Дипломированный взлом V$ дипломатический шантаж

Что происходит, когда мир цифрового бизнеса сталкивается с самой циничной из возможных правд? Когда оказывается, что кибервымогатели — не безликие монстры из темной сети, а прагматичные переговорщики, готовые дать скидку за скорость оплаты? Отчет Sophos на 3400 жертв раскрывает шокирующие детали: почти половина компаний платит выкуп, а каждая пятая — переплачивает. Но кто стоит за этими атаками? Оказалось, что ваш лучший удаленный разработчик может оказаться северокорейским агентом, а самая разрушительная хакерская группировка в истории имеет отдел кадров и корпоративные татуировки в качестве альтернативы офисным печенькам.

Как бизнес-логика победила криминальный романтизм в даркнете? И почему Европа, зарегулировавшая все до последнего документа, все еще уязвима, а некоторые страны даже не знают, что их инфраструктура «критическая»? Давайте разбираться по порядку — с цифрами, иронией и щепоткой здорового паранойи. Погнали?

Свидетели со всего света

24 июня 2025 года мир кибербезопасности ахнул. Не от новой уязвимости, а от откровенного признания. Компания Sophos, один из самых уважаемых «докторов» на рынке ИБ, выложила на стол результаты глобального «вскрытия».

Вот что оказалось «под микроскопом» спецов по форензике: 3400 руководителей ИТ- и ИБ-команд из 17 стран. Все участники исследования Sophos — не теоретики, а живые свидетели и жертвы нападения. Их компании, от скромных (100 человек) до гигантов (5000 сотрудников), в 2024 году прошли через один и тот же кошмар: их данные взяли в цифровой заложники.

Размах впечатляет — 14 секторов экономики, от больниц до заводов: уязвимы все — отчетом Sophos заинтересовались даже в Axios. А все потому, что данные по форензике Sophos — это локальный инцидент — это пандемия, где вирус мутирует быстрее вакцин. И теперь у нас есть масштабная карта эпидемии, составленная по горячим следам. Чувствуете легкий озноб? Это не спойлер. Это завязка.

Торг — наше все (даже с вымогателями)

Цифры Sophos раскрыли шокирующую правду: кибервымогатели — не неприступные монолиты. Они — такие же переговорщики, как и мы. И порой им можно «сбить цену».

Вот магия цифр: больше половины компаний (53%), решившихся на выплату, заплатили меньше изначального запроса. В среднем — на 15% меньше. Оказывается, не все хакеры одинаково вредны. Некоторые идут на уступки под давлением СМИ или правоохранителей. Другие — просто хотят побыстрее получить хоть что-то и дают «скидку за скорость».

Но не обольщайтесь. Каждая пятая жертва (18%), наоборот, заплатила больше. Обратите внимание на триггеры переплаты: «хакеры поняли, что мы — лакомый кусок», «резервные копии не сработали», «мы замешкались с переводом». Это классическая тактика палача, который медленно закручивает гайки.

Ирония в том, что сам факт торга — плохая новость. Он доказывает: бизнес готов платить. А где спрос, там и предложение. Рынок цифрового страха растет и процветает. Вы все еще думаете, что ваша ИБ-команда — это расходы? Тогда принимайте поздравления: неэффективные вложения в ИБ — это потенциальный актив для хакеров, а ее отсутствие и вовсе — золотая жила.

Как заплатить больше? Инструкция от хакеров.

Хотите переплатить хакерам? Легко. Достаточно совершить всего пару «ошибок», и цифровой вымогатель с радостью поднимет вам ценник. Sophos собрал топ-5 верных способов увеличить сумму выкупа.

Главный совет: будьте богатыми и заметными. 48% переплативших признались: хакеры быстро смекнули, что попали на «ценную наживу». А 50% оказались в лапах злоумышленников, которые просто решили, что компания «может позволить себе больше». Скромность, оказывается, не только украшает, но и экономит миллионы.

Второй шаг: сопротивляйтесь и медлите. 38% тех, кто попытался дать отпор или затянул с оплатой, получили увеличенный счет. Хакеры — люди нервные, их легко вывести из себя. Ваши попытки защититься или подумать они расценивают как личное оскорбление. И штрафуют. Сочно.

И финальный аккорд: пусть ваши бэкапы подведут. Еще 38% переплативших попались на этом. Резервные копии — это как запасной парашют. Если он не раскрылся в нужный момент, переговоры вы ведете уже на краю пропасти. И ваша позиция, скажем так, не слишком сильна.

Запомните эту формулу: Богатство + Сопротивление + Неготовность = Премия для киберпреступника. Работает безотказно.

Магазин «Хакерский рай»: акция «Скидка за покорность»

А теперь хорошие новости! Оказывается, в мире цифрового вымогательства тоже бывают распродажи. Можно не просто платить, а тратить активы компании со скидкой. Sophos раскрыл карты хакеров: вот как заставить их снизить цену.

Способ №1: Заговорите с ними. Да-да, почти половина (47%) тех, кто заплатил меньше, сами вступили в переговоры. Видимо, фраза «а можно подешевле?» работает даже в Telegram-чате с вымогателем. Еще 40% доверили торг третьей стороне — виртуальным «кризисным менеджерам». Рынок услуг растет!

Способ №2: Создайте им проблемы. 45% счастливчиков получили скидку потому, что на хакеров надавили извне — юристы, полиция, дружественная пресса. Преступники — существа прагматичные. Лучше получить меньше, но сейчас, чем рисковать всем майнинг-пулом.

