Частина 3 серії статей Cognyte про програми-вимагачі
Від злочинних угруповань і жертв до системних тенденцій
У перших двох статтях цієї серії ми розглянули, як діють і розвиваються злочинні угруповання, що займаються поширенням програм-вимагачів, і чому деякі сектори, такі як ІТ-компанії, державні установи, фінансові послуги та охорона здоров’я, як і раніше, стають об’єктами атак у непропорційно більшій мірі. Ці дискусії виявили дві основні реалії: програмне забезпечення для вимагання викупу є зрілою злочинною екосистемою, а специфічні для конкретних секторів вразливості суттєво визначають поведінку зловмисників.
Ця третя частина безпосередньо ґрунтується на цих висновках і зосереджується на тому, яким шляхом рухатимуться операції з використанням програм-вимагачів у майбутньому. У цьому блозі аналізуються нові операційні тенденції, регуляторні контрзаходи та засоби захисту на основі розвідувальних даних, які керівники служб безпеки в національних центрах оперативного реагування (SOC), секторах критичної інфраструктури, фінансових послуг, телекомунікацій, транспорту та охорони здоров’я повинні враховувати у 2026 році та в подальшому.
Розуміння цих тенденцій не є суто теоретичним питанням. Це необхідна умова для забезпечення готовності до загроз. Останні статистичні дані та тенденції щодо атак з використанням програм-вимагачів свідчать про те, що рівень складності таких атак, особливо тих, що спрямовані проти об’єктів критичної інфраструктури та регульованих секторів, продовжує зростати. Оскільки фінансова вигода від атак з використанням програм-вимагачів залишається високою, а бар’єри для входження на цей ринок продовжують знижуватися, кількість атак буде й надалі зростати. Організації, які не зможуть адаптувати свої стратегії виявлення та запобігання, будуть змушені реагувати на минулорічні загрози, тоді як зловмисники рухатимуться далі.
Атаки програм-вимагачів у 2026 році: Конвергенція тактик, розширення масштабів впливу
Сучасні тенденції у сфері програм-вимагачів свідчать про перехід до масштабованих моделей доступу, вторгнень на основі облікових даних та повторюваних методів вимагання. Екосистема угруповань, що використовують програми-вимагачі, продовжує коливатися між фрагментацією та консолідацією. Хоча нові угруповання з’являються досить часто, ефективні тактики швидко копіюються, вдосконалюються та масштабуються. У результаті ландшафт загроз визначається не стільки новими штамами шкідливого програмного забезпечення, скільки повторюваними ланцюжками атак із високою віддачею, які використовують довіру, вразливі облікові дані та залежність від сторонніх ресурсів.
Ключові статистичні дані щодо програм-вимагачів за 2025 рік
- За даними, що просочилися з даркнету, та інформацією з платформ, що займаються вимаганням, у світі було оприлюднено приблизно 7 809 підтверджених випадків використання програм-вимагачів. Це зростання приблизно на 27,3% у порівнянні з попереднім роком щодо 2024 року. (Щорічний звіт Cognyte про стан загроз)
- Критична інфраструктура та ключові сектори (виробництво, охорона здоров’я, енергетика, транспорт, фінанси) склали 33,6% усіх атак програм-вимагачів, що підкреслює постійність стратегічного націлювання. (Щорічний звіт Cognyte про програми-вимагачі )
- Північна Америка залишилася регіоном, який найчастіше ставав мішенню, на який, за оцінками, припадало 47–52% глобальних інцидентів у 2025 році.
- В ЄС та Європі загалом спостерігалося постійне зростання частки атак, причому значні сплески фіксувалися в таких країнах, як Іспанія, де кількість зареєстрованих інцидентів зросла на 61% порівняно з попереднім роком.
- Викрадення даних було пов’язане приблизно з 76% випадків використання програм-вимагачів, коли проникнення в систему передувало шифруванню або замінювало його, що свідчить про перехід до тактики вимагання даних.
- У 2025 році ми проаналізували понад 125 груп, що використовують програми-вимагачі, серед яких були як давно відомі учасники, так і нові гравці, що увійшли до екосистеми програм-вимагачів. (Щорічний звіт Cognyte про ландшафт загроз)
- Вимоги щодо викупу є неоднорідними, але в деяких секторах було зафіксовано зниження рівня виплат, оскільки організації покращили свою захисну позицію та надійність систем резервного копіювання.
- Зловмисники все частіше використовували компрометацію облікових даних, експлуатацію вразливостей сторонніх постачальників та автоматизовані інструменти сканування як основні вектори в кампаніях із використанням програм-вимагачів.
3 головні тенденції у сфері програм-вимагачів, на які варто звернути увагу у 2026 році
Атаки на ланцюги постачання та масове використання вразливостей надійних платформ
Під масовим використанням вразливостей маються на увазі атаки, під час яких за допомогою однієї вразливості або точки доступу одночасно компрометуються сотні чи тисячі організацій, що знаходяться нижче за ланцюгом постачання. Замість того, щоб атакувати жертв індивідуально, оператори програм-вимагачів дедалі частіше зосереджуються на постачальниках програмного забезпечення, постачальниках керованих послуг та платформах передачі даних, які знаходяться вище за ланцюгом постачання в корпоративних екосистемах.
