19 мая 2026 года - на DLS (Data Leak Sites) пяти группировок за одни сутки опубликованы десять новых жертв. Кипрский финансовый холдинг Taurus, австрийская инжиниринговая компания ZFG Altherm, польский университет WSB-NLU, норвежский отель Nordfjord, производственные компании из Сингапура и Японии. DragonForce, Play, Payload, Nova, Akira - пять операторов, ноль пересечений в инфраструктуре, одна модель Ransomware-as-a-Service. Такая плотность - не аномалия. Это стабильный фон 2026 года, и он сложился из двух коллапсов предыдущего года, волны аффилиатной миграции и снижения порога входа до уровня Telegram-подписки. Среди бенефициаров этой миграции - The Gentlemen, группировка, которая попала в фокус TI-команд именно на фоне этих процессов.
Ландшафт ransomware группировок 2026: фрагментация после коллапсов
В 2025 году число публично зафиксированных ransomware-атак, по различным отраслевым оценкам, выросло на 40–50% - до нескольких тысяч инцидентов при одновременном отслеживании более сотни именованных групп (рост числа групп порядка 40–50% относительно предыдущего года). За этим скачком стоит не один крупный оператор, а взрывная фрагментация рынка, запущенная двумя событиями.Коллапс Black Basta. В начале 2025 года утекли внутренние чаты группировки - операционная структура, конфликты между операторами, никнеймы ключевых фигур (Tramp и др.). Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus, Nokoyawa.
Развал RansomHub. Платформа прекратила работу по схожим причинам. Кратковременный провал в объёме атак быстро компенсировался - аффилиаты мигрировали к действующим операторам.
По неподтверждённым отраслевым сообщениям, в начале 2026 года активность форума RAMP - одного из основных маркетплейсов вербовки аффилиатов - резко снизилась. Участники перешли в Telegram-каналы и приватные реферальные сети.
Конкурентная среда ужесточилась. По ряду отраслевых отчётов, в 2025 году число вновь отслеживаемых threat-акторов значительно выросло, причём растущая доля новичков была вовлечена в утечки данных. Критическую роль сыграли white-label сервисы: DragonForce, по данным Sophos X-Ops, запустил платформу RansomBay - она позволяет группам без собственной инфраструктуры проводить атаки под своим брендом. Барьер входа упал до уровня, при котором для запуска RaaS-операции хватает намерения и стартового капитала.
RaaS-операторы конкурируют не только инструментарием, но и сервисом. Qilin, по отраслевым сообщениям, предложила аффилиатам in-house юридические консультации по давлению на жертв. Ныне несуществующая группа Global, предположительно, продвигала AI-чатбота для автоматизации переговоров. Звучит как стартап-питч, но деньги там вполне реальные.
Финансовый контекст двойного вымогательства
По данным Verizon DBIR 2025, медианная сумма выплаченного выкупа в 2024 году - $46 000, при зафиксированном максимуме требования $75 млн в единичном инциденте. Общая доля выплат, по данным квартальных отчётов Coveware, продолжает снижаться и находится вблизи исторических минимумов.Модель «только эксфильтрация» теряет эффективность: payment rate для неё продолжает падать. Парадоксальный результат: часть операторов в 2026 году возвращается к шифрованию как основному рычагу давления. Akira и Qilin уже демонстрируют этот разворот - оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации.
Для организаций с присутствием на европейском рынке инцидент с двойным вымогательством - одновременно ИБ-проблема и compliance-событие: GDPR предусматривает штраф до 4% мирового годового оборота. В российской юрисдикции поправки в КоАП РФ (ст. 13.11), вступившие в силу 30 мая 2025 года, предусматривают за повторные утечки персональных данных оборотные штрафы до 3% годовой выручки. Публикация данных на DLS делает утечку неопровержимой - а это уже прямая финансовая ответственность, помимо технических потерь.
Структура RaaS-операции: от оператора до утечки данных
Модель Ransomware-as-a-Service 2026 разделяет атаку на три специализации с чётким распределением ответственности и дохода.Оператор - разработчик платформы. Создаёт и обслуживает payload builder, C2-инфраструктуру, платёжные шлюзы, DLS. Предоставляет техподдержку и обновления. По типичной модели RaaS-программ (LockBit, Conti) забирает 20–30% от каждого успешного выкупа (аффилиат - оставшиеся 70–80%), хотя пропорция варьируется.
Аффилиат - исполнитель атаки. Выбирает жертву, обеспечивает initial access, проводит lateral movement, разворачивает ransomware. Получает 70–80% выкупа. Именно аффилиат определяет конкретные TTPs - и именно его поведение видит SOC. Два аффилиата одного оператора могут действовать совершенно по-разному, и это ломает привычную атрибуцию «по бренду».
