новый «черный лебедь».
Мрачное будущее
В августе словацкая компания ESET обнаружила программу-вымогателя, которая использовала искусственный интеллект. PromptLock, созданный на основе модели GPT-OSS-20b, генерировал вредоносные скрипты на зараженном компьютере. Сначала это вызвало небывалый шум. СМИ сообщили о первом в истории шифровальщике с ИИ на борту, который тестировали киберпреступники.
Однако позже выяснилось, что это было академическое исследование группы ученых из инженерной школы Тандон при Нью-Йоркском университете. Они назвали PromptLock «Ransomware 3.0» и предупредили, что вымогатели с ИИ — это не фантастика, а ближайшее мрачное будущее.
Все идет к тому, что преступникам больше не понадобится дорогостоящая инфраструктура и разработка. Благодаря автоматизации они смогут совершать атаки не только на корпорации, но и на малый и средний бизнес — тот, что раньше считался нерентабельным, с точки зрения киберпреступников. Кроме того, ИИ позволяет на лету создавать уникальный код, который сложнее обнаружить и обезвредить.
В наших отчетах мы часто говорим, что киберпреступники уже сейчас широко применяют ИИ для фишинга, создания дипфейков и онлайн-мошенничества. И нет сомнений, что доля инструментов с ИИ в криминальном арсенале будет только расти. Прогосударственные хакеры и киберкриминальные группы получили доступ к мощному цифровому оружию, способному вызвать хаос. И теперь ИИ в связке с программами-вымогателями — это новый «черный лебедь», с которым миру только предстоит столкнуться.
Представьте себе вымогателя, который в режиме 24/7 одновременно атакует многочисленные цели, крадет чувствительные данные, шифрует, уничтожает резервные копии, шантажирует топ-менеджмент и распространяется от компании к компании со скоростью COVID. Без ошибок, без отдыха, без моральных тормозов. Мы стоим на пороге новой эпохи, когда критическая инфраструктура может быть уничтожена за часы. ИИ не просто ускоряет атаки — он делает их умнее, более массовыми и менее предсказуемыми, а значит, опаснее всего, с чем человечество сталкивалось когда-либо.
Автор — резидент Forbes Club. Мнение редакции может не совпадать с точкой зрения автора.
F6 – разработчик технологий для борьбы с киберпреступностью, для предотвращения и расследования киберпреступлений в России и за рубежом. Решения компании F6 обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F6 входят в реестр отечественного ПО. Компания F6 создана при поддержке фонда развития результативной кибербезопасности «Сайберус».