Способ №3: Просто заплатите быстрее. 43% компаний получили «бонус за скорость». Хакеры — ценители вашей оперативности. Думаете над переводом неделю? Цена растет. Решили за сутки? Вот вам скидочка, дорогой клиент! Лояльность клиентов вознаграждается даже в преступном мире.

Итог: Киберинцидент превращается в странный гибрид рыночного торга и психологической дуэли. Ваша задача — не паниковать, а включить в себе жесткого закупщика. Иногда скидку дают просто за то, что вы не испугались попросить — ирония судьбы почти в вашу пользу, не правда ли?

Размер имеет значение и коррелирует с доверительной вероятностью

Цифры Sophos обнажают жестокую иронию кибервойны: уязвимы все, но причины — разные. И чем вы меньше, тем страшнее диагноз.

Малые компании (100-500 человек) живут в иллюзии «мы не интересны».
Их главная беда — слепота. Им не хватает не просто ПО или кадров. Им не хватает зеркала, чтобы увидеть дыры в своей обороне. Они не знают, где бреши. А хакеры знают. Это как оставлять ключ под ковриком и надеяться, что вор его не найдет. Наивность становится главным активом… для злоумышленников.

Крупные компании (500-5000 человек) страдают от паралича.
Они уже не слепы — они парализованы. Они видят бреши в своих монументальных системах, но не могут их заткнуть. Слоны в посудной лавке цифрового мира. Между знанием о уязвимости и ее исправлением лежит бюрократическая пустыня, бюджетные комитеты и legacy-системы, которые рушатся от одного неверного движения. Их сила — их же главная слабость.

Но есть одна общая черта, уравнивающая всех.
Человеческий фактор. Ошибка сотрудника, клик по фишингу, слабый пароль. Это — великий уравнитель киберинцидентов. Он не смотрит на размер выручки или число этажей в штаб-квартире. Он бьет наугад. И попадает почти всегда.

Вывод простой и пугающий.
Маленькие — не видят угрозы. Большие — не могут на нее реагировать. А человек в кресле, уставший в конце рабочего дня, готов кликнуть на что угодно. Идеальный шторм. Ваша компания уже определила, в какой из этих ловушек она находится? Или предпочитает не знать?

Лидеры хит-парада: кто чаще всего «забывает» заткнуть дыры?

Добро пожаловать в рейтинг отраслей, которые знают о своих ранах, но продолжают с ними жить. Sophos составил черный список секторов, где осведомленность об уязвимостях напоминает знание о кариесе: все понимают, что к стоматологу пора, но «и так сойдет, пока не заболит».

В топе «страдающих, но бездействующих» — ИТ и телеком. Да, вы не ослышались. Те, кто продает вам защиту, сами зачастую ходят с открытыми цифровыми воротами. За ними — госсектор, финансы и строительство. Ирония судьбы? Нет, системная проблема. Эти отрасли опутаны такими сложными и критичными системами, что любое вмешательство похоже на операцию на работающем сердце. Страх парализует.

Но настоящий сюрприз ожидает нас в рейтинге главных причин атак — «отсутствие экспертизы».
Лидирует… маркетинг (42%). Креативщики и пиарщики, мастера убеждать миллионы, оказались беспомощны перед парой строчек мошеннического кода. За ними — строительство (41%) и финансы (40%). Картина вырисовывается жутковатая: чем дальше отрасль от «технарского» ядра, тем больше в ней слепых зон. Но тем она и лакомее для хакеров.

Киберпреступники проводят свою сегментацию рынка. Они видят: тут — «богатые, но медленные». Там — «агрессивные, но наивные». И для каждой категории у них есть свой метод взлома и свой прайс-лист на выкуп.

Ваша отрасль уже в этих рейтингах?
Поздравляем. Для хакеров вы — не абстрактная цель. Вы — хорошо изученный тип жертвы со своими хорошо предсказуемыми слабостями. Они уже читают вас как открытую книгу. Осталось лишь понять, когда они перейдут от чтения к написанию своего финала на ваших серверах.

Две новости: одна хорошая, другая — очень тревожная.

График Sophos за последние шесть лет похож на кардиограмму пациента, который то идет на поправку, то снова оказывается на грани. Давайте разберем эту драму по полочкам.

Хорошая новость (зеленый сектор на диаграмме): мы стали лучше защищаться.
В 2025 году лишь в 50% атак хакерам удалось запустить шифрование данных. Это исторический минимум за шесть лет наблюдений. Помните 2020-й? Тогда злоумышленники праздновали успех в 70% случаев. Прогресс налицо. Организации научились бить тревогу раньше, детектировать вторжение на подлете и обрывать атаку до ее кульминации. Это как обезвредить гранату, пока противник еще только дергает чеку. Похлопаем себя по плечу? Не спешите.

Плохая новость (розовый сектор): хакеры не сдаются, они эволюционируют.
Если не удалось зашифровать — не беда. Можно просто пригрозить. Процент «вымогательских» атак без шифрования — тех самых «данных не было, но выкуп требовали» (желтый сектор на диаграмме) вырос вдвое за год. С 3% до 6%. Это новый тренд. Зачем возиться с криптографией, если можно написать письмо: «Уважаемый директор, мы в курсе ваших мелких грешков. Переведите полмиллиона, или отправим все в СМИ». Это дешевле, быстрее и так же эффективно. Страх — мощнее любого шифровального алгоритма.

