Эксперт рассказал о схеме «вымогательство как сервис», её внутреннем устройстве, видах атак и способах защититься от кражи криптоактивов.
Использование программ‑вымогателей по модели Ransomware-as-a-Service (RaaS) увеличилось на 54 % за первые девять месяцев 2025 года, по данным компании «Информзащита». В авторской колонке для «РБК‑Крипто» аналитик по расследованиям AML/KYT компании «Шард» Дмитрий Пойда рассказывает, с чем связана популярность таких атак, кто находится в зоне риска и какие последствия они могут иметь для безопасности цифровых активов.
Модель «вымогательство как сервис» (Ransomware‑as‑Service, RaaS) представляет собой институционализированную форму киберпреступности, в которой инфраструктура и инструменты для проведения цифрового шантажа предоставляются на коммерческой основе третьим лицам.
Одним из главных факторов масштабируемости RaaS является использование криптовалют, которые обеспечивают их трансграничность — возможность осуществлять платежи между странами напрямую, без участия банков и валютного контроля. Это снижает риски для злоумышленников и упрощает получение выкупа.
Другой важный аспект связан с «сервисизацией» преступной деятельности. Платформы RaaS предлагают пользователям (аффилиатам) полностью готовую инфраструктуру для организации атак, включая подробные инструкции (мануалы), шифровальные инструменты, панели управления и каналы для общения с жертвами. Это разделение ролей (разработчик — оператор — аффилиат) значительно снижает барьер для входа в мир киберпреступности.
С помощью этих платформ даже малоопытные или технически неподготовленные субъекты могут запустить атаку, используя уже готовые сценарии и инструменты.
Несмотря на кажущуюся технологичность, участие в схемах Ransomware-as-a-Service является тяжким уголовным преступлением, за которое в разных юрисдикциях предусмотрены длительные сроки лишения свободы.
В качестве примера можно привести дело участника группировки NetWalker Вашон‑Дежардена: в 2022 году федеральный суд США приговорил его к 20 годам тюрьмы за участие в атаках с использованием шифровальщика и вымогательство криптовалюты. При обыске у него изъяли сотни биткоинов и крупные суммы наличных. По данным следствия, группировка атаковала до 400 компаний и государственных учреждений.
Изначально расчёт в рамках RaaS велся преимущественно в биткоинах, что обеспечивало высокую ликвидность и удобство обмена. Анонимность биткоина снизилась из‑за развития технологий блокчейн‑мониторинга: все транзакции публично фиксируются в открытом реестре, а адреса могут быть сопоставлены с пользователями через анализ данных бирж, системы «знай своего клиента» (know‑your‑customer, KYC) и поведенческих связей.
Современные инструменты позволяют выявлять связанные кошельки и отслеживать движение средств по цепочкам переводов. Именно таким образом правоохранительные органы неоднократно деанонизировали участников киберпреступных схем.
В ответ на это злоумышленники начали использовать криптовалюты с более высоким уровнем приватности, такие как Monero, чей закрытый блокчейн скрывает информацию о сторонах транзакции и суммах, обеспечивая финансовую непрозрачность операций RaaS.
В начале августа 2024 года RansomHub обрушила кибератаку на Halliburton. Злоумышленники украли базы данных, зашифровали системы и парализовали процесс выставления счетов. По оценкам компании, ущерб составил 35 млн долларов.
Что стоит за такой атакой? Модель Ransomware-as-a-Service (RaaS) превратилась в подпишный сервис. Операторы платформ предоставляют готовые инструменты шифрования, панели управления и «скрипты переговоров» с жертвами. Партнёры‑аффилиаты получают до 90 % от выкупа, поэтому вход в бизнес почти не требует вложений.
Блокчейн и токенизированные активы добавляют прозрачность распределения средств, но сохраняют анонимность тех, кто получает деньги. Сейчас появляются NFT‑маркетплейсы, где токен – билет в закрытое сообщество. Купив такой NFT, пользователь получает доступ к ransomware‑инструментам и инструкциям, а платформа удерживает всё в рамках замкнутой экосистемы.
На рынке уже работают Ryuk, LockBit, RansomHub и Play – каждый из них использует описанную модель. Принцип прост: злоумышленник шифрует данные, требует выкуп, а платформа распределяет оплату между разработчиком и аффилиатами.
