Самым крупным требованием злоумышленников по итогам 2025 года стал выкуп в размере 50 биткоинов — около 500 млн рублей — у одной из российских рыбопромышленных компаний. Эта сумма вдвое превысила максимальный уровень требований, зафиксированный в 2024 году.
Средний размер запрашиваемого выкупа в 2025 году варьировался от 4 млн до 40 млн рублей для крупного бизнеса и от 240 тыс. до 4 млн рублей — для малого и среднего. Такие данные привели «Ведомостям» аналитики компании F6.
Требование о выкупе в 50 биткоинов выдвинула хактивистская группировка CyberSec’s в адрес неназванной российской рыбопромысловой компании за расшифровку данных после атаки. Инцидент произошёл в январе 2025 года.
Как уточнили в F6, CyberSec’s — это хактивистская группировка, которая в основном специализируется на кибердиверсиях и саботаже против российских организаций. Среди её основных методов — DDoS-атаки, компрометация инфраструктуры, публикация похищенных данных (не менее 15 случаев за 2025 год общим объёмом около 1,4 млн строк), а также атаки через подрядчиков. В конце 2024 года CyberSec’s начала использовать и шифровальщики.
В случае атаки на рыбопромышленную компанию выкуп так и не был выплачен. В F6 не исключают, что получение денег изначально не являлось целью атаки, а основной задачей была именно диверсия.
Схожие оценки максимального размера требований приводят и в Positive Technologies. Старший аналитик компании Артём Белей назвал максимальный объём требований в 2024 году на уровне 240 млн рублей, а в 2025 году — около 500 млн рублей. Такие суммы злоумышленники выдвигали в отношении атакованных промышленных компаний.
По мнению руководителя отдела защиты информации InfoWatch ARMA Романа Сафиуллина, рост требований объясняется сразу несколькими факторами. Ключевой из них — резкий рост курсов основных криптовалют. В августе 2025 года курс биткоина в долларовом выражении, как напомнил эксперт, удвоился по сравнению с тем же месяцем 2024 года. В результате сумма выкупа, оставаясь прежней в криптовалюте, оказывалась вдвое выше в фиатных валютах.
Кроме того, нельзя сбрасывать со счетов и инфляцию: издержки злоумышленников растут быстрее рынка. Наконец, операторы вымогательских атак традиционно начинают с завышенных сумм, оставляя пространство для последующего торга.
«Злоумышленники редко требуют выкуп, не проведя предварительно финансовую разведку жертвы. Они оценивают обороты компании и стоимость простоя, чтобы сумма была посильной для бизнеса, но при этом потенциальный ущерб от остановки процессов превышал бы размер выкупа», — пояснил представитель InfoWatch ARMA.
Выбор жертвы, по мнению Романа Сафиуллина, часто связан с низким уровнем кибербезопасности в конкретной отрасли. В таких секторах велика доля устаревших систем и медленно внедряются средства защиты, что делает атаки проще и дешевле.
Начальник отдела реагирования на инциденты центра исследования киберугроз Solar 4RAYS ГК «Солар» Антон Фирсов отметил, что компании редко раскрывают фактический размер выкупа. Максимальной известной суммой он назвал около 50 тыс. долларов.
При этом злоумышленники, как обратил внимание Антон Фирсов, нередко нарушают собственные обещания: «Иногда мы видим, как атакующие сначала выходят к жертве с предложением за небольшую сумму — например, $2000–3000 — продать информацию о способе взлома и тем самым “спасти” компанию от более серьёзных последствий. Но на практике ИТ-системы жертвы впоследствии всё равно шифруются или данные публикуются, независимо от исхода первоначальной сделки».
Руководитель Kaspersky GReAT в России Дмитрий Галов добавил, что злоумышленники стараются выбирать платёжеспособные компании, а также организации с низкой терпимостью к сбоям в производственных и бизнес-процессах. В первую очередь речь идёт об энергетике, нефтегазовом секторе, телеком-отрасли и финансовой сфере. Заметная доля пострадавших приходится также на сельское хозяйство и индустрию гостеприимства — такие компании чаще соглашаются на выплату выкупа, понимая, что никаких гарантий восстановления данных им всё равно не дадут.
В целом, по словам Дмитрия Галова, в последние годы злоумышленники зарабатывают на вымогательстве меньше, однако средний размер выкупа продолжает расти. Эта тенденция указывает на переход к более точечным атакам и фокус на крупных предприятиях.
На пресс-конференции, посвящённой итогам 2025 года, главный эксперт «Лаборатории Касперского» Сергей Голованов оценил долю российских крупных компаний, пострадавших от шифровальщиков и вайперов, в 6%. По его словам, именно с их активностью были связаны все наиболее заметные инциденты 2025 года, получившие широкий общественный резонанс. Для крупного российского бизнеса эта угроза стала ключевой.
![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