Что это значит для вас?
Поздравляем, вы, возможно, наконец-то закрыли дверь на замок. Но хакеры теперь стучатся в окно. Или просто подбрасывают в почтовый ящик письмо с угрозами. Битва смещается с технического поля в поле психологическое. Ваша ИБ-команда, котора�� только научилась гасить кризисы шифрования, готова к войне нервов? Готова ли ваша репутация к таким испытаниям? Вопросы риторические. Пока вы искали ключи от шифра, правила игры изменились.

Бэкапы vs Выкуп: битва года, в которой побеждает… кто?

Этот график — прямое противостояние двух философий. «Мы все предусмотрели» против «Мы все оплатим». И счет, увы, не в пользу предусмотрительности.

Зеленый сектор (бэкапы) неумолимо падает.
В 2025 году только 54% компаний, переживших атаку, смогли восстановить данные из резервных копий. Это антирекорд за шесть лет. Цифра обнажает жестокую правду: наличие бэкапа еще не означает спасение. Его могли удалить, зашифровать вместе с основными данными, или он мог оказаться битым. Бэкап — это не магический щит. Это инструмент. Которым надо уметь пользоваться. И который нужно регулярно проверять на вшивость. Вы проверяли?

Синий сектор (выкуп) держится на шокирующе высоком уровне.
49% компаний в 2025 году заплатили выкуп, чтобы получить доступ к данным. Да, это чуть меньше, чем в прошлом году (56%). Но это все равно вторая по величине цифра за всю историю наблюдений. Каждая вторая жертва выбирает путь наименьшего сопротивления и быстрого (казалось бы) решения. Это наркотик. Заплатил — и, возможно, получил ключ. Быстро. Просто. Без нервов с восстановлением из кривых бэкапов. Стратегия «заплатить и забыть» слишком соблазнительна в момент паники.

Ирония ситуации достигает абсурда.
Компании платят миллионы за системы резервного копирования и хранения. Затем тратят еще миллионы, чтобы откупиться от хакеров, когда эти системы подводят. Получается двойной налог на цифровую безответственность. Финансовый директор в обмороке. Хакеры — в восторге.

Так кто же победил в этой битве?
Ответ очевиден. Победили хакеры. Пока бизнес разрывается между надеждой на технологии и готовностью откупиться, преступники создали для себя стабильную, прогнозируемую бизнес-модель. Они даже дают скидки постоянным… тьфу, то есть новым клиентам. Ваш следующий шаг — увеличить зеленый сектор или присоединиться к синей статистике? Выбор за вами. Но помните: один раз попробовав «быстрое решение», сложно вернуться к сложной, но правильной работе над своей защитой. Зависимость формируется быстро.

“Черная кошка” и “Отмычка” — престиж пристыжен 

По данным Министерства юстиции США группировка Blackcat/ALPHV более 18 месяцев подряд удерживалась на 2-м месте по востребованности разработанной ими RaaS* среди хакеров.

*RaaS (Ransomware-as-a-Service) — это вариант SaaS для правонарушителей — программа-вымогатель, предоставляемая в качестве услуги. 

С помощью ПО от Blackcat было атаковано более 1000 компаний и нанесен ущерб по всему миру, включая закрытые сети, поддерживающие критически важную инфраструктуру США. 

Банда LockBit оказала более широкое влияние: по оценкам Министерства юстиции США, она атаковала более 2500 организаций по всему миру, в том числе 1800 в США. Жертвами LockBit стали частные лица, представители малого и среднего бизнеса, транснациональные корпорации, больницы, школы, колледжи и университеты, некоммерческие организации, критически важные объекты инфраструктуры, а также государственные и правоохранительные органы. Со слов официальных лиц, группировка заработала более 500 миллионов долларов за все время своего существования.

Ввиду глобального масштаба преступлений группировок Blackcat и LockBit федеральные службы безопасности ряда стран проводят параллельные расследования. 

Банды вымогателей — это нечто большее, чем кучки молодых хакеров, самозабвенно программирующих на обочине цивилизации.

Axios разбирает хакеров на биты на примере LockBit.

В LockBit были менеджеры по найму, процедуры собеседований и отдел кадров.

Группировка даже создала свои собственные crm и agile-утилиты для общения с фрилансерами.

Согласно обвинительному заключению, бандой LockBit руководил 31-летний россиянин Дмитрий Хорошев, известный под псевдонимом “LockBitSupp”.

Среди других предполагаемых участников — дуэт отца и сына, которые были арестованы в Украине, и 38-летний мужчина из Польши.

Эксперты сообщили Axios, что LockBit стала самой крупной и разрушительной бандой вымогателей за всю историю даркнета.

По оценкам следователей, на LockBit работало около 200 онлайн-мошенников.

По данным ФБР, в 2023 году RaaS "под брендом" этой группировки был самым популярным вариантом программы-вымогателя, атакующим критически важные инфраструктуры США, — на долю LockBit пришлось 14% всех зарегистрированных атак.

Как рос престиж?

-1-

LockBit лгала о том, на кого она нападала, часто заявляя о более крупных целях, чем это было на самом деле.

-2-

"Адепты" хакерской кучки на волне успеха даже начали делать татуировки, чтобы показать свою преданность группе.

-3-

По словам Тима Митчелла, главного исследователя подразделения ИБ в компании SecureWorks, сразу после прошлогодней операции правоохранительных органов, LockBit потребовала от фрилансеров вложить в восстановление структуры примерно по одному биткоину, прежде чем получить доступ к желанной панели управления. К слову, стоимость биткоина на тот момент составляла не менее 61 000 долларов.

Престиж обеих систем "посыпался", начиная с 2023 года.