Для компаний это реальный риск. Halliburton, например, не смогла обработать заказы в течение нескольких дней, а её клиенты остались без счетов. Вывод ясен: защита от RaaS‑атак требует не только бэкапов, но и мониторинга подозрительной активности в блокчейн‑сети и на NFT‑рынках. Любой, кто работает с конфиденциальными данными, должен вести постоянный аудит доступа к системам и иметь план реагирования на случай шифрования.
За первые два месяца 2025 года зарегистрировано более 40 атак двойного вымогательства – злоумышленники сначала крадут данные, а потом бросают шантаж: шифруют файлы и угрожают публичной утечкой. Главным «батальоном» в этом конфликте выступает хакерская группа Medusa. За два года она уже атаковала почти 400 компаний, а её соперники VanHelsing и DragonForce тоже не отстают.
Medusa врет не только в шифрование. Она целенаправленно вытаскивает приватные ключи, seed‑фразы и другую крипто‑информацию из браузеров, расширений и куки‑файлов. Плюс к этому идут поддельные дистрибутивы криптокошельков, которые маскируются под легальные приложения. В арсенале группы – такие инфостилеры, как Lumma Stealer, Myth Stealer и Cold River.
Самый громкий случай за последние недели – вспышка Lumma Stealer. С 16 марта по 16 мая 2025 года инфектор заразил 394 000 компьютеров с Windows по всему миру. Вирус собирал банковские реквизиты и персональные данные, вытаскивая их из фишинговой кампании, выдающей себя за сообщения от Booking.com.
Но техническое оружие – лишь половина игры. Преступники активно используют социальную инженерию. Deepfake‑видеозвонки, поддельные предложения о работе, скрипты, замаскированные под легитимные сервисы – всё это повышает шанс, что жертва сама запустит вредоносный код. Пример: в мае 2025 года мошенники позвонили клиентам Coinbase, представились службой поддержки, заявили о «компрометации» аккаунта и убедили перевести средства на «безопасные» кошельки, контролируемые преступниками.
Что делать? Не кликайте на ссылки из писем, даже если они выглядят как подтверждения от знакомых сервисов. Проверяйте URL, включайте двухфакторную аутентификацию и держите антивирусные базы в актуальном состоянии. Если вам звонят «из поддержки», требуя перевод денег, повесьте трубку и позвоните в официальную службу сами.
Каждая новая волна атак подтверждает: киберпреступники уже умеют играть в психологию. Защищаться нужно не только техникой, но и здоровым скептицизмом.
Недавний рост атак с двойным вымогательством заставил меня пересмотреть, как мы храним криптовалюту. Преступники берут добычу от компаний, бирж и даже от обычных инвесторов, используя данные, полученные из утечек, фишинга и публичных профилей.
Крупные организации привлекают внимание благодаря массивным цифровым активам. Когда их сети берут под контроль, потери могут достигать миллионов, а шантаж становится выгоднее выкупа. Вдвойне тяжело, если кроме шифрования, хакеры выкладывают конфиденциальные файлы в даркнет.
Индивидуальные владельцы кошельков, где лежат крупные суммы, тоже в зоне риска. Их адреса часто публикуются на форумах, в соцсетях или в аналитических сервисах. Злоумышленники используют эту информацию, чтобы не только украсть токены, но и шантажировать владельцев, угрожая раскрыть их личные данные.
Что можно сделать? Прежде всего – отделить ключи от сети. Аппаратные кошельки хранят приватные ключи в изолированном чипе, что делает удалённый взлом практически невозможным. Большие суммы лучше помещать в холодные кошельки, которые никогда не подключаются к интернету. Для ежедневной торговли оставляйте лишь небольшую часть средств на горячих кошельках.
Не забывайте про обновления. Каждый патч ОС, каждое новое приложение и обновление криптоклиента закрывает известные уязвимости. У меня работает автоподкачка, но я всё равно проверяю версии вручную раз в неделю.
Самое простое, но самое важное – бдительность. Фишинговые письма с вложенными ссылками всё ещё попадают в почтовые ящики. Если ссылка выглядит подозрительно, откройте её в изолированном браузере или просто проигнорируйте. Двухфакторная аутентификация должна быть включена везде, где это возможно.
Итог: храните большинство средств офлайн, используйте только проверенные устройства для доступа к сети и регулярно проверяйте безопасность своих аккаунтов. Так вы сократите шанс стать жертвой двойного вымогательства и защитите свои активы от киберпреступников.
