Алерт в SIEM: массовое чтение файлов на файловом сервере - 14 000 обращений к SMB share за восемь минут. Через двадцать минут - тишина. Никакого шифрования, ни одного ransom note, shadow copies на месте. Бэкапы целы. IR-команда классифицирует событие как false positive.
Через три дня компания обнаруживает 340 ГБ внутренних документов на data leak site группировки, которая требует $2.4M за неразглашение. Двухлетняя инвестиция в бэкап-процесс оказалась бесполезной - атака была не про шифрование.
По данным Cognyte, в 76% ransomware-инцидентов 2025 года эксфильтрация данных предшествовала шифрованию или полностью его заменяла. Ransomware тренды 2026 года определяются тремя сдвигами: EDR killer стал штатной фазой kill chain, шифрование перестаёт быть обязательным, а скорость lateral movement сократилась до минут. Разберёмся, что с этим делать.
Kill chain 2026: от покупки доступа до публикации на DLS
Прежде чем разбирать отдельные TTPs, зафиксируем полную цепочку атаки. Без этого контекста detection-правила пишутся вслепую - непонятно, что ловить первым.Бизнес-логика. Операторы ransomware-as-a-service (RaaS) - бизнес с финансовой мотивацией, ничего личного. По данным CrowdStrike Global Threat Report 2025, 86% атак в 2024 году имели финансовую подоплёку (eCrime). Но доля выплаченных выкупов, по данным Securelist, упала до 28% в 2025 году. Операторы адаптируются: если жертва не платит за расшифровку, она заплатит за неразглашение. Особенно когда в РФ штрафы за утечку персональных данных привязаны к обороту компании (до 3% годовой выручки по закону об оборотных штрафах). Мотивация понятна - копнём в механику.
Initial Access. RaaS-операторы практически не проводят полные вторжения сами. Начальный доступ покупается у IAB (Initial Access Broker) - модель Access-as-a-Service. По данным Securelist, основные векторы продаж - RDP, VPN, RDWeb, причём фокус сместился на RDWeb-порталы, которые часто недостаточно защищены (нарушение контроля доступа, OWASP A01:2025). По данным IBM X-Force Threat Intelligence Index 2025, атаки с использованием валидных учётных данных выросли на 71% год к году, а infostealers стали самым распространённым типом malware (32%), опередив сами шифровальщики 2026.
Defense Evasion -> EDR Kill. Сразу после foothold атакующие нейтрализуют endpoint-защиту. Это больше не опциональный шаг - это запланированная фаза. Подробности ниже.
Lateral Movement. По данным CrowdStrike, среднее время lateral movement после initial access - 62 минуты в 2024 году, рекорд - 51 секунда. По данным Vectra AI (ссылка на Mandiant M-Trends 2026), время до hands-on-keyboard в отдельных кейсах сократилось до 22 секунд. Двадцать две секунды. У SOC-аналитика нет шанса среагировать вручную - только автоматика.
Exfiltration -> Impact. Тут развилка: традиционный путь - шифрование (T1486, Data Encrypted for Impact) с double extortion ransomware. Новый - чистый data theft без encryption, угроза публикации на DLS. И второй вариант встречается всё чаще.
EDR killers и BYOVD: отключение endpoint-защиты как штатный этап
По данным Securelist, в 2026 году инструменты EDR killers стали стандартным компонентом attack playbooks ransomware-операторов. Техника классифицируется по MITRE ATT&CK как T1562.001 (Impair Defenses: Disable or Modify Tools).
Основной метод - Bring Your Own Vulnerable Driver (BYOVD): атакующий загружает в систему подписанный, но уязвимый драйвер, через который получает kernel-level доступ для завершения процессов EDR-агентов. По данным Vectra AI, в апреле 2026 года аффилиаты группировок Qilin и Warlock использовали вредоносную цепочку загрузки
msimg32.dll, которая side-load'ит подписанные уязвимые драйверы - rwdrv.sys (ThrottleStop) и hlpdrv.sys - для завершения более 300 драйверов endpoint-агентов практически всех основных вендоров. Endpoint-only detection превращается в единую точку отказа. Убил агента - убил видимость.Предусловия и ограничения. BYOVD работает в Windows-средах без настроенной политики WDAC (Windows Defender Application Control) или HVCI (Hypervisor-Protected Code Integrity). В средах с включённым HVCI (Windows 11 по умолчанию, Windows Server 2025) загрузка уязвимых драйверов блокируется на уровне гипервизора. Но вот в чём проблема: большинство корпоративных инфраструктур с legacy Windows Server 2016/2019 остаются уязвимыми. И таких - подавляющее большинство.
Вендорная специфика EDR. Атака не одинаково эффективна против всех продуктов. CrowdStrike Falcon с Sensor Tamper Protection и SentinelOne с Anti-Tamper сложнее завершить через BYOVD - атакующему нужно целиться в конкретные версии драйвера защиты. Elastic 8.x+ и Kaspersky EDR Expert используют ETW-TI (Event Tracing for Windows - Threat Intelligence), который продолжает генерировать телеметрию даже при попытках завершить процесс агента. Звучит обнадёживающе, но когда loader chain терминирует 300+ драйверов - шанс на полное покрытие у атакующего есть.