Блокировка деятельности LockBit, которая была осуществлена Национальным агентством Великобритании по борьбе с преступностью (ЦРУ) и Федеральным бюро расследований США (ФБР) в начале 2024 года, привела к сокращению выручки банды на 79%. ALPHV/BlackCat, которая релизнула одну из самых "кассовых" RaaS в 2023 году, в ходе аналогичной операции спецслужб осталась наедине с зияющей дырой в своем воровском бюджете во втором полугодии 2024 года.

Интрига разоблачения в том, что для уничтожения LockBit, ФБР и его партнерам из частного сыска нужно было сосредоточиться не только на технических действиях: захвате баз данных и доменных имен в Интернете. Им также пришлось нанести непоправимый ущерб по репутации банд:

-1-

Международные правоохранительные органы захватывали инфраструктуру накануне вечером, а утром выпускали пресс-релиз и проводили пресс-конференцию, чтобы поделиться самыми горячими подробностями падения неуловимых отмычников и черно-кошников.

-2-

В ходе операции с LockBit следователи пошли еще дальше: в течение нескольких недель они размещали данные обратного отсчета на захваченном ими сайте утечек в даркнете, чтобы троллить сторонников LockBit.

“Речь шла не только о разрушении, но и о сдерживании”, — в беседе с Axios сообщает Бретт Лезерман, заместитель помощника директора ФБР по кибер-операциям. “Нашей целью было сделать репутацию LockBit радиоактивной”.

Однако, банды программ-вымогателей постоянно развиваются…

Даже когда правоохранительные органы арестовывают их руководителей или захватывают их онлайн-инфраструктуру, оставшиеся участники проводят ребрендинг и продолжают работать:

Уцелевшие участники LockBit продолжили играть в излюбленные интриги: притворились, что остаются на плаву и после облавы на них, и стали повторно публиковать в даркнете свои "подвиги", поросшие "плесенью" былых времен. 

Пристыженные падением свего престижа отмычники и черно-кошники уже к концу 2024 года перепрофилировались в RansomHub RaaS, который поглотил множество бывших "фрилансеров" из LockBit и BlackCat. По данным Camichel, RansomHub уже вошел в топ-10 самых "кассовых" мошенников за 2024 год…

Высококвалифицированному хакеру — престиж и почет 

Очень многие, если не каждая компания из списка Fortune 500, дружно молчат об одном и том же секрете: в их штате есть северокорейские ИТ-специалисты.

Невероятно работоспособные северокорейские айтишники превосходно справляются со своей работой — по крайней мере, до тех пор, пока они не начинают воровать конфиденциальные данные или вымогать деньги у компаний, которые пытаются их уволить.

Вице-президент Google по анализу угроз Сандра Джойс вспоминает фразу одного из топ-менеджеров, когда со-топ-трудники уличили его в найме северокорейского работника: "Ребята, вы чертовски прозорливы, но только вы не знаете одного маленького нюанса: это мой лучший сотрудник".

Северная Корея потратила годы на создание своей удаленной ИТ-армии, обучая молодежь не только мошенническим схемам для обхода санкционных препятствий при устройстве на удаленную работу, но и корпоративному шпионажу и краже IP-данных.

Лучших учащихся отбирают на школьных олимпиадах и отправляют в элитные учебные заведения, таких как Технологический университет Ким Чхэка и Университет естественных наук в Пхеньяне, которые специализируются на разработке программного обеспечения, искусственном интеллекте или криптографии.

Как происходит взлом

Северокорейские соискатели удаленной работы в начале определяют потенциальный круг живущих или уже умерших людей, которых они могут использовать в качестве прикрытия своей личности.

Чтобы вкрасться в доверие к будущему работодателю, они создают поддельные пароли, карточки социального страхования и счета за коммунальные услуги. По словам Адама Мейерса, вице-президента по борьбе с угрозами ИБ в CrowdStrike, многие из них используют одну и ту столешницу, являющуюся фоном для фотографий с поддельными документами, что стало уже мемом среди работодателей, случайно оказавшихся «в теме» благодаря своей предусмотрительности.

Так, в декабре 2024 года было предъявлено обвинение 14 северокорейцам, которые, как было установлено, использовали украденные удостоверения личности для трудоустройства на десятки рабочих мест.

Северокорейцы находят свободные вакансии в области разработки ПО, техподдержки и DevSecOps на Upwork, Fiverr, LinkedIn и других платформах для подбора персонала. Поиски во многом упрощаются с помощью инструментов искусственного интеллекта, которые помогают отслеживать новые вакансии и управлять массовыми откликами на них.

"Существует даже определенная иерархия. Есть группа людей, которые проходят собеседования, и это те, кто действительно хорошо владеет английским языком, рассказывает в интервью Axios Тревор Хиллигосс, старший эксперт SpyCloud Labs. — "Когда их нанимают, реальная работа уже передается кому-то из ИТ-инженеров".

Эти разработчики а‑семи‑рук часто совмещают несколько работ в разных компаниях, порой даже под видом разных «персонажей» с разными ID.

Cобеседования при приеме на работу, очевидно, преследуют одну из главных ИБ‑целей: выявление мошеннических схем. Но «кандидаты» — независимо от того, используют ли они свои настоящие лица и голоса или образы, созданные с помощью ИИ, — являются опытными соискателями, обладающими навыками, необходимыми для выполнения технических заданий по написанию кода.

По словам Майкла «Барни» Барнхарта, главного исследователя DTEX Systems, во многих случаях менеджеры по найму понимали, что #что-то пошло не так, только спустя недели, когда сотрудники выглядели или вели себя иначе, чем во время собеседования.

