Корпорации вымогателей: как устроен мировой рынок цифрового криминала

Издание «Деловой Петербург» исследует структуру мирового рынка цифрового криминала и выделяет наиболее угрожающие хакерские группировки в современном мире.

Сегодня киберпреступность уже не является чем-то тайным и скрытым. Это целая индустрия, в которой PR-поддержка, переговорщики и бухгалтеры играют важную роль. В то время как государства и компании строят цифровые экономики, их темный аналог — экономика атак — превращается в событие, где каждая хакерская группировка выступает как хэдлайнер.

По словам Евгения Кокуйкина, генерального директора HiveTrace, хакеры и кибербезопасные компании часто развиваются в одной экосистеме с противоположными целями. Злоумышленники не только стремятся к финансовой выгоде, но и занимаются корпоративным шпионажем и саботажем. Обе стороны инвестируют в исследования, автоматизацию и изучение уязвимостей, делая свои инструменты порой очень похожими.

«Некоторые технологии в области безопасности действительно напоминают те, которые используют хакеры, например, сканеры уязвимостей. В крупных компаниях существуют сертифицированные отделы “белых хакеров”, которые проводят контролируемые атаки на системы для выявления уязвимостей. Главное отличие — этика: хакеры действуют незаконно, а специалисты по безопасности работают в правовом поле», — поясняет он.

Современные злоумышленники активно применяют тактику АРТ (Advanced Persistent Threat) — сложные и целенаправленные продолжительные атаки. Поэтому их часто называют АРТ-группировками.

«Деловой Петербург» обратился к ведущим специалистам по кибербезопасности и составил список группировок, формирующих ландшафт киберпреступности на 2025 год: от франшиз вымогателей до кибершпионажа, действующего под государственными флагами.

LockBit — ветераны с франшизой

Эта группировка вымогателей считается одной из самых известных за последние десять лет. В феврале 2024 года международная операция Cronos (при участии ФБР, Европола и британского Национального правоохранительного агентства) разрушила их инфраструктуру, арестовав серверы и запустив официальный сайт банды как портал утечек. Казалось, это конец. Но через неделю LockBit вернулся.

«LockBit применяет модель “шифровальщик как услуга” (Ransomware–as–a–Service, RaaS). Смысл в том, чтобы предоставлять партнёрам доступ к программам для шифрования и получать процент от выкупа за расшифровку данных. Мы знаем о случаях, когда вымогатели предлагают консультации с юристами и советы по усилению давления на жертву во время переговоров», — делится с «ДП» Кирилл Митрофанов, руководитель команды аналитики Cyber Threat Intelligence в «Лаборатории Касперского».

Именно модель RaaS изменила кибервымогательство из индивидуальной деятельности в «франшизу» с процентами и бонусами. По словам Митрофанова, на этой основе возник целый рынок вспомогательных инструментов, включая «стилеров», программ, крадущих учетные данные и токены доступа.

Формат LockBit также расширил географию атак: жертвами стали как госпитали в США, так и заводы в Европе, муниципалитеты в Австралии. Согласно данным Минюста США, число атакованных организаций превышает 2 тысячи. Их стиль — массовость и безжалостность. Переговоры проходят жестко, а публикация данных жертв происходит по расписанию, как если бы это были официальные пресс-релизы.

RansomHub — новые карьеристы

Эта группировка появилась в 2023 году и быстро заняла верхние позиции. После временного падения LockBit именно они стали лидерами по количеству атак. В 2024 году эксперты зафиксировали более 500 успешных взломов с их подписью — почти 10% всех случаев в мире.

В отличие от LockBit, RansomHub ориентируются на скорость. Их атаки разворачиваются за считанные часы: заражение, шифровка, публикация. «Сервис» организован так: чем быстрее вы обрушите бизнес жертвы, тем быстрее получите выкуп.

Кирилл Митрофанов подчеркивает, что за последние годы уровень технологий кибергрупп в целом продолжает повышаться.

«Они стали действовать более структурированно, применяя современные методы и инструменты. Кроме того, усиливается сотрудничество между злоумышленниками. Они могут использовать общую инфраструктуру и инструменты, а также делить задачи в ходе совместных операций: кто-то отвечает за взлом, другие — за закрепление и нанесение ущерба. Поэтому атрибутировать атаки к конкретной группе становится всё сложнее», — считает представитель «Касперского».

RansomHub известны своим сотрудничеством с подрядчиками и аффилированными группами. По сути, они выступают в роли брокеров шантажа: предоставляют платформу, инструменты, а дальше партнеры самостоятельно доводят дело до конца. Такой подход делает их наиболее гибкими игроками на рынке.

