Эксперт рассказал о схеме «вымогательство как услуга», ее внутреннем устройстве, видах атак и способах защититься от кражи криптоактивов
Использование программ-вымогателей по модели Ransomware-as-a-Service (RaaS) увеличилось на 54% за первые девять месяцев 2025 года, по данным компании «Информзащита».
В авторской колонке для «РБК-Крипто» аналитик по расследованиям AML/KYT компании «Шард» Дмитрий Пойда рассказывает, с чем связана популярность таких атак, кто находится в зоне риска и какие последствия они могут иметь для безопасности цифровых активов.
Модель «вымогательство как услуга» (Ransomware-as-a-Service, RaaS) представляет собой институционализированную форму киберпреступности, в которой инфраструктура и инструменты для проведения цифрового шантажа предоставляются на коммерческой основе третьим лицам.
rbc.group
Одним из главных факторов масштабируемости RaaS является использование криптовалют, которые обеспечивают их трансграничность — возможность осуществлять платежи между странами напрямую, без участия банков и валютного контроля. Это снижает риски для злоумышленников и упрощает получение выкупа.
Другой важный аспект связан с «сервисизацией» преступной деятельности. Платформы RaaS предлагают пользователям (аффилиатам) полностью готовую инфраструктуру для организации атак, включая подробные инструкции (мануалы), шифровальные инструменты, панели управления и каналы для общения с жертвами. Это разделение ролей (разработчик — оператор — аффилиат) значительно снижает барьер для входа в мир киберпреступности. С помощью этих платформ даже малоопытные или технически неподготовленные субъекты могут запустить атаку, используя уже готовые сценарии и инструменты.
Несмотря на кажущуюся технологичность, участие в схемах Ransomware-as-a-Service является тяжким уголовным преступлением, за которое в разных юрисдикциях предусмотрены длительные сроки лишения свободы. В качестве примера можно привести дело участника группировки NetWalker Вашон-Дежардена: в 2022 году федеральный суд США приговорил его к 20 годам тюрьмы за участие в атаках с использованием шифровальщика и вымогательство криптовалюты. При обыске у него изъяли сотни биткоинов и крупные суммы наличных. По данным следствия, группировка атаковала до 400 компаний и государственных учреждений.
RaaS в контексте криптовалютной экосистемы
Изначально расчет в рамках RaaS велся преимущественно в биткоинах, что обеспечивало высокую ликвидность и удобство обмена. Анонимность биткоина снизилась из-за развития технологий блокчейн-мониторинга. Все транзакции публично фиксируются в открытом реестре, а адреса могут быть сопоставлены с пользователями через анализ данных бирж, системы «знай своего клиента» (know-your-customer, KYC) и поведенческих связей. Современные инструменты позволяют выявлять связанные кошельки и отслеживать движение средств по цепочкам переводов. Именно таким образом правоохранительные органы неоднократно деанонимизировали участников киберпреступных схем.
В ответ на это злоумышленники начали использовать криптовалюты с более высоким уровнем приватности, такие как Monero, чей закрытый блокчейн скрывает информацию о сторонах транзакции и суммах, обеспечивая финансовую непрозрачность операций RaaS.
В рамках криптовалютной экосистемы модель RaaS работает как «подписной сервис»: операторы платформ предоставляют своим партнерам готовые решения — инструменты для шифрования, панели управления, а также инструкции по переговорам с жертвами и механизмы распределения выкупа. Аффилиаты, в свою очередь, могут получать до 90% от прибыли, что снижает барьер для входа в преступный бизнес, превращая RaaS в экономический сервис. Блокчейн и токенизированные активы хоть и обеспечивают прозрачность распределения, но сохраняют анонимность конечных исполнителей.
На рынке появляются новые формы платформ, такие как маркетплейсы на базе $NFT. В такой модели $NFT-токен фактически служит «билетом» для входа в закрытое сообщество или доступом к определенным инструментам и инструкциям, а его покупка подтверждает право пользоваться этими ресурсами. Таким образом, они формируют замкнутую экосистему для преступной деятельности.
Как используют RaaS для атак на криптоактивы
Атаки на криптоактивы могут быть разделены на три основные категории.