Получив желаемую должность, разработчики обращаются с просьбой отправить ноутбук, предоставляемый компанией-работодателем, на адрес, не соответствующий указанному в документах, в последнюю минуту ссылаясь на переезд или семейные обстоятельства. Этот адрес часто принадлежит американскому сообщнику, который обычно управляет так называемой «фермой ноутбуков».

Эти посредники устанавливают на ноутбуки специальное программное обеспечение для удаленного рабочего стола, чтобы северокорейский работник мог управлять ноутбуком из-за границы.

В июле 2025 года ФБР сообщило, что провело обыски в 21 помещении в 14 штатах, которые, оказались "фермами ноутбуков", и изъяло 137 ноутбуков.

По словам сотрудников ФБР в настоящее время мошеннические операции в основном направлены на зарабатывание денег для режима Северной Кореи. Но хакерские группы, развиваются во что-то более изощренное и опасное, в том числе за счет потенциального создания собственных моделей искусственного интеллекта и кражи конфиденциальных данных американских компаний.

«Робин Гуды» крипты

21 февраля было обычным днем, вспоминает Бен Чжоу, руководитель ByBit, криптовалютной биржи, базирующейся в Дубае. Перед тем как лечь спать, он одобрил перевод средств между счетами фирмы — “типичный маневр”, выполняемый при обслуживании более 60 миллионов пользователей по всему миру. Полчаса спустя ему позвонили. “Бен, возникла проблема”, — дрожащим голосом сказал его финансовый директор. “Нас кажется, взломали"…весь Ethereum куда-то "испарился"”.

Независимые следователи и ФБР вскоре указали пальцем на знакомого преступника — Северную Корею. Хакеры из королевства отшельников зарекомендовали себя как одна из самых серьезных угроз криптоиндустрии.

По данным Chainalysis, компании, занимающейся крипто-расследованиями, в 2023 году северокорейские хакеры похитили в общей сложности 661 миллион долларов; в 2024 году они удвоили эту сумму, собрав 1,34 миллиарда долларов в ходе 47 отдельных краж, что эквивалентно более чем 60% от общемирового объема украденной криптовалюты. В 2025 году джек-пот северокорейских горе-РобинГудов вырос до 2,02 миллиардов долларов, что составило 75% от общемирового объема украденной криптовалюты.

Операция ByBit свидетельствует о растущем уровне мастерства и амбиций: за один взлом Северная Корея похитила с биржи сумму, эквивалентную 1,5 миллиардам долларов, что стало крупнейшим ограблением в истории криптовалют.

Восхождение Северной Кореи — это результат многолетних усилий. Первые школы информатики в стране появились, по крайней мере, в 1980-х годах. Война в Персидском заливе помогла режиму осознать важность сетевых технологий для ведения современной войны. По словам Тхэ Ен Хо, высокопоставленного северокорейского дипломата, сбежавного от режима в 2016 году, талантливых учеников-математиков отправляли в специальные школы и освобождали от обязательных ежегодных сельскохозяйственных работ. Первоначально задуманные как инструмент шпионажа и саботажа, кибервойска Северной Кореи начали заниматься киберпреступностью в середине 2010-х годов.

Кража криптовалюты включает в себя 3 основных этапа. 

Первый — это взлом систем цели — цифровой эквивалент поиска подземного хода в банковские хранилища. Он осуществляется с помощью фишинговых электронных писем, содержащих вредоносный код. Северокорейские хакеры выдают себя за рекрутеров и вынуждают разработчиков программного обеспечения открывать зараженные файлы во время фальшивых собеседований при приеме на работу.

“Они стали действительно хороши в поиске уязвимостей с помощью социальной инженерии”, — говорит Эндрю Файерман из Chainalysis. В случае с ByBit хакеры взломали компьютер разработчика, работающего на поставщика программного обеспечения для цифровых кошельков.

После кражи криптовалюта подлежит отмыванию. Грязные деньги распределяются по нескольким цифровым кошелькам, объединяются с чистыми средствами и переводятся между различными криптовалютами — процессы, известные в отрасли как “смешивание” и “цепная передача”. “Это самые изощренные крипто-отмыватели, с которыми мы когда-либо сталкивались”, — говорит Том Робинсон из Elliptic, блокчейн-аналитической компании. 

Наконец, украденные средства необходимо обналичить.

Растущий спектр подпольных служб, многие из которых связаны с китайской организованной преступностью, считаем для себя прибыльной честью помочь в этом. "Сборы и запреты со стороны правоохранительных органов снижают общую прибыль, но Северная Корея может рассчитывать на получение 80-90% украденных средств," — говорит Ник Карлсен, бывший аналитик ФБР, ныне работающий в TRM Labs, блокчейн-аналитической компании.

У Северной Кореи есть несколько сильных сторон. Одна из них — таланты. Это может показаться нелогичным: страна отчаянно бедна, а у обычных граждан строго ограничен доступ к Интернету или даже компьютерам. Но “Северная Корея может взять лучшие умы на свое содержание и просто указывать им, что делать”, — рассказывает Ким Сын Чжу из школы кибербезопасности Корейского университета в Сеуле. “Им вообще не приходится беспокоиться о том, что сотрудники сбегут от них в Samsung”. Кроме того, северокорейские хакеры работают круглосуточно. А еще они необычайно бескомпромиссны, когда наносят удары. 