Cl0p — панки с массовым поражением

Эта группировка известна своими массовыми атаками. Их самый масштабный удар произошел в 2023 году через уязвимость в программе MOVEit. Пострадали сотни компаний по всему миру — от американских корпораций до европейских университетов.

Метод Cl0p заключается в том, чтобы найти уязвимость в популярном продукте и атаковать сразу множество клиентов. Ущерб от атаки MOVEit исчисляется миллиардами, не только из-за выкупов, но и из-за репутационных потерь.

Главная особенность Cl0p — отсутствие интереса к переговорам. Они сразу публикуют списки жертв, демонстрируя свою силу и создавая панику. Это панки цифрового мира, для которых шум важен не меньше, чем деньги. Однако, по мнению экспертов, это уже не самое страшное…

«LockBit и Cl0p — это боль, но такая же привычная, как COVID, и так же временная. APT-группа, находящаяся в вашей сети 13 месяцев, представляет собой экзистенциальную угрозу для бизнеса, о которой вы даже не догадываетесь. Здесь наш акцент как защитников — остановка компрометаций цепочек поставок. Именно это делает APT-группы опасными для критической инфраструктуры. Если злоумышленник долго работает в сети, его действия невозможно исправить, и украденные данные нельзя “расшифровать обратно”», — говорит директор по развитию бизнеса «Гарда» Денис Батранков.

BlackCat (ALPHV) — технологичная новая волна

Эта группировка стала одной из первых, кто полностью перешел на язык Rust для написания шифровальщиков. Это дало им большую гибкость: такие вирусы трудно отследить и еще сложнее нейтрализовать.

В 2024 году BlackCat парализовали крупнейшую сеть здравоохранения в США. Простои продолжались неделями, сотни операций были отменены, а ущерб оценили в сотни миллионов долларов. Их стратегия — давление на критическую инфраструктуру, где нельзя терять время.

В отличие от Cl0p или LockBit, BlackCat активно используют PR. Их сайт становится витриной, где данные жертв представлены эффектно и с угрозами. Они действуют как айтишники нового поколения: технологично, эффективно и с узнаваемым брендом.

«Вопрос конфиденциальности становится “классом обслуживания”: крупные компании платят за шифрование, сегментацию и страховку, малый и средний бизнес управляет рисками по своим возможностям. ИИ помогает восстановить утекшие данные по поведенческим паттернам, поэтому акцент смещается с “не допустить утечек” на “обесценить украденное”: меньше хранить, сокращать срок жизни данных и жестко ограничивать доступ», — акцентирует независимый IT-эксперт Александр Димитриев.

Lazarus Group (КНДР) — налёты под госфлагом

Эта группировка, возможно, самая «государственная». По данным ООН и ФБР, она напрямую связана с Пхеньяном и финансирует военную программу КНДР.

«Геополитика кибератак проста: государства устанавливают правила, корпорации защищают критическую инфраструктуру, а частные группы работают как подрядчики с франшизами», — замечает Александр Димитриев.

Специализацией Lazarus являются криптовалюты. В 2022 году они украли $620 млн с блокчейн-сети Ronin, в 2023 году — еще $100 млн с Harmony Horizon Bridge. В феврале 2025 года группировка осуществила крупнейший криптовалютный грабёж в истории, выведя около $1,5 млрд в Ethereum с биржи Bybit.

Lazarus действует системно, разрабатывая целые кампании: сначала внедрение через фишинг, затем закрепление в системе и только потом кража активов. Основное отличие — стратегическая цель: это не частная нажива, а пополнение бюджета КНДР. С этим становится все сложнее бороться.

«С учетом роста числа кибератак и цифровизации, традиционная работа ИБ-служб становится недостаточной. Ожидаем, что рынок будет развиваться в сторону большей автоматизации, в том числе с использованием искусственного интеллекта», — говорит Кирилл Митрофанов.

APT28 (Fancy Bear) — грубая сила

APT28, также известные как Fancy Bear, часто связываются с российскими спецслужбами, хотя официального подтверждения этому нет. Их название стало известным в 2016 году после взлома серверов Демократической партии США.

С тех пор APT28 отметились в атаках на бундестаг, спортивные организации и НАТО. Их стиль характеризуется широким охватом и агрессивными действиями. Они не боятся оставлять следы, действуя как спецназ на штурме, поэтому уследить за ними крайне сложно.

«Противостояние служб информационной безопасности и злоумышленников носит асимметричный характер. Хакеру достаточно, чтобы одна из сотни атак достигла цели, тогда как службе безопасности необходимо защищать все векторы и системы одновременно», — подчеркивает Евгений Кокуйкин.

