Новость
По итогам 2025 года менее половины компаний смогли полностью восстановить свои данные даже после выплаты выкупа киберпреступникам. Если еще несколько лет назад оплата рассматривалась бизнесом как рабочий сценарий, то сегодня этот шаг все чаще приводит лишь к частичному восстановлению или вовсе не дает результата — такие данные приводят эксперты компании «Информзащита».
Согласно аналитике, в 2024 году доля организаций, успешно восстановивших данные после выплаты, составляла около 62%, однако уже в 2025 году этот показатель резко снизился до 47%. Параллельно выросла доля инцидентов, где выкуп был уплачен, но ключевые массивы информации остались поврежденными или недоступными.
На первый взгляд может показаться, что снижение связано с техническими ошибками самих пострадавших компаний. Однако детальный анализ инцидентов показывает иную картину. В 2025 году заметно изменилась сама модель вымогательства. По данным специалистов, лишь 13% атак в прошлом году были связаны исключительно с шифрованием данных. В остальных случаях злоумышленники делали ставку на кражу информации и угрозу ее публикации, либо комбинировали оба подхода. Это означает, что даже при получении формального дешифратора бизнес сталкивается с утечкой, последствия которой не устраняются разблокировкой инфраструктуры. Также в каждом третьем случае зафиксированы повторные требования после первоначальной выплаты, что резко снижает экономический смысл подобных решений.
Отраслевой разрез подтверждает неравномерность рисков. Наибольшая доля инцидентов с неудачным восстановлением данных в 2025 году пришлась на консалтинговые и юридические компании — 24%. Здесь ключевым фактором выступает высокая ценность клиентских данных и контрактной документации. На втором месте оказались производственные предприятия — 19%, где атаки часто приводят к повреждению технологической информации и систем управления. Финансовый сектор занял 16%, несмотря на более высокий уровень зрелости ИБ, что связано с активным использованием сложных распределенных систем. Ритейл и электронная коммерция сформировали около 14% случаев, в основном за счет утечек персональных данных клиентов. Остальная доля пришлась на здравоохранение, логистику и ИТ-компании.
Ключевые причины сложившейся ситуации лежат сразу в нескольких плоскостях. Во-первых, выросла сложность самих атак. Современные шифровальщики все чаще используют нестандартные алгоритмы, повреждают резервные копии, а также намеренно вносят ошибки в структуру данных, чтобы восстановление было технически затруднено даже при наличии ключа. Во-вторых, на рынок вышло большое количество новых группировок и брокеров первоначального доступа, которые продают компрометированные данные, — это приводит к ситуациям, когда одна и та же компания становится объектом давления со стороны разных вымогателей. В-третьих, сохраняется дефицит квалифицированных специалистов по реагированию на инциденты внутри бизнеса, из-за чего критические решения принимаются в условиях нехватки информации и времени.
При этом при анализе инцидентов 2025 года эксперты зафиксировали еще одно системное изменение, которое напрямую влияет на падение эффективности выплат. Речь идет о заметном росте доли политически мотивированных вымогательств. В ряде случаев шифрование используется уже не как основной механизм вымогательства, а как формальный триггер для начала переговоров и психологического давления на жертву. В этих сценариях восстановление данных изначально не входит в планы злоумышленников: после получения денег коммуникация обрывается, обещания игнорируются, а инфраструктура компании нередко дополнительно дестабилизируется. Для традиционных преступных группировок сохранение репутации оставалось экономически выгодным — утрата этого доверия напрямую снижала вероятность будущих выплат. Новые игроки действуют иначе, смещая акцент с повторной монетизации на целенаправленное нанесение ущерба.
«Компании по-прежнему воспринимают выплату выкупа как некую сделку, где можно зафиксировать результат, но логика киберпреступников давно ушла от этого подхода. Для атакующей стороны это уже не сервис, а инструмент давления. Дешифратор может быть лишь поводом выиграть время или создать видимость сотрудничества», — сказал руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин, добавив, что в 2026 году давление через повторные атаки и утечки будет только усиливаться.
В этих условиях рекомендации для бизнеса смещаются от тактических решений к стратегическим. Практика 2025 года показала, что ставка исключительно на выкуп не снижает риски, а зачастую увеличивает их. Компании, которые смогли минимизировать ущерб, инвестировали в сегментацию инфраструктуры, изоляцию резервных копий, контроль учетных записей и сценарии восстановления без участия злоумышленников. Существенную роль сыграла и подготовка управленческих команд к кризисным ситуациям, когда решения принимаются не под давлением ультиматумов, а на основе заранее проработанных моделей. По прогнозу экспертов «Информзащиты», в 2026 году доля успешного восстановления данных после выплаты выкупа продолжит снижаться и может опуститься ниже 40%, тогда как число атак с фокусом на кражу и повторное вымогательство будет расти.