Загальна кількість кібератак з вимогою викупу у 2025 році зросла на 45%, попри різке зниження середнього розміру сум, які вимагали кіберзлочинці у компаній та які покривали страховики за договорами страхування кіберризиків.
Згідно зі звітом Cowbell про страхові вимоги за 2026 рік, середні платежі викупу зменшилися приблизно на 44% у період з 2022 до 2025 року.
Компанія пов’язує це зі сильнішими стратегіями переговорів, кращим врегулюванням страхових випадків і вищою готовністю застрахованих компаній до кіберінцидентів.
Зниження, ймовірно, пояснюється кількома факторами, пише Beinsure, серед яких одним із найважливіших є готовність страхувальників. Дедалі більше організацій мають плани реагування на інциденти та сильніші резервні копії, що допомагає відновлювати операційну діяльність без потреби отримувати ключ дешифрування.
За даними страховика QBE, кількість кібератак продовжить різко зростати. Очікується, що кількість жертв, публічно названих на сайтах витоків даних, збільшиться з 5 тис. у 2024 році до понад 7 тис. до кінця 2026 року. Це означає п’ятикратне зростання порівняно з 2020 роком, коли на таких сайтах було вказано лише 1 412 жертв.
У кіберзвіті QBE зазначається, що зловмисники використовують слабкі місця, пов’язані з переходом до хмарних сервісів і застосуванням штучного інтелекту, щоб отримувати доступ до конфіденційних даних і порушувати роботу компаній.
Державні та адміністративні органи стали найбільш атакованим сектором у світі в період із серпня 2023 року до серпня 2025 року. На них припало 19% усіх інцидентів. Далі йдуть інформаційні технології та телекомунікації з часткою 18%. Виробництво, логістика і транспорт разом становили 13%.
Ransomware-атаки призводять не лише до прямих фінансових втрат. Якщо починаються переговори, команди реагування спершу аналізують скомпрометовані дані. Якщо зловмисники не отримали доступу до чутливої або персональної інформації, аргументи на користь сплати викупу слабшають.
Команди реагування дедалі частіше діють зважено, а не емоційно. Вони аналізують дані, оцінюють можливості відновлення та порівнюють витрати і вигоди від сплати або відмови від викупу.
Витоки даних становили 33,5% усіх зареєстрованих Cowbell страхових вимог за останні 18 місяців. Кіберзлочинність становила 31,8%, а події, пов’язані з вимаганням, 18,3%.
Звіт показує, що витоки даних та інші кібератаки на основі вимагання зміщуються від моделей, які базувалися лише на шифруванні, до схем викрадення даних без шифрування та подвійного вимагання.
Під час атак лише на дані хакери не шифрують системи, вони викрадають інформацію та погрожують її оприлюднити. Це знижує поріг входу для зловмисників, оскільки їм не потрібні складні інструменти шифрування. Такий підхід швидший, дешевший і достатньо ефективний для тиску на жертву.
Страховики зазначають, що менш масштабні та менш технічно розвинені групи кіберзлочинців стають активнішими. Деякі з них не мають ресурсів для купівлі або розробки інструментів шифрування, але все одно намагаються вимагати гроші в застрахованих компаній, погрожуючи розкриттям даних.
Подвійне вимагання залишається серйозною проблемою. У таких випадках зловмисники вимагають оплату і за відновлення доступу, і за нерозголошення конфіденційної інформації. Деякі групи потім не виконують своїх обіцянок і можуть не надати повне дешифрування або вимагати додаткові кошти після отримання першого платежу.
Раніше переговори з кібергрупами більше нагадували модель, де зловмисники були зацікавлені у збереженні певної «репутації». Якщо вони не виконували обіцяне після отримання викупу, це могло знизити ймовірність майбутніх платежів. Менші групи не завжди дотримуються такої логіки, тому зростає кількість порушених обіцянок і повторних вимог.
Дані Cowbell щодо страхових вимог показують, що понад дві третини випадків з ідентифікованими зловмисниками були пов’язані лише із сімома групами.
На кіберхакерів Akira припало 38,8% таких випадків, а на Qilin 14,2%. Разом ці дві групи становили понад половину випадків, у яких було встановлено загрозливе ПЗ.
За оцінками аналітиків Beinsure, ці дані свідчать про перехід кіберринку до більш фрагментованого середовища загроз. Великі ransomware-групи залишаються важливими, але менші афіліати та відокремлені групи змінюють ризики переговорів і планування відновлення.
Cowbell також визначила професійні послуги, будівництво, виробництво, охорону здоров’я та оптову торгівлю як галузі з підвищеною експозицією до кіберризиків. Ці сектори сильно залежать від систем і конфіденційної інформації, тому плани реагування, резервні копії та готовність до врегулювання страхових вимог стають для них особливо важливими.
Зловмисники частіше використовуватимуть штучний інтелект для автоматизації атак. Страховики також прогнозують більше випадків вимагання через дані та подальше зростання активності менших груп кіберзлочинців.
Тиск правоохоронних органів порушив роботу частини великих ransomware-груп, але це призвело до появи відокремлених груп і афіліатів. Деякі зловмисники тепер здають інструменти шифрування в оренду, перетворюючи витоки даних на комерційну сервісну модель.
Чим більше викупів надходить у цю систему, тим більшою вона стає. Зменшення платежів викупу вигідне страхувальникам, страховикам і ширшому ринку. Кращі можливості відновлення, сильніша підготовка та жорсткіші переговори можуть допомогти бізнесу відновлювати роботу без фінансування кіберзлочинців.