APT29 (Cozy Bear) — аристократы шпионажа

Эта организация, имеющая схожее название, но представляющая другую школу, известна своим изяществом: действует скрытно, методично и оставляет минимум следов.

APT29 приписывают атаку на компанию SolarWinds в 2020 году, когда через обновление ПО хакеры получили доступ к десяткам министерств и корпораций по всему миру. В 2023–2024 годах их активность снова наблюдалась в дипломатических структурах.

Разница между APT28 и APT29 заключается в подходе: первые ломают двери, вторые проникают через замочную скважину и остаются надолго.

«Среднее время обнаружения кибершпионских атак в 2024 году увеличилось до 390 дней, что на 40% больше, чем в 2023 году. Это означает, что злоумышленники находятся в сети более года до того, как их обнаружат», — отмечает Денис Батранков.

Charming Kitten (Иран) — точечные удары

Charming Kitten, или APT35, действуют от имени Ирана, применяя классические методы фишинга и социальной инженерии, но в очень избирательной форме.

Они нацелены на журналистов, правозащитников и исследователей. В 2024 году были зафиксированы атаки на учёных, связанных с ядерными программами Ближнего Востока. Их цель — получение информации, а не деньги.

Charming Kitten действуют как «охотники с лупой». Их атаки незаметны для широкой публики, но оказывают серьезный ущерб жертвам. В отличие от Lazarus, они не крадут миллиарды, но могут разрушить репутацию и скомпрометировать целые институты.

«Пользователи устали от новостей о утечках, и теперь осторожнее делятся данными. Доверие к контрактам работают только тогда, когда компания не просто извиняется, но и компенсирует неудобства и демонстрирует прозрачность в своих действиях по защите», — подчеркивает Александр Димитриев.

Evil Corp — старейшие банкиры подполья

Их имена известны с начала 2010-х годов, когда трояны Dridex и Zeus стали символами банковского криминала. Несмотря на санкции США и громкие аресты, Evil Corp продолжает свою деятельность. Их отличает способность адаптироваться: переименовываться, менять инструменты и скрываться в тени.

Это не быстрые вымогатели, а настоящая старая мафия. Их цель — деньги, а методы традиционные: банковские кражи, фишинг и трояны. Они опираются на опыт и связи.

«В ходе исследования недавних инцидентов мы обнаружили “экзотические” техники, которые раньше применялись только командами Red Team (специалисты, которых компании нанимают для контролируемых атак на свои системы). Возможно, среди групп, атакующих Россию, появились бывшие ИТ-специалисты или участники Red Team. Мы ожидаем, что такие методы будут встречаться в кибератаках всё чаще», — предупреждает Кирилл Митрофанов.

FIN7 (Carbanak) — миллиардеры–маскировщики

FIN7, также известные как Carbanak, украли более $1 млрд через атаки на банки и POS-терминалы в ресторанах и отелях США. Их стиль — маскировка. Часто они действуют через подставные IT-компании, нанимая сотрудников на фальшивые проекты, скрывая свои криминальные действия под легальной активностью.

Несмотря на аресты в Европе, группировка продолжает существовать. В отличие от Evil Corp, они ближе к «корпоративному мошенничеству»: атакуют не только банки, но и целые сети ритейла и гостиничного бизнеса.

«Каждая компания определяет последствия инцидентов по-своему, но мы видим, что действия злоумышленников становятся более агрессивными и деструктивными. Чаще всего они не только крадут и шифруют данные, но и удаляют их, используя вайперы (вредоносное ПО), что делает восстановление невозможным. Это указывает на их цель — максимальное причинение ущерба и разрушение бизнес-процессов», — описывает текущие тенденции Митрофанов.

Наследники Conti — распавшийся спрут

Группировка Conti формально распалась в 2022 году, но фактически их участники разошлись по другим бандитским группам. В результате сегодня существуют десятки «детей Conti» — Royal, Hive и другие. Они сохранили инфраструктуру, методики и контакты, и даже после распада Conti остаются одной из самых опасных сил в киберподполье.

«Рынок защиты консолидируется вокруг нескольких платформ; интеграторы становятся кураторами экосистем. Ближайшие драйверы — автоматизированное реагирование и безопасность идентичностей. В будущем — управление маршрутами атаки и приватные вычисления, а в долгосрочной перспективе — постквантовая криптография. И всё это движет не страх, а экономика простоя: когда каждая минута даунтайма бьёт по P&L сильнее, чем выкуп. То есть время простоя обходится бизнесу дороже, чем выкуп, который требуют хакеры», — подытоживает Александр Димитриев.