На Международной студенческой олимпиаде по программированию в 2019 году команда из северокорейского университета заняла восьмое место, опередив представителей Кембриджа, Гарварда, Оксфорда и Стэнфорда…

От «средней температуры по палате» к личному делу: кто стоит за цифрами Sophos?

Данные Sophos — это холодная, почти медицинская статистика. 50% шифрования, 49% выплат, 53% выздоровевших за неделю. Это «средняя температура по больнице» киберпандемии. Но за каждой цифрой стоит не абстрактный «хакер», а очень конкретный психологический портрет. И если Sophos рассказал, как компании становятся жертвами, то теперь пора узнать — кто эти современные «Робин Гуды» цифрового леса, и почему они так успешны.

Оказывается, классический вымогатель в подпольном форуме — уже анахронизм. Сегодняшний оппонент — это часто… ваш лучший удаленный сотрудник. Тот самый, который никогда не опаздывает с дедлайнами, не просит повышения и работает в странные часы. Sophos указал на «нехватку экспертизы» как корень проблем. А кто может быть «экспертом», как не тихий гений из Северной Кореи, прошедший элитную школу и одержимый желанием доказать свое превосходство?

Они образованы, амбициозны и лишены «слабостей» цивилизации. Пока ваш рядовой разработчик отвлекается на кофе-брейки и соцсети, его северокорейский «коллега» с фейковым резюме сутками штурмует ваши периметры. Он не играет в онлайн-игры. Он в них живет, и ваша корпоративная сеть — его новая RPG, где главный приз — ваши данные. Sophos говорит, что атаки начинаются с фишинга и уязвимостей. А кто лучше подготовит идеальную фишинговую рассылку, чем тот, кто сам прошел десятки фальшивых собеседований, чтобы устроиться к вам на работу?

Они построили корпорации страха. Данные о группировках вроде LockBit и BlackCat — это не истории о банде одиночек. Это рассказ о гиперэффективных стартапах с отделами кадров, CRM-системами и корпоративной культурой, где лояльность отмечают татуировками. Sophos фиксирует снижение среднего чека выкупа. Но это не милость — это отлаже��ная ценовая политика. Они знают, что с небольшой компании много не возьмешь, а крупную можно «скидкой» стимулировать к быстрой оплате. Это не хаос. Это циничный, холодный бизнес.

Их главное уязвимое место — не код, а эго. Вот где ирония достигает апогея. ФБР, уничтожая LockBit, понимало: нужно сломать не их серверы, а их репутацию. Они троллили хакеров на их же сайте утечек, превращая «неуловимых гениев» в посмешище даркнета. Потому что этим современным пиратам, лишенным обычных человеческих радостей, важнее всего престиж. Чувство избранности. Осознание, что они — «не такие, как все».

Так что же мы имеем в итоге? Sophos дает нам диагноз: организации больны неготовностью, слепотой и бюрократией. А «врач», который приходит их «лечить» за миллионы, — это часто призрак с фальшивым LinkedIn-профилем, воспитанный в жесткой дисциплине, движимый жаждой признания и работающий на государство-изгой. Ваша ИБ-команда, испытывающая стресс и чувство вины (о чем тоже честно говорит Sophos), борется не с безликим вирусом. Она борется с альтернативной версией себя — более целеустремленной, лучше обученной и абсолютно беспринципной.

Это и есть главный вывод, спрятанный между строк всех отчетов. Угроза стала персонифицированной, корпоративной и психологической. Защищаться теперь — значит не только ставить заплатки, но и понимать мотивы того, кто в них тыкает пальцем. И помнить: пока вы читаете этот отчет, кто-то, возможно, уже проходит третий раунд собеседования в вашу компанию. С идеальным английским, безупречным кодом и одной маленькой секретной миссией.

Мировой кибер-ландшафт: пока одни страдают от атак, другие даже не знают, что их инфраструктура «критическая»

Истории о LockBit и северокорейских IT-армиях кажутся глобальными. Но что, если для большей части мира эти угрозы — почти абстракция? Пока развитые страны создают оперативные группы для взлома хакерской репутации, многие государства даже не определили, что именно у них нужно защищать. Этот контраст — между гипер-осознанностью одних и цифровой слепотой других — лучше всего описывает отчет Всемирного банка «Cybersecurity Economics for Emerging Markets». И его данные шокируют.

Сила — в знании своей уязвимости?

Цифры Всемирного банка обнажают жестокий парадокс глобальной кибербезопасности. Только 57% стран в мире формально определили, что такое «критическая инфраструктура». Остальные 43% живут в цифровом тумане, где непонятно, что защищать в первую очередь: электросети, больницы или банковские системы.

Но настоящий сюрприз — в географии осознанности. Северная Америка и Европа, затерроризированные атаками на предприятия и больницы, подошли к вопросу с бюрократической педантичностью: 100% и 96% соответственно. Они не просто знают свои уязвимости — они их каталогизировали, присвоили им индексы и, судя по новостям, регулярно их теряют.

А теперь посмотрите на другую часть света. Африка (28%), Океания (30%), Латинская Америка (42%). Здесь формального понимания «критичности» почти нет. Это не значит, что здесь нет энергосистем, водоканалов или аэропортов. Это значит, что никто всерьез не задумывался, что будет, если их остановит пара строчек кода. Хакеры из того же LockBit, которые так любят «ценные цели», наверняка уже листают эти отчеты. Для них это не статистика — это карта сокровищ, где крестиком не отмечено только самое очевидное.