Initial Access Broker (IAB) - поставщик входных точек. Компрометирует корпоративные сети и продаёт доступ аффилиатам за $500–$5 000 за точку входа. Цена зависит от размера организации, отрасли и глубины проникновения.
Скомпрометированные легитимные хосты: почему IAB - главная проблема для SOC
IAB-звено делает ransomware-цепочку особенно опасной для blue team. Доступ, проданный аффилиату, часто - валидные учётные данные корпоративного пользователя. По данным CrowdStrike Global Threat Report 2025, 75% вторжений в 2024 году использовали действительные учётные данные. По данным IBM X-Force 2025, атаки с valid credentials выросли на 71% год к году, а infostealers (32% всего malware по IBM) стали основным поставщиком: ежедневно в dark web появляется более 6 000 свежих пар логин-пароль.На практике это означает: initial access выглядит как легитимный вход. Нет эксплойта, нет подозрительного бинарника - пользователь «сам» зашёл в VPN в 3 часа ночи воскресенья. Разведка и компрометация IAB-оператором могут происходить за недели или месяцы до самой ransomware-атаки, создавая окно для раннего обнаружения - если мониторинг настроен. Если нет - вы узнаете о проблеме из публикации на DLS.
Сжатие таймлайна: от дней к минутам
Таймлайн атаки сжимается каждый год. По отраслевым оценкам, среднее время от initial access до развёртывания ransomware сократилось до единиц дней - против 60+ дней в 2019-м. По данным CrowdStrike, среднее время lateral movement после initial access - 62 минуты (рекорд - 51 секунда).Для SOC арифметика жёсткая: детект на этапе шифрования - поздно, файлы уже потеряны. Детект на этапе lateral movement - на грани, зависит от скорости реагирования. Детект на этапе initial access и persistence - единственный реалистичный путь к предотвращению. Всё остальное - разбор инцидента постфактум.
DLS анализ ransomware: профилирование The Gentlemen через threat intelligence
The Gentlemen - одна из группировок, всплывших на фоне массовой миграции аффилиатов 2025 года. Паттерн знакомый: когда платформа падает, аффилиаты не уходят из бизнеса - они перегруппировываются. Так было после Conti, так было после Black Basta.Для TI-аналитика новая группировка на DLS - не повод менять приоритеты, а объект системного профилирования. Методология анализа ransomware группировок строится на нескольких осях.
Паттерн жертв на DLS. Частота публикаций, географическое распределение, отрасли, размер компаний. Публикация на leak-сайте - финальный этап давления: к этому моменту переговоры провалились или не начинались. Анализ паттерна раскрывает специализацию аффилиатов: одни целятся в SMB-сегмент (низкий выкуп, высокая конверсия), другие - в enterprise (высокий выкуп, долгие переговоры).
Переговорный портал и UX давления. Интерфейс переговоров, установленные таймеры, градация давления (частичная публикация → полная утечка). Для сравнения: REvil запускал countdown timer при первом посещении жертвой leak-страницы. Каждый оператор проектирует свой механизм принуждения - и по этому дизайну можно многое сказать о зрелости группы.
Инструментарий аффилиатов. Многие RaaS-группы используют пересекающийся набор инструментов: Cobalt Strike (или аналоги) для C2, Mimikatz для credential dumping, PsExec для lateral movement. Разница - в конфигурации, последовательности этапов и выборе persistence-механизма. Это создаёт TTP-отпечаток, позволяющий связать аффилиатов с конкретной партнёрской программой даже после ребрендинга.
Время между эксфильтрацией и шифрованием. Для группировок с двойным вымогательством этот интервал - маркер. Короткий (часы) указывает на автоматизацию и агрессивную тактику. Длинный (дни) - на ручную выборочную эксфильтрацию ценных данных.
По данным Mandiant M-Trends 2025, эксплуатация уязвимостей - наиболее распространённый вектор initial access в расследованиях Mandiant за 2024 год (38%). По данным Verizon DBIR 2025, фишинг - вектор в 36% инцидентов, а кража учётных данных - в 38% утечек. Для конкретной группировки пропорция может значительно отличаться - именно поэтому профилирование каждой группы через TTP-анализ необходимо для точной настройки detection-стека.
Ransomware тактики TTPs: detection-чеклист для SOC
Sigma-правила T1486: что деплоить в первую очередь
Основная техника ransomware по MITRE ATT&CK - T1486 (Data Encrypted for Impact, тактика: Impact). Детектировать саму технику - значит обнаружить шифрование уже в процессе. Это поздно. Цель detection-стека - ловить прекурсоры.В репозитории SigmaHQ по тегу T1486 числится 17 правил.
