Компании платят хакерам около 20 млн рублей за восстановление данных после кибератаки

30 мая 2026, 10:48

© Сгенерировано ИИ

Аналитики центра мониторинга и реагирования на кибератаки RED Security SOC исследовали более 100 инцидентов, связанных с программами-вымогателями, и проанализировали активность злоумышленников на теневых форумах в даркнете. Выяснилось, что 8 из 10 пострадавших организаций предпочитают вступать в диалог с преступниками. Как сообщает ИТ-портал Safe.CNews, изначально хакеры требуют в среднем 50 миллионов рублей в криптовалюте, а почти в половине случаев стартовый запрос превышает 100 миллионов. Однако в процессе переговоров компаниям удается существенно снизить итоговую сумму — реальные выплаты обычно составляют от 15 до 20 миллионов рублей.

Почему хакеры соглашаются на скидки 

Сговорчивость злоумышленников объясняется простой экономикой теневого рынка: организаторам атак важнее быстро получить гарантированный доход, чем тратить время на долгие споры. Установка заведомо высокой цены оставляет пространство для торга и создает у компании ложное чувство удачной сделки. Стоит учитывать, что преступники действуют не вслепую — перед внедрением вирусов-шифровальщиков они тщательно оценивают платежеспособность жертвы по открытым источникам и финансовым отчетам. 

Руководитель направления Threat Intelligence центра RED Security SOC Григорий Поздеев рассказал, что в публичное поле попадает сравнительно небольшая доля информации об успешных атаках и выплатах злоумышленникам, однако данные исследования позволяют судить о трендах в области вымогательства со стороны хакеров.

"Приоритетом атакующих является получение хотя бы какого-то выкупа, а в случае отказа от выплаты финансово-мотивированные группировки либо не получают никакой выгоды от организованной атаки, реализации которой требует времени и денежных вложений, либо вынуждены искать альтернативные непрофильные способы монетизации, таких как продажа похищенных данных. Этот фактор, наравне с переоценкой финансовых возможностей жертвы, приводит к тому, что реальная сумма выкупа, как правило, оказывается вдвое ниже ожидаемой", - добавил Поздеев.

Эксперты RED Security SOC подчеркивают, что сам факт готовности преступников к торгу не делает выплату выкупа безопасным решением. Перечисление средств не гарантирует полного восстановления зашифрованных данных, но при этом стимулирует злоумышленников к проведению повторных атак на ту же организацию.

Порядок действий при обнаружении инцидента

Если ИТ-инфраструктура все же оказалась скомпрометирована, специалисты рекомендуют придерживаться строгого алгоритма:

- Незамедлительно изолировать пораженные системы от корпоративной сети и интернета, чтобы остановить распространение вредоносного программного обеспечения.

- Не перезагружать устройства и не удалять никакие файлы — эти действия могут затруднить последующий криминалистический анализ инцидента.

- Оперативно уведомить регулирующие органы (в исходном отчете не уточняются конкретные ведомства, однако в российской практике ИБ речь идет об обязательном информировании Роскомнадзора, ФСТЭК или ФСБ в зависимости от статуса скомпрометированных систем) и привлечь профессиональную команду реагирования на кибератаки.

- Оценить состояние резервных копий: наличие актуальных бэкапов и возможности их развертывания часто позволяют полностью исключить взаимодействие с атакующими.

Непрерывный мониторинг как основа защиты

В качестве надежной меры противодействия подобным угрозам специалисты предлагают отслеживать аномалии в инфраструктуре круглосуточно. Своевременное выявление цепочек кибератак помогает блокировать действия преступников на ранних этапах, до того как они успеют нанести реальный ущерб бизнесу.

Читайте также: Только 27% привилегированных учетных записей в российских компаниях защищены цифровыми сертификатами