Резервные копии сработали, и хакеры перешли к краже данных

Компрометация корпоративной электронной почты (BEC) и мошенничество с переводом средств составили 58% всех заявлений по киберстрахованию, поданных в 2025 году, согласно данным Coalition, охватывающим более 100 000 страхователей в США, Канаде, Великобритании, Австралии и Германии.

BEC был самым распространённым типом инцидента, составив 31% случаев, при этом частота выросла на 15% в годовом исчислении до 0,47%. Средний ущерб на один инцидент BEC снизился на 28% до 27 000 долларов, что объясняется более быстрым обнаружением и реагированием со стороны пострадавших организаций.

Мошенничество с переводом средств (FTF) заняло второе место с 27% заявлений. Его частота снизилась на 18% до 0,42%, а средний размер ущерба упал на 14% до 141 000 долларов. В 71% этих случаев FTF использовалась социальная инженерия, когда злоумышленники выдавали себя за руководителей, поставщиков или финансовые учреждения для авторизации мошеннических переводов. Средний ущерб от FTF с социальной инженерией составил 127 000 долларов. Отдельная категория — поддельные инструкции, отправленные напрямую в банки, — составила 20% случаев FTF и привела к более высокому среднему ущербу в 218 000 долларов.

BEC служил предвестником в 52% случаев мошенничества с переводами, со средним сопутствующим ущербом в 112 000 долларов. В таких случаях злоумышленники использовали доступ к почтовым ящикам для перехвата транзакций, изменения платёжных реквизитов или извлечения банковских учётных данных.

Coalition вернула 21,8 миллиона долларов украденных средств в 2025 году по инцидентам FTF, со средним возмещением 202 000 долларов на случай. Возврат средств произошёл в 32% заявленных случаев FTF.

Требования выкупа достигают семизначных сумм

Вымогательское программное обеспечение составило 21% заявлений. Частота осталась на прежнем уровне в годовом исчислении — 0,32%, а серьёзность ущерба снизилась на 19% до среднего показателя в 262 000 долларов.

Среднее первоначальное требование выкупа выросло на 47% и превысило 1 019 000 долларов. Некоторые требования достигали 16 миллионов долларов. Оппортунистические атаки на небольшие организации приводили к более низким требованиям, часто в районе 9 000 долларов, а целенаправленные атаки на организации с известными финансовыми ресурсами генерировали самые крупные суммы.

Наиболее часто идентифицируемым вариантом программ-вымогателей была Akira, связанная с 25% инцидентов и средним требованием в 926 000 долларов. Qilin составил 12% инцидентов со средним требованием в 1 167 000 долларов. RansomHub фигурировал в 7% случаев и имел самое высокое среднее требование — 2 331 000 долларов.

Восемьдесят шесть процентов жертв программ-вымогателей отказались платить. Из 14%, которые всё же заплатили, профессиональные переговорщики смогли снизить первоначальные требования в среднем на 65%, доведя средний итоговый платёж до 355 000 долларов. Медианный платёж составил 200 000 долларов, при этом небольшое количество крупных выплат увеличило среднее значение.

Двойной шантаж, когда злоумышленники одновременно шифруют системы и похищают данные, составил 70% всех инцидентов с вымогателями и привёл к средним убыткам в 299 000 долларов. Атаки только с шифрованием и только с хищением данных каждая составили по 15% случаев, со средними убытками в 138 000 и 205 000 долларов соответственно.

Стратегия резервного копирования под давлением двойного шантажа

Снижение серьёзности последствий от программ-вымогателей отражает растущий успех восстановления на основе резервных копий. Шелли Ма, руководитель реагирования на инциденты в Coalition Incident Response, прямо говорит о том, что для этого требуется в будущем. «Резервные копии должны быть защищёнными, неизменяемыми и логически или физически изолированными от рабочей сети, защищены отдельными учётными данными, многофакторной аутентификацией и строгим контролем доступа, — сказала Ма в интервью Help Net Security. — Их необходимо регулярно проверять с помощью полных упражнений по восстановлению, демонстрируя способность воссоздать системы идентификации, критически важные приложения и файлы на чистой инфраструктуре».

Помимо технических требований, Ма рекомендует организациям вести руководства по восстановлению, которые ранжируют системы по бизнес-приоритетам, возвращая в первую очередь инфраструктуру, критичную для выручки и безопасности, параллельно с криминалистическим расследованием того, что было доступно или похищено.

Управление данными также является частью стратегии. «Организациям необходимо сочетать свою стратегию резервного копирования с управлением данными, сосредоточившись на сокращении объёма хранимых конфиденциальных данных, сегментации хранилищ с высокой ценностью и шифровании данных при хранении, чтобы событие кражи не превращалось автоматически в юридический и репутационный ущерб», — отметила Ма.

Акценты различаются в зависимости от сектора. Для промышленных и производственных компаний, где простои производства быстро накапливаются, Ма рекомендует частые, проверенные резервные копии операционных и производственных систем наряду с отработанными процедурами переключения и ручными обходными решениями. Для организаций здравоохранения и финансовых услуг приоритет смещается в сторону минимизации, сегментации и подотчётности данных. «Даже если злоумышленники похитят данные, им будет меньше материала для атаки, и появится путь решения через уведомления и регуляторный ответ», — заключила Ма.

Виртуальные частные сети остаются основным вектором атак

Технологии VPN стали наиболее часто атакуемыми в инцидентах с вымогательским ПО, фигурируя в 59% случаев, где был подтверждён скомпрометированный ресурс. Приложения удалённого рабочего стола составили 14%. Продукты SonicWall подвергались атакам чаще всего, за ними следовали решения Fortinet, Cisco, Citrix и Palo Alto Networks.

Организации, чьи панели входа в VPN были доступны из публичной сети интернет, сталкивались с киберинцидентами в три-четыре раза чаще, чем те, у кого такой доступ отсутствовал. Доступность приложений удалённого рабочего стола несла ещё больший риск: пострадавшие организации сообщали о претензиях в три-восемь раз чаще.

Эксплойты уязвимостей программного обеспечения стали ведущим вектором атак в инцидентах с вымогательским ПО (38%), что отражает использование автоматизированных сканеров для поиска неисправленных уязвимостей в устройствах, доступных из интернета. На втором месте оказались скомпрометированные учётные данные (27%).

Общие тенденции частоты и серьёзности инцидентов

Общемировая частота страховых случаев всех типов выросла на 3% в годовом исчислении, достигнув 1,54%. Средняя глобальная тяжесть ущерба снизилась на 19% до 116 000 долларов. Шестьдесят четыре процента закрытых претензий были урегулированы без дополнительных расходов для страхователя.

Что касается ответственности за приватность, 72% обвинений в нарушении прав на конфиденциальность ссылались на Калифорнийский закон о вторжении в частную жизнь 1967 года, который теперь применяется к веб-технологиям отслеживания, включая инструменты воспроизведения сеансов и чат-функции, встроенные в веб-сайты.