Поделиться
Атаки с использованием RaaS выросли более чем на 50%
Исследователи компании «Информзащита» фиксируют стремительный рост атак с использованием программ-вымогателей, распространяемых по модели Ransomware-as-a-Service (RaaS). Применение подобных сервисов за девять месяцев 2025 г. увеличилось на 54%, а средняя скорость развертывания шифровальщиков выросла на 48%. При этом средняя продолжительность атаки сократилась до 24 часов, что указывает на высокую степень автоматизации и подготовленности злоумышленников. Об этом CNews сообщили представители компании «Информзащита».
Эксперты связывают рост таких атак с упрощенным доступом к криминальным RaaS-платформам, появлением целой индустрии «подписочных» сервисов для запуска вымогательских кампаний, а также усложнением самой киберпреступной экосистемы, где одни группы специализируются на взломе, другие – на продаже доступа, третьи – на развертывании и обслуживании вымогателей.
Современные группировки стремятся минимизировать время между проникновением в инфраструктуру жертвы и запуском шифровальщика. Автоматизация разведки, готовые инструменты для первоначального доступа и аренда инфраструктуры позволяют злоумышленникам действовать почти в режиме «одного клика». Подобная модель стала особенно востребованной на фоне геополитической нестабильности. Как отмечают эксперты, злоумышленники применяют инструменты корпоративного уровня, а поддерживаемые государством субъекты используют глобальные кризисы не только для подрыва и шпионажа, но и для проведения вымогательских операций, маскируя их под действия киберпреступных групп.
По оценкам экспертов, наибольшая доля атак RaaS пришлась на следующие сектора: промышленность и производство – около 30%, транспорт и логистика – около 15%, ИТ- и бизнес-сервисы – около 10%, здравоохранение – около 8%, финансовый сектор – около 6%. Злоумышленники выбирают отрасли, где простой приводит к серьезным убыткам, а значит повышает вероятность выплаты выкупа.
Распространение RaaS напрямую связано с формированием новых рынков и сервисов внутри криминального сообщества. Некоторые группы специализируются на разработке шифровальщиков, другие – на продаже доступа, третьи – на предоставлении панелей управления, саппорта и каналов коммуникации.
«Появление вторичного рынка „оперативных данных“, где злоумышленники активно продают данные первоначального доступа, эксплоиты, вредоносное программное обеспечение, стало одной из причин стремительного роста RaaS-операций: доступ к готовой информации снижает порог входа и позволяет менее опытным хакерам проводить атаки, опираясь на уже подготовленные инструменты и сценарии», – сказал руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.
Рост атак ransomware-as-a-service – показатель того, что киберпреступность перешла на модель сервисов и действует по принципам легального бизнеса: масштабирование, автоматизация, подписочная модель, обмен данными. Чтобы снизить риски атак RaaS, бизнесу необходимо выстраивать многоуровневую защиту, сочетающую проактивные меры, ограничение поверхности атаки и постоянный контроль состояния инфраструктуры. В первую очередь специалисты «Информзащиты» рекомендуют компаниям минимизировать видимость своих внешних сервисов, закрывать неиспользуемые порты, скрывать версии программного обеспечения и тщательно сегментировать сеть, чтобы усложнить злоумышленникам продвижение внутри периметра. Не менее важно усиливать возможности обнаружения угроз: использовать средства мониторинга с поддержкой ИИ, отслеживать аномальную активность, попытки подключения через RDP/VPN, ранние признаки эксплуатации уязвимостей и другие индикаторы первичного доступа. Эффективную защиту обеспечивает комбинация ограничивающих механизмов – web application firewall, фильтрация трафика, rate limiting и использование honeypots, позволяющих выявлять автоматизированные попытки проникновения и фиксировать тактику злоумышленников на ранних этапах атаки. Критически значимым остается резервирование: компании должны формировать оффлайн-копии данных и регулярно проверять возможность восстановления, поскольку быстрая реакция на RaaS-инцидент часто зависит именно от качества подготовленных резервов. Наконец, регулярные внутренние пентесты и собственное сканирование инфраструктуры позволяют увидеть ее так, как видит потенциальный атакующий, своевременно обнаружить уязвимые элементы и устранить их до того, как они будут использованы в рамках вымогательской кампании. Такой комплексный подход помогает компаниям уменьшить вероятность успешной атаки и повысить устойчивость к быстро развивающимся угрозам.
Короткая ссылка
