Компании платят хакерам около ₽20 млн за восстановление данных после кибератаки

RED Security SOC

Аналитики центра мониторинга и реагирования на кибератаки RED Security SOC* изучили более 100 инцидентов, связанных с атаками программ-вымогателей, проанализировав активность хакерских группировок на закрытых площадках и теневых форумах в даркнете. Исследование показало, что средняя сумма первоначального требования о выкупе составляет порядка ₽50 млн в криптовалюте, однако жертвам атак, как правило, удаётся существенно снизить итоговую сумму — в среднем до ₽15—20 млн.

Согласно данным исследования, 8 из 10 компаний, ставших жертвами вирусов-шифровальщиков, вступают в переговоры со злоумышленниками. Сумма выкупа за восстановление данных варьируется в зависимости от их объема и размера бизнеса жертвы, почти в половине случаев она превышала ₽100 млн. В среднем требуемая сумма выкупа составляет около ₽50 млн. Однако реальные выплаты в большинстве зафиксированных случаев оказываются более чем вдвое ниже первоначально заявленных требований.

По мнению аналитиков RED Security SOC, подобная «гибкость» со стороны злоумышленников объясняется прежде всего коммерческой логикой теневого бизнеса: операторы шифровальщиков заинтересованы в гарантированном получении денег, а не в затяжных переговорах. Завышенная стартовая сумма выкупа может быть намеренной тактикой, оставляющей пространство для торга и создающей у жертвы иллюзию выгодной сделки. Кроме того, хакерские группировки хорошо осведомлены о реальных финансовых возможностях своих жертв: перед атакой они, как правило, изучают публичную отчетность, отраслевые данные и иные открытые источники.

Эксперты RED Security SOC подчеркивают: сам факт готовности злоумышленников к торгу не означает, что выплата выкупа является разумным или безопасным решением. Перечисление средств не гарантирует восстановление данных в полном объеме и стимулирует дальнейшие атаки на ту же организацию.

Если организация все же оказалась жертвой атаки шифровальщика, аналитики RED Security рекомендуют незамедлительно изолировать пораженные системы от корпоративной сети и интернета, чтобы остановить распространение вируса, не удалять никакие файлы и не перезагружать скомпрометированные машины, так как это может затруднить криминалистический анализ и восстановление данных. Параллельно необходимо уведомить регулирующие органы, а также привлечь профессиональную команду реагирования на инциденты, которая может помочь восстановить данные. Наконец, следует оценить наличие резервных копий данных и возможности их восстановления: во многих случаях это позволяет полностью исключить взаимодействие с атакующими.

* RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях — до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.