Программы-вымогатели: что было в 2025 году, чего ждать в 2026-м

В 2025 году программы-вымогатели продемонстрировали устойчивость, адаптивность и готовность эволюционировать. Доминировала модель «программа-вымогатель как услуга» (RaaS), которая облегчает злоумышленникам получение как самого вредоносного ПО, так и первоначального доступа в систему. В результате снижается порог входа в теневую индустрию. 

Тактики также эволюционировали с угрожающей скоростью, особенно те, в рамках которых используются подписанные уязвимые драйверы. Кроме того, обычной практикой стало двойное и тройное вымогательство — шифрование данных в сочетании с выкладыванием их в публичный доступ и продажей данных конкурентам либо передачей регуляторам.

Злоумышленники обходят традиционные средства защиты, выбирая нестандартные точки входа — устройства интернета вещей, умные бытовые приборы и даже веб-камеры. Распространение ИИ, в частности крупных языковых моделей (LLM), ускорило этот процесс. Например, с конца 2024 года действует кибергруппа FunkSec, которая использует код, сгенерированный искусственным интеллектом, для проведения недорогих массовых атак на государственные учреждения, а также ИТ-, финансовые и образовательные учреждения в Индии и Европе. Программы-вымогатели — популярный инструмент и у хактивистов, таких как HeadMare и Twelve. Они также активно применяют зловреды, которые наносят непоправимый ущерб, в некоторых случаях «притворяясь» шифровальщиками, — программы-вайперы, уничтожающие данные без возможности восстановления.

Эксперты в области кибербезопасности ожидают, что в 2026 году число атак программ-вымогателей продолжит расти. Вероятно, злоумышленники будут автоматизировать всю цепочку атаки — от первоначальной разведки до выставления окончательных требований выкупа — с помощью ИИ-агентов. Это значительно сократит время подготовки и проведения таких атак. 

Технологии машинного обучения позволяют даже начинающим хакерам запускать полиморфное вредоносное ПО, которое мутирует на лету, или использовать дипфейк-видео для шантажа руководителей. Число жертв таких атак может резко увеличиться, поскольку злоумышленники будут масштабировать свои операции. 

Но важно понимать, что ключевые принципы противодействия таким атакам остаются теми же, что и раньше. Во-первых, нужно повышать уровень цифровой грамотности в компаниях, регулярно тренировать сотрудников распознавать фишинговые рассылки, так как чаще всего такие письма становятся первым звеном атаки с применением какого бы то ни было вредоносного ПО. Во-вторых, на всех конечных устройствах в любой организации должно стоять защитное ПО, а в идеале и решения для защиты от сложных целевых кибератак и продукты класса EDR.

Чтобы эффективно противостоять программам-вымогателям, организациям нужно инвестировать в инструменты анализа угроз и их проактивного обнаружения, обязательно создавать резервные копии важных данных и применять многофакторную аутентификацию, а также проводить тщательный аудит цепочек поставок. Если в организации есть свой центр мониторинга безопасности (SOC), у его сотрудников должна быть возможность своевременно получать актуальную информацию о релевантных киберугрозах (Cyber Threat Intelligence) с учетом ее отрасли и региона, и проходить профессиональное обучение.