Для валидации правил - Atomic Red Team содержит три теста под T1486: шифрование через
gpg, 7z и ccrypt. Все три работают на Linux, для Windows-валидации потребуются кастомные тесты.Корреляция прекурсоров: ловим до шифрования
MITRE D3FEND предлагает пять контрмер для T1486:| D3FEND ID | Техника | Тип | Практическое применение |
|---|---|---|---|
| D3-FA | File Analysis | Detect | Sandbox-детонация дропперов. Интеграция с AV/EDR |
| D3-FIM | File Integrity Monitoring | Detect | Порог: >50 file modifications за 60 сек на одном хосте |
| D3-FEV | File Eviction | Evict | Автоматическое удаление через EDR-action при срабатывании |
| D3-DF | Decoy File | Deceive | Canary-файлы в корне шар - детект при обращении шифровальщика |
| D3-FE | File Encryption | Harden | Предварительное шифрование критичных данных (ключи у организации) |
Вместо ожидания T1486 выстраивайте корреляцию по цепочке прекурсоров:
- Anomalous authentication - вход с нетипичного хоста, в нетипичное время, из нетипичной геолокации. Baseline: рабочие часы + список рабочих станций пользователя + страна VPN-выхода.
- Credential access - дамп
lsass.exe, обращение к NTDS.dit, DCSync-запросы. В Elastic - правилоcredential_access_lsass_memdump; в CrowdStrike Falcon - алертCredentialAccessLsass. - Lateral movement - PsExec, WMI remote exec, SMB-подключения к
admin$-шарам с нетипичных хостов. - VSS deletion -
vssadmin delete shadows /allили аналогичные команды. Один из самых надёжных прекурсоров шифрования с низким false positive rate. Если кто-то удаляет теневые копии на продакшн-сервере - это либо ransomware, либо очень странный сисадмин. - Массовое обращение к файлам - запись в сотни файлов за минуту от одного процесса. FIM (D3-FIM) покрывает этот сценарий.
Код:
# Псевдокод корреляции для SIEM (требует адаптации под vendor)
IF within 4h on same host:
event_1: process WHERE cmdline CONTAINS "vssadmin delete shadows"
AND event_2: file_rename WHERE count > 100 AND timespan < 120s
THEN alert: "CRITICAL - Ransomware deployment sequence"Чеклист: минимальный detection-стек под RaaS-угрозу
| Приоритет | Что мониторить | Источник логов | Sigma/правило |
|---|---|---|---|
| P0 | VSS deletion, bcdedit disable recovery | Windows Security, Sysmon | proc_creation_win_susp_bcdedit |
| P0 | Массовое переименование файлов | Sysmon EventID 11/23/26 | file_rename_win_ransomware |
| P1 | Подозрительная загрузка rstrtmgr.dll | Sysmon EventID 7 | image_load_dll_rstrtmgr |
| P1 | LSASS access / credential dumping | Sysmon EventID 10 | sysmon_cred_dump_lsass |
| P2 | AV-детект класса Ransomware | AV-логи | av_ransomware |
| P2 | Нетипичная аутентификация (время/гео) | Windows Security 4624/4625 | Кастомный baseline |
| P3 | Canary file access | FIM | Кастомное правило FIM |
Этот чеклист работает вне зависимости от того, какая группировка стоит за атакой: The Gentlemen, Akira, DragonForce или следующий оператор, который появится через месяц. TTPs аффилиатов перетекают между брендами, а поведенческий detection остаётся стабильным.
Фрагментация RaaS-рынка в 2026 году - не аномалия, а новая норма. Два коллапса показали: когда оператор уходит, всё хозяйство не сжимается, а дробится. Аффилиаты мигрируют, и через считанные недели всплывают группировки вроде The Gentlemen, наследующие TTPs и операционные практики ушедших платформ. White-label сервисы типа RansomBay от DragonForce снижают порог входа до уровня, при котором создать RaaS-бренд может команда из трёх-четырёх человек.
Для SOC-команды из этого следует жёсткий вывод: атрибуция конкретной группе перестала быть приоритетом первого уровня. Вчерашний партнёр Black Basta работает под шильдиком Cactus с тем же Cobalt Strike и тем же PsExec. Группировка может сменить название, DLS и переговорный портал - но не поменяет привычку удалять Shadow Copies перед шифрованием. Единственный масштабируемый подход - behavioral detection на уровне прекурсоров: credential access, VSS deletion, массовый file rename, anomalous lateral movement. Это работает сегодня против пяти перечисленных групп и будет работать завтра против шестой. Если в SIEM нет таких правил - на форуме codeby.net лежит готовый Sigma-набор с маппингом на основные бэкенды.