Detection T1562.001: что ловить в SIEM
Ключевые индикаторы BYOVD-атаки для корреляции:- Загрузка драйвера из нетипичной директории. Sysmon Event ID 6 (Driver Loaded) с путём, отличным от
C:\Windows\System32\drivers\. Типичные пути атаки:C:\Users\*\AppData\,C:\ProgramData\,C:\Temp\. - Создание сервиса для драйвера. Windows Event ID 7045 (Service Installed) с типом
kernel driverи именем сервиса вне baseline организации. - Завершение процессов EDR. Массовое появление Sysmon Event ID 5 (Process Terminated) для процессов из списка EDR-агентов в короткое временное окно. Если за 30 секунд легли пять EDR-процессов - это не совпадение.
- DLL side-loading. Sigma-правило
image_load_dll_rstrtmgr_suspicious_load.ymlиз SigmaHQ детектирует подозрительную загрузку DLL, связанных с Restart Manager - механизмом, который ransomware использует для разблокировки файлов. Аналогичная логика адаптируется дляmsimg32.dllside-loading.
YAML:
title: Suspicious Vulnerable Driver Load from Non-Standard Path
logsource:
product: windows
category: driver_load
detection:
selection:
ImageLoaded|endswith:
- '\rwdrv.sys'
- '\hlpdrv.sys'
filter:
ImageLoaded|startswith: 'C:\Windows\System32\drivers\'
condition: selection and not filter
level: highdriver where file.path != "C:\\Windows\\System32\\drivers\\*". В RuSIEM - аналогичная корреляция по нормализованным полям. Правило простое, но именно такие вещи ловят BYOVD на раннем этапе.Ransomware без шифрования: data extortion как основная модель
Тренд encryptionless extortion - ответ на падение выкупов. По данным Securelist, группа ShinyHunters - характерный пример: они используют data leak site для публикации жертв, полностью исключая шифрование из kill chain. Защита от шифровальщиков классического типа (бэкапы, файловая изоляция) против такой модели бессильна.
По свежим данным ransomware.live, ShinyHunters в конце мая 2026 опубликовала данные двух крупных жертв: компанию из сектора healthcare (dentaquest.com, 234+ ГБ сжатых данных) и BCD Travel из Нидерландов (более 700 000 записей Salesforce и данные корпоративных SharePoint-сайтов). В обоих случаях - чистая эксфильтрация и угроза публикации, без единого зашифрованного файла. Ни один бэкап не спас бы ситуацию.
Для Blue Team это меняет модель risk assessment фундаментально. Бэкапы по-прежнему нужны против Data Encrypted for Impact (T1486), но они не защищают от публикации данных и регуляторных последствий. Контекст для РФ: если утечка содержит персональные данные, компания попадает под оборотные штрафы и уведомительные обязательства перед Роскомнадзором (72 часа на уведомление). Ransomware атаки Россия 2026 - это уже не только проблема continuity, но и юридическая головная боль.
Detection exfiltration без encryption
Когда шифрования нет, Sigma-правилаfile_rename_win_ransomware.yml (детекция массового переименования) и av_ransomware.yml (антивирусные детекты) не сработают. Detection engineering смещается на сетевой уровень.Что мониторить:
- Аномальный исходящий объём. Baseline нормального outbound-трафика для каждого сегмента (DE.AE-01 по NIST CSF v2.0). Алерт при превышении в 3-5 раз за окно 15-30 минут. В Elastic - ML-модели anomaly detection на
destination.bytes. В MaxPatrol SIEM - пороговые корреляции по NetFlow/IPFIX. Без baseline вы слепы. - Массовое чтение SMB. Security Event ID 5145 (объект общего доступа) - одна учётная запись обращается к тысячам файлов за короткий период. Паттерн из нашего сценария в начале статьи: 14 000 обращений за 8 минут. Ни один живой пользователь так не работает.
- Exfiltration через легитимные инструменты. Sysmon Event ID 1 с
CommandLine, содержащимrclone copyилиrclone sync, либо обращения к mega.nz, transfer.sh, file.io. DNS tunneling: высокая энтропия поддоменов, длинные TXT-записи. - Canary files (D3-DF по MITRE D3FEND). Decoy-файлы в мониторируемых директориях. По данным Elastic Security Labs, обеспечивают детект за ~12 секунд при любом обращении - чтение, копирование, переименование. Работает и против encryption, и против exfiltration. Самый дешёвый и надёжный detection-механизм из всего списка.
