Хакеры поставили вымогательство криптовалюты на поток: эксперт подсказывает, как с этим бороться
Сегодня,
13:33
Платформы RaaS предлагают пользователям (аффилиатам) полностью готовую инфраструктуру для организации атак
ЕРЕВАН, 13 марта. /АРКА/. Модель «вымогательство как услуга» (Ransomware-as-a-Service, RaaS) представляет собой институционализированную форму киберпреступности, в которой инфраструктура и инструменты для проведения цифрового шантажа предоставляются на коммерческой основе третьим лицам. Об этом говорится в статье РБК.
Одним из главных факторов масштабируемости RaaS является использование криптовалют, которые обеспечивают их трансграничность — возможность осуществлять платежи между странами напрямую, без участия банков и валютного контроля. Это снижает риски для злоумышленников и упрощает получение выкупа.
Другой важный аспект связан с «сервисизацией» преступной деятельности. Платформы RaaS предлагают пользователям (аффилиатам) полностью готовую инфраструктуру для организации атак, включая подробные инструкции (мануалы), шифровальные инструменты, панели управления и каналы для общения с жертвами. Это разделение ролей (разработчик — оператор — аффилиат) значительно снижает барьер для входа в мир киберпреступности. С помощью этих платформ даже малоопытные или технически неподготовленные субъекты могут запустить атаку, используя уже готовые сценарии и инструменты.
Несмотря на кажущуюся технологичность, участие в схемах Ransomware-as-a-Service является тяжким уголовным преступлением, за которое в разных юрисдикциях предусмотрены длительные сроки лишения свободы. В качестве примера можно привести дело участника группировки NetWalker Вашон-Дежардена: в 2022 году федеральный суд США приговорил его к 20 годам тюрьмы за участие в атаках с использованием шифровальщика и вымогательство криптовалюты. При обыске у него изъяли сотни биткоинов и крупные суммы наличных. По данным следствия, группировка атаковала до 400 компаний и государственных учреждений.
Вирусы-шифровальщики. Блокируют или шифруют данные пользователя, требуя выкуп за восстановление доступа к системам. Примеры: Ryuk, LockBit, RansomHub и Play.
21 августа 2024 года американская нефтесервисная компания Halliburton подверглась кибератаке со стороны группировки RansomHub. Злоумышленники похитили данные и зашифровали системы. Атака серьезно нарушила работу IТ-инфраструктуры: клиенты не могли выставлять счета и оформлять заказы. Компания Halliburton оценила свои убытки от инцидента в $35 млн.
Блокировщики. Ограничивают доступ к интерфейсу устройства без повреждения файлов и создают психологическое давление на владельца активов. Примеры: Medusa, VanHelsing, DragonForce.
За последние два года хакерская группа Medusa атаковала почти 400 организаций. Темпы только растут: более 40 инцидентов за первые два месяца 2025 года. Цель злоумышленников — финансовая выгода. Они используют тактику двойного вымогательства, похищая данные перед шифрованием и угрожая их утечкой.
Специализированные stealer-вирусы (стилеры, инфостилеры). Таргетируют приватные ключи и seed-фразы, извлекая критически важную информацию из браузеров, расширений, куки-файлов и поддельных дистрибутивов криптокошельков. Примеры: Lumma Stealer, Myth Stealer, Cold River.
С 16 марта по 16 мая 2025 года 394 тыс. компьютеров с Windows по всему миру заразились инфостилером Lumma Stealer. Целью хакеров была кража банковских и личных данных. Злоумышленники использовали фишинговую кампанию, маскируясь под сообщения от Booking.com.
Кроме того, злоумышленники часто комбинируют такие вирусы с техниками социальной инженерии, чтобы повысить эффективность атак. Используются фальшивые видеозвонки с применением deepfake-технологий, поддельные предложения о работе, зараженные скрипты и имитация легитимных сервисов. Это создает иллюзию доверия, поэтому жертва может сама запустить вредоносное ПО.
Один из ярких примеров социальной инженерии произошел в мае 2025 года с биржей Coinbase. Злоумышленники использовали утекшие персональные данные клиентов: звонили жертвам под видом службы поддержки биржи, сообщали о ложной компрометации аккаунта и убеждали пользователей самостоятельно перевести средства на контролируемые мошенниками «безопасные кошельки».
Крупные компании, государственные учреждения, биржи и финтех-проекты часто оказываются в зоне риска, потому что у них есть крупные массивы цифровых активов и критически важные данные. Простой таких организаций может привести к финансовым потерям, что увеличивает вероятность оплаты выкупа. В таких случаях атаки часто включают элементы двойного вымогательства. Преступники не только шифруют данные, но и крадут информацию для последующего шантажа.
Индивидуальные инвесторы также могут стать мишенью, особенно если их кошельки содержат крупные суммы в криптоактивах. Злоумышленники получают информацию о таких владельцах из публичных источников, включая форумы и социальные сети. Целью становится не только кража криптовалюты, но и использование личной информации для более точных атак.
Для защиты необходимо регулярно обновлять операционные системы, приложения и криптовалютные кошельки. Это помогает закрыть известные уязвимости и предотвратить проникновение вредоносных программ.
Не менее важен уровень бдительности пользователя. Нужно быть особенно внимательным к подозрительным ссылкам, письмам и сообщениям, а также не доверять незнакомым источникам и платформам. Регулярная проверка настроек безопасности, использование двухфакторной аутентификации и осторожность при общении в интернете помогут существенно снизить риски.
Одним из главных факторов масштабируемости RaaS является использование криптовалют, которые обеспечивают их трансграничность — возможность осуществлять платежи между странами напрямую, без участия банков и валютного контроля. Это снижает риски для злоумышленников и упрощает получение выкупа.
Другой важный аспект связан с «сервисизацией» преступной деятельности. Платформы RaaS предлагают пользователям (аффилиатам) полностью готовую инфраструктуру для организации атак, включая подробные инструкции (мануалы), шифровальные инструменты, панели управления и каналы для общения с жертвами. Это разделение ролей (разработчик — оператор — аффилиат) значительно снижает барьер для входа в мир киберпреступности. С помощью этих платформ даже малоопытные или технически неподготовленные субъекты могут запустить атаку, используя уже готовые сценарии и инструменты.
Несмотря на кажущуюся технологичность, участие в схемах Ransomware-as-a-Service является тяжким уголовным преступлением, за которое в разных юрисдикциях предусмотрены длительные сроки лишения свободы. В качестве примера можно привести дело участника группировки NetWalker Вашон-Дежардена: в 2022 году федеральный суд США приговорил его к 20 годам тюрьмы за участие в атаках с использованием шифровальщика и вымогательство криптовалюты. При обыске у него изъяли сотни биткоинов и крупные суммы наличных. По данным следствия, группировка атаковала до 400 компаний и государственных учреждений.
Как используют RaaS для атак на криптоактивы
Атаки на криптоактивы могут быть разделены на три основные категории.Вирусы-шифровальщики. Блокируют или шифруют данные пользователя, требуя выкуп за восстановление доступа к системам. Примеры: Ryuk, LockBit, RansomHub и Play.
21 августа 2024 года американская нефтесервисная компания Halliburton подверглась кибератаке со стороны группировки RansomHub. Злоумышленники похитили данные и зашифровали системы. Атака серьезно нарушила работу IТ-инфраструктуры: клиенты не могли выставлять счета и оформлять заказы. Компания Halliburton оценила свои убытки от инцидента в $35 млн.
Блокировщики. Ограничивают доступ к интерфейсу устройства без повреждения файлов и создают психологическое давление на владельца активов. Примеры: Medusa, VanHelsing, DragonForce.
За последние два года хакерская группа Medusa атаковала почти 400 организаций. Темпы только растут: более 40 инцидентов за первые два месяца 2025 года. Цель злоумышленников — финансовая выгода. Они используют тактику двойного вымогательства, похищая данные перед шифрованием и угрожая их утечкой.
Специализированные stealer-вирусы (стилеры, инфостилеры). Таргетируют приватные ключи и seed-фразы, извлекая критически важную информацию из браузеров, расширений, куки-файлов и поддельных дистрибутивов криптокошельков. Примеры: Lumma Stealer, Myth Stealer, Cold River.
С 16 марта по 16 мая 2025 года 394 тыс. компьютеров с Windows по всему миру заразились инфостилером Lumma Stealer. Целью хакеров была кража банковских и личных данных. Злоумышленники использовали фишинговую кампанию, маскируясь под сообщения от Booking.com.
Кроме того, злоумышленники часто комбинируют такие вирусы с техниками социальной инженерии, чтобы повысить эффективность атак. Используются фальшивые видеозвонки с применением deepfake-технологий, поддельные предложения о работе, зараженные скрипты и имитация легитимных сервисов. Это создает иллюзию доверия, поэтому жертва может сама запустить вредоносное ПО.
Один из ярких примеров социальной инженерии произошел в мае 2025 года с биржей Coinbase. Злоумышленники использовали утекшие персональные данные клиентов: звонили жертвам под видом службы поддержки биржи, сообщали о ложной компрометации аккаунта и убеждали пользователей самостоятельно перевести средства на контролируемые мошенниками «безопасные кошельки».
По каким критериям выбирают жертв
Выбор жертв часто основывается на утечках баз данных, фишинговых кампаниях или анализе поведения людей в социальных сетях.Крупные компании, государственные учреждения, биржи и финтех-проекты часто оказываются в зоне риска, потому что у них есть крупные массивы цифровых активов и критически важные данные. Простой таких организаций может привести к финансовым потерям, что увеличивает вероятность оплаты выкупа. В таких случаях атаки часто включают элементы двойного вымогательства. Преступники не только шифруют данные, но и крадут информацию для последующего шантажа.
Индивидуальные инвесторы также могут стать мишенью, особенно если их кошельки содержат крупные суммы в криптоактивах. Злоумышленники получают информацию о таких владельцах из публичных источников, включая форумы и социальные сети. Целью становится не только кража криптовалюты, но и использование личной информации для более точных атак.
Как минимизировать риски атак
Для минимизации рисков атак через RaaS важно уделять внимание защите приватных ключей и кошельков. Использование аппаратных кошельков, которые изолируют активы от сети, практически исключает возможность удаленных атак. Крупные суммы рекомендуется хранить в так называемых холодных кошельках (без постоянного доступа к интернету), а для активной торговли использовать минимальные объемы на горячих кошельках (то есть операционных для постоянного использования).Для защиты необходимо регулярно обновлять операционные системы, приложения и криптовалютные кошельки. Это помогает закрыть известные уязвимости и предотвратить проникновение вредоносных программ.
Не менее важен уровень бдительности пользователя. Нужно быть особенно внимательным к подозрительным ссылкам, письмам и сообщениям, а также не доверять незнакомым источникам и платформам. Регулярная проверка настроек безопасности, использование двухфакторной аутентификации и осторожность при общении в интернете помогут существенно снизить риски.