Вирусы-шифровальщики. Блокируют или шифруют данные пользователя, требуя выкуп за восстановление доступа к системам. Примеры: Ryuk, LockBit, RansomHub и Play.
21 августа 2024 года американская нефтесервисная компания Halliburton подверглась кибератаке со стороны группировки RansomHub. Злоумышленники похитили данные и зашифровали системы. Атака серьезно нарушила работу IТ-инфраструктуры: клиенты не могли выставлять счета и оформлять заказы. Компания Halliburton оценила свои убытки от инцидента в $35 млн.
Блокировщики. Ограничивают доступ к интерфейсу устройства без повреждения файлов и создают психологическое давление на владельца активов. Примеры: Medusa, VanHelsing, DragonForce.
За последние два года хакерская группа Medusa атаковала почти 400 организаций. Темпы только растут: более 40 инцидентов за первые два месяца 2025 года. Цель злоумышленников — финансовая выгода. Они используют тактику двойного вымогательства, похищая данные перед шифрованием и угрожая их утечкой.
Специализированные stealer-вирусы (стилеры, инфостилеры). Таргетируют приватные ключи и seed-фразы, извлекая критически важную информацию из браузеров, расширений, куки-файлов и поддельных дистрибутивов криптокошельков. Примеры: Lumma Stealer, Myth Stealer, Cold River.
С 16 марта по 16 мая 2025 года 394 тыс. компьютеров с Windows по всему миру заразились инфостилером Lumma Stealer. Целью хакеров была кража банковских и личных данных. Злоумышленники использовали фишинговую кампанию, маскируясь под сообщения от Booking.com.
Кроме того, злоумышленники часто комбинируют такие вирусы с техниками социальной инженерии, чтобы повысить эффективность атак. Используются фальшивые видеозвонки с применением deepfake-технологий, поддельные предложения о работе, зараженные скрипты и имитация легитимных сервисов. Это создает иллюзию доверия, поэтому жертва может сама запустить вредоносное ПО.
Один из ярких примеров социальной инженерии произошел в мае 2025 года с биржей Coinbase. Злоумышленники использовали утекшие персональные данные клиентов: звонили жертвам под видом службы поддержки биржи, сообщали о ложной компрометации аккаунта и убеждали пользователей самостоятельно перевести средства на контролируемые мошенниками «безопасные кошельки».
По каким критериям выбирают жертв
Выбор жертв часто основывается на утечках баз данных, фишинговых кампаниях или анализе поведения людей в социальных сетях.
Крупные компании, государственные учреждения, биржи и финтех-проекты часто оказываются в зоне риска, потому что у них есть крупные массивы цифровых активов и критически важные данные. Простой таких организаций может привести к финансовым потерям, что увеличивает вероятность оплаты выкупа. В таких случаях атаки часто включают элементы двойного вымогательства. Преступники не только шифруют данные, но и крадут информацию для последующего шантажа.
Индивидуальные инвесторы также могут стать мишенью, особенно если их кошельки содержат крупные суммы в криптоактивах. Злоумышленники получают информацию о таких владельцах из публичных источников, включая форумы и социальные сети. Целью становится не только кража криптовалюты, но и использование личной информации для более точных атак.
Как минимизировать риски атак
Для минимизации рисков атак через RaaS важно уделять внимание защите приватных ключей и кошельков. Использование аппаратных кошельков, которые изолируют активы от сети, практически исключает возможность удаленных атак. Крупные суммы рекомендуется хранить в так называемых холодных кошельках (без постоянного доступа к интернету), а для активной торговли использовать минимальные объемы на горячих кошельках (то есть операционных для постоянного использования).
Для защиты необходимо регулярно обновлять операционные системы, приложения и криптовалютные кошельки. Это помогает закрыть известные уязвимости и предотвратить проникновение вредоносных программ.
Не менее важен уровень бдительности пользователя. Нужно быть особенно внимательным к подозрительным ссылкам, письмам и сообщениям, а также не доверять незнакомым источникам и платформам. Регулярная проверка настроек безопасности, использование двухфакторной аутентификации и осторожность при общении в интернете помогут существенно снизить риски.
Источник: cryptonews.net