Кампанія MOVEit у 2023 році продемонструвала масштабність та ефективність такого підходу, дозволивши групі зловмисників Cl0p отримати доступ до даних сотень організацій за допомогою єдиного продукту для керованого обміну файлами. Ця тактика цілком відповідає динаміці, про яку йшлося в першій частині цієї серії: угруповання, що використовують програми-вимагачі, діють як бізнес-структури, ставлячи на перше місце операційну ефективність та рентабельність інвестицій.
Нещодавно група хакерів Cl0p та пов’язаний з нею кластер FIN11 провели масштабну кампанію, спрямовану проти систем управління ресурсами підприємства Oracle E-Business Suite (EBS), скориставшись критичною вразливістю «нульового дня» (CVE-2025-61882) та пов’язаними з нею недоліками для викрадення конфіденційних бізнес-даних з десятків організацій, після чого висунули вимоги про викуп.
У рамках цієї кампанії на сайті Cl0p, де публікуються викрадені дані, було оприлюднено списки майже 30 ймовірних жертв, серед яких — великі підприємства з галузей технологій, виробництва, професійних послуг та транспорту. Аналіз свідчить про те, що з уражених систем Oracle EBS було викрадено сотні гігабайтів або навіть терабайтів файлів.
Цей інцидент наочно демонструє, як зловмисники можуть використовувати вразливості корпоративних платформ — навіть тих, що широко застосовуються та користуються довірою, — для одночасного проникнення в системи багатьох організацій, що знаходяться нижче за ланцюжком, що посилює наслідки та ускладнює реагування на інцидент.
Облікові дані, викрадені за допомогою програм-інфостілерів, як основний канал проникнення
Програми-викрадачі інформації — це шкідливі програми, призначені для збору облікових даних, сесійних файлів cookie та токенів автентифікації з інфікованих кінцевих пристроїв. Ці дані потім об’єднуються, продаються та перепродаються на злочинних ринках, утворюючи стабільний ланцюжок постачання для отримання початкового доступу програм-вимагачів.
Замість того, щоб покладатися на фішинг або пряме використання вразливостей, оператори програм-вимагачів дедалі частіше здобувають перевірені облікові дані та інтегрують їх в автоматизовані ланцюжки атак. Це дозволяє зловмисникам повністю обходити системи захисту периметра та маскуватися під законну активність користувачів, що становить особливу небезпеку для секторів із великою кількістю віддалених співробітників або складними SaaS-середовищами.
Помітною тенденцією в цьому напрямку є виявлене зловживання платформами для корпоративної співпраці та управління тікетами, зокрема середовищами Atlassian та Jira. Дані для входу, пов’язані з обліковими записами службових акаунтів або робочими електронними адресами (наприклад, jira@company.com), часто зустрічаються в журналах програм-викрадачів даних, надаючи зловмисникам привілейований доступ до інформації про робочі процеси, деталі інфраструктури та внутрішнє листування. Це свідчить про загальну тенденцію до використання вторгнень на основі викрадених облікових даних як основної точки проникнення для кампаній з використанням програм-вимагачів.
Шахрайство, пов’язане з повторним використанням даних, та вторинне вимагання
Так зване шахрайство, пов’язане з повторним використанням даних, не полягає в тому, що організації не знають про те, що їхні системи було зламано. Натомість воно ґрунтується на більш поширеній ситуації: організації часто не мають повного уявлення про масштаби та подальше поширення викрадених даних, особливо коли вони перебувають під сильним тиском, змушені реагувати на інцидент.
У таких випадках зловмисники вимагають виплати за дані, які вже були викрадені — іноді ще кілька місяців тому — і, можливо, вже поширюються серед посередників або на форумах у даркнеті. Нагальність дотримання нормативних термінів та ризик для репутації можуть змусити організації піти на виплату, навіть якщо ситуацію вже вдалося локалізувати.
Нещодавні гучні випадки, зокрема неодноразові спроби вимагання викупу від медичних та муніципальних установ, ілюструють, як зловмисники знову використовують раніше викрадені масиви даних, щоб отримати додаткові виплати. Ця модель тісно пов’язана з атаками, спрямованими на медичну галузь, про які йшлося у частині 2 цієї серії, де перебої в роботі та занепокоєння щодо безпеки пацієнтів посилюють тиск на жертв.
Глобальне нормативно-правове середовище у сфері програм-вимагачів
Уряди дедалі частіше розглядають програми-вимагачі не як суто кримінальний злочин, а як проблему національної безпеки та системного ризику. Регуляторні заходи, як правило, поділяються на три категорії: обов’язкове розкриття інформації, фінансові стримуючі заходи та вимоги щодо забезпечення стійкості. Ці заходи безпосередньо зумовлені статистичними даними про програми-вимагачі, які свідчать про зростання частоти атак та посилення системного ризику для операторів критично важливої інфраструктури.