Активные группы: Qilin, Cl0p и supply chain
По данным ransomware.live, группировка Qilin ransomware в начале июня 2026 опубликовала 6 новых жертв за 48 часов - от manufacturing (Южная Корея) и energy (Португалия) до healthcare (Чили, США). Qilin активно использует BYOVD через цепочкуmsimg32.dll, что подтверждается данными Vectra AI.Cl0p (и связанный кластер FIN11) продолжила тактику массовой эксплуатации supply chain. По данным Cognyte, Cl0p провела кампанию с эксплуатацией критической zero-day CVE-2025-61882 (NVD - CVE-2025-61882) в Oracle E-Business Suite (компонент BI Publisher Integration, версии 12.2.3-12.2.14). По данным NVD, CVSS 9.8 (Critical), вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - эксплуатация не требует аутентификации и ведёт к полной компрометации. CWE-287 (Improper Authentication), OWASP A07:2025 (Identification and Authentication Failures). Уязвимость внесена в CISA KEV 2025-10-06. Около 30 организаций были опубликованы на DLS Cl0p с эксфильтрацией сотен гигабайт из Oracle EBS. Supply chain атаки через доверенные enterprise-платформы (OWASP A08:2025, Software and Data Integrity Failures) позволяют скомпрометировать десятки downstream-организаций одним ударом. MOVEit научил нас этому в 2023, а Cl0p продолжает эксплуатировать тот же подход.
Отдельный тренд - постквантовая криптография в ransomware. По данным Securelist, семейство PE32 использует стандарт ML-KEM, конкретно алгоритм Kyber1024 (Level 5, эквивалент AES-256) для защиты AES-ключей от квантовых атак. Декриптор для PE32 математически невозможен ни с классическим, ни с квантовым компьютером. Проще говоря - если PE32 зашифровал ваши файлы, расшифровать их без ключа не получится. Никогда.
Статистика 2025-2026: цифры для отчёта руководству
| Метрика | Значение | Источник |
|---|---|---|
| Публичных ransomware-инцидентов (2025) | 7 200 - 7 809 | Recorded Future / Cognyte |
| Рост инцидентов YoY | 27-47% | Cognyte / Recorded Future |
| Доля утечек с ransomware | 44% | Vectra AI со ссылкой на Verizon DBIR 2025 |
| Инциденты с data exfiltration | 76% | Cognyte |
| Медианное время dwell | 11 дней | Mandiant M-Trends 2025 |
| Среднее время lateral movement | 62 мин (рекорд: 51 сек) | CrowdStrike GTR 2025 |
| Доля выплаченных выкупов | 28% | Securelist (Kaspersky) |
| Атаки на крит. инфраструктуру | 33.6% | Cognyte |
| Медианный выкуп | $46 000 | Verizon DBIR 2025 |
По данным Recorded Future, 2026 может стать первым годом, когда число новых ransomware-акторов вне России превысит число российских. Это отражение глобализации, а не снижение российской активности.
Для российского контекста: отчёты BI.ZONE, F.A.C.C.T. (бывший Group-IB) и Solar фиксируют устойчивый рост ransomware-атак на отечественные организации. Ransomware атаки в россии имеют свою специфику - часть группировок работает по российским компаниям через RDWeb и 1С-интеграции как initial access vector. Точные цифры за 2025-2026 рекомендую верифицировать на сайтах указанных компаний - они обновляют статистику ежеквартально.
SIEM правила ransomware 2026: detection engineering чеклист
Чеклист для SOC-команды - по приоритету внедрения. Начинайте сверху, двигайтесь вниз:Пример корреляции для полной kill chain BYOVD -> impact (адаптировать под движок SIEM):
Код:
# Псевдо-корреляция - адаптировать под движок SIEM
# Окно: 30 минут, группировка по host
WHEN
evt1: driver_load(path NOT IN baseline_drivers) AND
evt2: service_install(type="kernel driver") WITHIN 5m AND
evt3: process_terminate(target IN edr_list) WITHIN 10m AND
evt4: (file_rename_bulk OR shadow_delete OR
outbound_spike > 3x_baseline) WITHIN 30m
THEN alert(severity=CRITICAL, kill_chain=[evt1..evt4])| tstats с join по host и временному окну.Шифровальщики 2026 ставят перед SOC вопрос, который большинство команд пока не решило: detection stack, построенный вокруг T1486 (шифрование), покрывает в лучшем случае половину реальных сценариев. Когда 76% инцидентов включают data exfiltration, а почти треть жертв вообще не видят encryption - detection на
file_rename и vssadmin delete shadows необходим, но стоит в конце kill chain, а не в начале.На практике разрыв устойчив: команды с network-level detection (NDR, NetFlow-аналитика, baseline outbound) ловят encryptionless extortion на этапе exfiltration - до публикации на DLS, до штрафов, до репутационного урона. Команды с endpoint-only стратегией узнают об инциденте из Telegram-канала группировки.
BYOVD-цепочка
msimg32.dll -> rwdrv.sys усиливает эту асимметрию: если EDR-агент мёртв, endpoint - слепая зона. Атакующий может убить процесс на хосте, но не может спрятать пакеты, которые хост отправляет наружу. Сеть не врёт.
Последнее редактирование:
