Бизнес платит хакерам около 20 млн рублей за восстановление данных после кибератак

Средняя сумма выкупа, которую российские компании фактически выплачивают хакерам после атак шифровальщиков, составляет 15-20 млн рублей. Злоумышленникам важно получить хоть что-то.

Аналитики RED Security SOC проанализировали свыше 100 случаев атак программ‑вымогателей и выяснили, что стартовые требования злоумышленников в среднем составляют около 50 млн рублей в криптовалюте. Однако итоговые выплаты обычно снижаются более чем вдвое — до 15-20 млн. Результаты исследования есть в распоряжении «Клерка».

8 из 10 компаний вступают в переговоры с операторами шифровальщиков. В почти половине случаев первоначальная сумма выкупа превышала 100 млн рублей, но реальные выплаты оказались значительно ниже заявленных требований.

«Приоритетом атакующих является получение хотя бы какого-то выкупа, а в случае отказа от выплаты финансово-мотивированные группировки либо не получают никакой выгоды от организованной атаки, реализации которой требует времени и денежных вложений, либо вынуждены искать альтернативные непрофильные способы монетизации, таких как продажа похищенных данных», — сказал руководитель направления Threat Intelligence центра мониторинга и реагирования на кибератаки RED Security SOC Григорий Поздеев.

Эксперты объясняют такую динамику коммерческой логикой теневого рынка: хакеры заинтересованы в гарантированном получении денег и намеренно завышают стартовые суммы, оставляя пространство для торга. Перед атакой злоумышленники изучают публичную отчетность и отраслевые данные, чтобы оценить финансовые возможности жертвы.

При этом в RED Security SOC подчеркивают, что готовность хакеров к переговорам не делает выплату выкупа безопасным решением. Перечисление средств не гарантирует восстановление данных и повышает вероятность повторных атак на ту же организацию.

Специалисты рекомендуют при атаке шифровальщика немедленно изолировать зараженные системы, не удалять файлы и не перезагружать устройства, уведомить регуляторов и привлечь профессиональную команду реагирования. Важным шагом остается проверка резервных копий, которые в ряде случаев позволяют полностью избежать взаимодействия с злоумышленниками.