Ирония в том, что энергетика, инфокоммуникационные технологии и транспорт — основа любой экономики — признаны критическими почти везде. Но осознание этого факта и реальные действия — вещи, разделенные пропастью. Можно знать, что твой дом стоит на песке, но так и не начать заливать фундамент, пока не грянет потоп. Или пока на твоем сервере не появится записка с требованием выкупа от «новых Робин Гудов».

Тепловая карта благополучия, или почему «нам и так неплохо» — опасная иллюзия

А вот и вторая часть парадокса. Всемирный банк предоставляет еще один показатель — Глобальный индекс кибербезопасности. И если верить цифрам, мир поделен не только на «осознавших» и «неосознавших», но и на «защищенных» и «уязвимых». Но доверять здесь стоит с большой осторожностью.

Индекс — это как средняя температура по больнице. Он может показывать 2,2 из 100 в одном регионе и условную 100 в другом. И здесь кроется главная ловушка. Низкий индекс в развивающихся странах часто является не показателем «спокойной гавани», а следствием цифровой неразвитости. Нет сложных SCADA-систем на электростанции — нет и цели для изощренной атаки. Пока.

Относительное благополучие становится не утешением, а эпиграфом к надвигающейся катастрофе. Киберугрозы — как вода. Они текут по пути наименьшего сопротивления. Когда все развитые экономики укрепят свои берега дорогими дамбами и системами мониторинга, поток хакерской активности неизбежно хлынет туда, где дамб нет в принципе.

Именно поэтому рекомендации Всемирного банка звучат как крик души: сотрудничество, осознание, инвестиции в R&D, поддержка МСБ. Это не благие пожелания. Это попытка построить хоть какие-то дамбы до того, как придет цунами, уже отточившее свои навыки в атаках ByBit и BlackCat.

Вывод прост и циничен. Пока одни тратят миллионы на то, чтобы «сделать репутацию хакерских групп радиоактивной», другие даже не подозревают, что их инфраструктура уже может быть заражена. Мир кибербезопасности расколот. И в этой войне нет нейтральных сторон — есть только те, кто уже в окопах, и те, кто еще не знает, что окопы нужно копать. Вопрос лишь в том, в какой момент «тепловая карта» вашего благополучия внезапно вспыхнет алым цветом реальной атаки.

Европа: бюрократия против хакеров, или почему документы — не щит

Если глобальная картина кибербезопасности напоминает хаос, то Европа пытается навести в нем порядок с помощью любимого инструмента — регулирования. Пока в мире спорят, что считать критической инфраструктурой, в Евросоюзе уже вовсю составляют документы, проводят инструктажи и собирают статистику. Кажется, что здесь царит образцовый цифровой порядок. Но так ли это? Данные Евростата рисуют картину, где формальное соблюдение правил часто скрывает тревожные пробелы в реальной безопасности.

«Привязать ответственностью»: когда подпись под документом важнее,
чем понимание угрозы

99,1% компаний в Финляндии и стабильно высокие проценты в Скандинавии и Центральной Европе формально «информируют сотрудников об их обязанностях в сфере ИБ». Цифры впечатляют. Складывается ощущение, что каждый европейский бухгалтер или менеджер по продажам перед выходом на работу сдает тест по криптографии и социальной инженерии.

Но вот загвоздка. Евростат уточняет: в 2024 году только 35,5% предприятий ЕВРОСОЮЗА В ЦЕЛОМ имели какие-либо документы о мерах ИБ-безопасности. А в Греции, Венгрии и Болгарии этот показатель и вовсе падает ниже 20%. Получается забавный дисс��нанс: таблица хвастается почти тотальным охватом «информирования», в то время как банальные регламенты есть у меньшинства. О чем тогда информируют? «Дорогой сотрудник, твоя обязанность — не кликать на странные ссылки. Инструкцию, какие ссылки считать странными, мы тебе, к сожалению, не подготовили. Доверяй интуиции»?

Ирония ситуации в деталях. Самый популярный способ «информирования» — добровольное обучение или самостоятельный поиск информации в интранете (42,59%). То есть тот самый классический корпоративный портал, который никто не читает. Лишь 24,51% компаний проводят обязательные курсы. Получается, европейская киберзащита строится на доброй воле сотрудника, который после восьмичасового рабочего дня должен сам, с энтузиазмом, изучить мануал по противодействию фишингу. Надежная стратегия, ничего не скажешь.

Большие против маленьких: разрыв в осознанности как пропасть

Данные Евростата обнажают еще одну пропасть — между крупным и малым бизнесом. Среди крупных компаний (250+ сотрудников) доля определивших или обновивших документы по ИБ за последний год — 57,87%. Среди малых — 17,98%. Разница в три раза!

Это значит, что пока транснациональные корпорации играют в сложную игру с хакерами уровня LockBit, малый европейский бизнес живет в иллюзии «нам ничего не будет». Хотя, по тем же данным, каждая пятая компания в ЕС (21,54%) в 2023 году столкнулась с инцидентами, имевшими последствия. Чаще всего — из-за банальных сбоев железа или софта, а не из-за злобных хакеров.

Вывод получается парадоксальным и немного грустным. Европа создала видимость системного подхода: есть директивы NIS, есть статистика, есть графики с высокими процентами. Но под этой гладкой поверхностью — тот же самый человеческий фактор, та же самая беспечность малого бизнеса и то же самое отставание практики от теории. Компании «привязывают ответственность» сотрудников на бумаге, но не всегда дают им инструменты, чтобы эту ответственность нести.

