Рекорд жадности шифровальщиков в 2025 году составил 400 000 000 рублей

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, изучила активность группировок вымогателей в 2025 году: максимальная сумма первоначального выкупа выросла на 67% по сравнению с прошлым годом до 400 000 000 рублей. Деталями исследования группировок вымогателей, атакующих российские компании, поделились руководитель и главный специалист Лаборатории цифровой криминалистики F6 Антон Величко и Андрей Жданов в эфире онлайн-разбора Тренд-репорта.

Новый видеоподкаст с участием экспертов Лаборатории цифровой криминалистики F6 организован школой повышения квалификации в кибербезопасности CyberED. Ведущим выступил белый хакер и эксперт по кибербезопасности Егор Богомолов. 

По данным специалистов Лаборатории цифровой криминалистики F6, максимальная сумма первоначального выкупа, заявленная вымогателями в 2025 году, составила 400 000 000 рублей ($5 000 000), что больше на 67% по сравнению с прошлым годом, когда самая высокая заявленная сумма составила 240 000 000 рублей ($3 000 000).

Всего на данный момент эксперты F6 зафиксировали в текущем году более 450 атак различных группировок вымогателей на российские компании. Суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 000 000 до 40 000 000 рублей ($50000-$500000). При этом финансовая мотивация была только в 85% атак, в 15% инцидентов целью киберпреступников была диверсия и нанесение максимального ущерба российским организациям. Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (18,9%), организации из сфер оптовой (17%) и розничной (15,1%) торговли. Также в 2025 году были громкие атаки на крупные транспортные компании, топливно-энергетического комплекс, в числе пострадавших были и медицинские организации.

Наиболее активными проукраинскими группировками на данный момент в этом году стали: Bearlyfy (не менее 35 атак), THOR (не менее 7 атак) и ЛАБУБУ (не менее 4 атак), 3119/TR4CK (не менее 4 атак), Blackjack/Mordor (не менее 4 атак), Shadow/DarkStar (не менее 3 атак).

Малый и средний российский бизнес с целью выкупа больше всего атаковали: Mimic/Pay2Key, Proton/Shinra, C77L.

«Злоумышленники меняют тактику каждый день: чтобы грамотно защищаться, нужно понимать, как именно они действуют. Стать целью атак может стать любая российская организация независимо от размера или специализации. Специалисты F6 в свою очередь всеми силами стремятся помочь жертвам атак с использованием программ-вымогателей. Кроме того, важно развивать и делиться экспертизой в сфере цифровой криминалистики и других направлений информационной безопасности», — подчеркнул руководитель Лаборатории цифровой криминалистики F6 Антон Величко.

«С 2022 года Россия стала эпицентром противостояния с преступными группировками, использующими в атаках программы-вымогатели. Рост таких атак увеличивается год к году. Основную долю групп вымогателей, атакующих Россию, составляют проукраинские кибербанды и группы, имеющие ближневосточные корни. Рекомендации, которые мы публикуем в наших исследованиях, соблюдение простых организационных мер и использование оптимальных защитных решений позволит избежать российским организациям большинство таких угроз», — отметил главный специалист Лаборатории цифровой криминалистики F6 Андрей Жданов.

В эфире онлайн-разбора Тренд-репорта эксперты F6 также рассказали:

• какие группы вымогателей атакуют российские компании и какие суммы выкупа запрашивали в последние годы;
• какие основные векторы получения первоначального доступа;
• какие есть техники проникновения и закрепления в инфраструктуре;
• какие навыки нужно развивать специалистам по кибербезопасности в 2025 году.

Подробный разбор атак программ-вымогателей в 2025 году на российские компании будет опубликован ежегодном отчете F6 в начале 2026 года.