1. Вимоги щодо обов’язкового розкриття інформації.
Обов’язкове повідомлення має на меті покращити загальну обізнаність щодо діяльності програм-вимагачів та пришвидшити скоординовані заходи реагування.
- Австралія запровадила обов’язкове повідомлення про виплати за вимагання та кібершантаж у травні 2025 року, передбачивши необхідність розкриття інформації протягом 72 годин. Перші показники свідчать про покращення оперативної обізнаності на національному рівні, хоча під час активних інцидентів організації стикаються з посиленим тиском щодо дотримання вимог.
- Законодавство Сполучених Штатів, зокрема Закон про повідомлення про кіберінциденти щодо критичної інфраструктури, передбачає обов’язкове повідомлення про випадки використання програм-вимагачів та здійснення виплат, що дає змогу проводити міжгалузевий аналіз тенденцій та координувати заходи реагування на федеральному рівні.
- Декілька штатів США, зокрема Нью-Йорк, запровадили для державних установ скорочені терміни подання звітності та вимоги щодо надання обґрунтувань після здійснення платежів.
2. Зменшення фінансових стимулів
- Деякі країни намагаються безпосередньо підірвати економіку програм-вимагачів шляхом обмеження або криміналізації виплат.
- Такі країни, як Італія та Велика Британія, просувають законодавство, яке забороняє або вважає кримінальним злочином виплати викупу в секторах державних або життєво важливих послуг.
- Ці заходи спрямовані на зменшення прибутковості зловмисників, але водночас ставлять перед організаціями-жертвами складні операційні та етичні виклики.
3. Посилення кіберстійкості (NIS2 та DORA)
- Замість того, щоб зосереджуватися виключно на інцидентах, ЄС робить акцент на превентивній стійкості за допомогою таких нормативних документів, як Директива NIS2 та Закон про цифрову операційну стійкість (DORA). Ці нормативні акти передбачають вдосконалення управління ризиками, реагування на інциденти та нагляд за діяльністю третіх сторін у критично важливих секторах.
- Японський Основний закон про кібербезпеку, хоча й є менш директивним, сприяв збільшенню інвестицій у превентивні заходи контролю та міжгалузеву координацію, особливо серед операторів критичної інфраструктури.
Захист від сучасних програм-вимагачів на основі аналітичних даних
Від виявлення тенденцій до практичної аналітики
Розуміння тенденцій у сфері програм-вимагачів має цінність лише тоді, коли організації можуть перетворити отримані відомості на заходи з профілактики. Сучасний захист від програм-вимагачів залежить від зовнішньої аналітики загроз, зокрема від розуміння площі атаки організації, витоку облікових даних та витоку даних за межі периметра. Оскільки тенденції атак програм-вимагачів продовжують свідчити на користь доступу на основі облікових даних та використання вразливостей сторонніх програм, зовнішня аналітика загроз стає основоположною функцією, а не лише додатковим доповненням.
Рішення LUMINAR від Cognyte дозволяє організаціям використовувати аналітику загроз на практиці для захисту від описаних вище тенденцій. Платформа забезпечує огляд широкого спектру джерел, включаючи форуми в глибокій та темній мережі, кримінальні торговельні майданчики, незалежні дослідження, комерційні канали, історичні набори даних та традиційні канали розвідки.
Зіставляючи ці джерела, LUMINAR допомагає організаціям виявляти:
- витік облікових даних із журналів програм-викрадачів інформації до того, як ними зловмисно скористаються
- ранні ознаки масових кампаній зловживання, спрямованих проти надійних постачальників
- ознаки витоку даних, які можуть стати підґрунтям для повторних або повторно використаних спроб вимагання
Замість того, щоб реагувати вже після того, як на них почали чинити тиск з метою вимагання, організації можуть втрутитися на більш ранній стадії ланцюжка атак програм-вимагачів.
LUMINAR забезпечує швидку, засновану на аналітичних даних ефективність завдяки безперебійній інтеграції в існуючі робочі процеси SOC, SIEM та SOAR, підтримуючи безперервний моніторинг, визначення пріоритетності ризиків та обґрунтоване прийняття рішень протягом усього життєвого циклу інциденту.
Висновок
Атаки з використанням програм-вимагачів залишаються надзвичайно прибутковими, адаптивними та стійкими, незважаючи на посилення глобального регулювання. Тиск з боку законодавства може змінити поведінку зловмисників, однак він не усуває їхньої мотивації.
Як було продемонстровано у всіх трьох статтях цієї серії, для успішного захисту від програм-вимагачів необхідні:
- Розуміння принципів роботи груп, що займаються вимаганням викупу, та механізмів монетизації атак
- Аналіз динаміки ризиків у конкретних галузях
- Прогнозування нових тенденцій та нормативних обмежень
- Інвестування в превентивні стратегії безпеки, засновані на аналітичних даних
Джерело: Ransomware Trends 2026: Operational Shifts, Regulatory Pressure and Intelligence-Led Defense