В этом и есть главная европейская кибер-дилемма. Можно достичь 99% по формальному информированию, как в Финляндии. Но если при этом только 3,43% компаний сообщают об атаках извне, это не значит, что атак нет. Это значит, что их либо не заметили, либо решили не афишировать. Бюрократический щит может быть блестящим и отполированным. Но достаточно ли он прочен, чтобы остановить грубую, беспринципную силу киберпреступников, для которых все эти проценты и графики — просто цифровой фольклор? Пока статистика собирается, реальные угрозы уже эволюционируют. И в этом несоответствии — ключевая уязвимость даже самого «продвинутого» цифрового общества.

СНГ: все есть, но чего-то не хватает(скорее всего, безопасности)

Если Европа борется с киберугрозами бумажной бюрократией, то страны Содружества Независимых Государств (СНГ) подошли к вопросу с восточным размахом — у них есть почти все. По крайней мере, на бумаге и в красивых диаграммах. Глобальный индекс кибербезопасности (GCI) от Международного союза электросвязи (МСЭ) рисует портрет региона, который формально не отстает от мира. Но дьявол, как всегда, кроется в деталях, а точнее — в разнице в десятые доли балла.

«Пять столпов»: крепкий фундамент или фасад?
Наша заключительная диаграмма показывает средние баллы СНГ по пяти ключевым «столпам» кибербезопасности в сравнении с мировыми. Цифры обнадеживают: по правовым мерам (0,70) и сотрудничеству (0,64) регион почти вровень с глобальными показателями (0,71 и 0,66). Лишь в технической базе (0,59) немного уступает среднемировому показателю (0,67). Картина идеальная: законы есть, технологии внедряются, страны договариваются. Похоже на аттестат зрелости с пятерками по всем предметам.

Но стоит присмотреться к отчету GCI, и иллюзия рассыпается. Да, 100% стран СНГ участвуют в международных соглашениях о развитии кибер-возможностей. Это выше, чем в Европе (98%). Однако межведомственное сотрудничество внутри стран — слабое место. Синхронно двигаться на мировой арене проще, чем договориться между министерствами в собственной столице. Типичная история: «Мы дружим против внешнего врага, но внутри каждый сам за себя».

Главная трещина в фундаменте — «развитие потенциала» и «инновации».
Здесь СНГ отстает от мирового уровня (0,64 против 0,66 и 0,63 против 0,64). В переводе с бюрократического это означает: нехватку квалифицированных кадров, слабую интеграцию кибербезопасности в образование и мало своих инноваций. Отчет GCI подтверждает: в СНГ только 33% стран имеют программы киберобучения для молодежи (в Европе — 67%), а в школьные программы кибербезопасность включена хуже, чем даже в Арабских государствах.

Ирония в том, что при высоком проценте национальных CERT’ов (Computer Emergency Response Teams — команд реагирования на инциденты) — 56% (выше, чем в Азии и Африке), регион демонстрирует низкое внедрение современных протоколов безопасности. Например, DNSSEC (защита системы доменных имен) в СНГ используют лишь 13% провайдеров. Для сравнения: в Европе — 11%, но при гораздо большей плотности интернет-инфраструктуры. Получается, что «столпы» стоят, но между ними сквозняк из уязвимостей.

Секторальные CERT’ы: сильная сторона, которая может стать ахиллесовой пятой.
По данным GCI, 56% стран СНГ имеют отраслевые CERT’ы (для энергетики, финансов, транспорта). Это второй показатель в мире после Европы (67%). Казалось бы, отлично! Но именно это создает иллюзию защищенности. Пока отдельные «кибер-герои» охраняют каждый свой сектор, национальная координация хромает. Хакеры же, как показали атаки на критическую инфраструктуру в мире, любят находить стыки между системами. Там, где заканчивается зона ответственности одного CERT’а и начинается зона другого, часто лежит золотая жила для взлома.

Вывод: регион в «зоне комфорта», который может стать зоной риска.
СНГ не находится в числе отстающих — он прочно засел в середине рейтинга (Tier 3 и Tier 4 по классификации GCI). Это как студент, который стабильно получает тройки и четверки, но никогда не претендует на красный диплом. Проблема в том, что в кибербезопасности «удовлетворительно» часто означает «катастрофически недостаточно».

Регион создал каркас защиты, но забыл наполнить его живыми компетенциями, инновациями и настоящей, а не формальной, кооперацией. Пока законы пишутся, а диаграммы рисуются, реальные угрозы — от северокорейских IT-армий до местных аналогов LockBit — уже учатся обходить эти «столпы» поодиночке. И главный вопрос не в том, насколько СНГ отстает от мира, а в том, осознает ли, что мир киберугроз уже перешел от строительства «столпов» к точечным подрывам самых их оснований.

</>Резю_ключение</>

Итак, подведем цифровые итоги. Мир кибербезопасности оказался странным местом, где хакеры дают скидки, а лучшая защита — это не только патчи, но и удар по репутации преступника. Данные Sophos, Всемирного банка, Евростата и МСЭ рисуют картину глобального театра военных действий, где у каждой страны и компании своя роль — от «парализованного гиганта» до «наивного малого бизнеса». Главный вывод? Угроза стала персонализированной, корпоративной и психологической. Защита теперь — это понимание мотивов оппонента, который может оказаться как вашим тихим сотрудником, так и целым «стартапом» с RaaS-подпиской. Готовы ли вы к тому, что ваша следующая кибер-битва будет больше похожа на серию ультиматумов от Дона Корлеона, чем на сражение с вирусом? Как минимум, теперь вы знаете, с чего начать — с проверки бэкапов и здорового недоверия к слишком уж продуктивным удаленщикам. Удачи в цифровых джунглях!