По данным Mandiant M-Trends 2025, 57% организаций узнают о компрометации от внешних источников - не от собственного SOC. Но есть сценарий хуже: вы обнаруживаете шифровальщик сами, запускаете disaster recovery и выясняете, что бэкапы мертвы. VSS-снапшоты стёрты, агенты Veeam остановлены, каталоги резервных копий зашифрованы за сутки до основного удара. Знакомая картина? Мы видели её десятки раз.
Карта разбора: от тактик атаки до чеклиста реагирования
Статья - навигатор по всей теме защиты от ransomware 2026 для security-команд. Каждый раздел даёт суть подтемы и практический вывод, а глубокий разбор - в отдельных материалах кластера.| # | Подтема | Подробнее |
|---|---|---|
| 1 | Kill chain от стилер-лога до domain admin | Атаки через украденные учётные данные |
| 2 | Recovery Denial: тактики и hardening бэкапов | Recovery Denial: защита резервных копий от ransomware |
| 3 | Реверс-анализ Go-шифровальщика Storm-2697 | Анализ ransomware The Gentlemen |
| 4 | Ускорение атак: Akira и Medusa/Storm-1175 | Ransomware за 60 минут |
| 5 | RaaS-экосистема и модель аффилиатов | Ransomware-as-a-Service 2026: анализ RaaS-экосистемы |
| 6 | Тренды: EDR killers и detection engineering | Ransomware тренды 2026 |
| 7 | Threat hunting pre-ransomware активности | Threat hunting ransomware через SIEM-правила и IOC |
| 8 | ICS ransomware: Qilin и OT-сегмент | ICS ransomware: kill chain от Fortinet до OT |
| 9 | Кибератаки на юридические фирмы | Kill chain вымогателей и detection-чеклист для SOC |
Kill chain ransomware 2026: от украденных учётных данных до шифрования за 72 минуты
Ransomware тактики атак 2026 года прослеживаются на реальных IR-кейсах. Шифровальщики корпоративные сети не атакуют "в лоб" - это многоэтапная операция, где шифрование запускается последним.
Бизнес-логика атаки проста: группировка покупает initial access (учётные данные из стилер-логов, доступ к RDP или VPN) за $500-$5000, затем за часы-дни превращает этот доступ в полный контроль над инфраструктурой, и предъявляет выкуп. Медиана по данным Verizon DBIR 2025 - $46 000, максимум - $75M в отдельных инцидентах.
Типовой ransomware kill chain по MITRE ATT&CK:
Этап 1 - Initial Access. Основной вектор - скомпрометированные учётные данные (T1078 - Valid Accounts). По данным IBM X-Force Threat Intelligence Index 2025, атаки с использованием действительных учётных данных выросли на 71% год к году. Параллельно работают infostealers - 32% всего malware в 2024 году по тем же данным. Стилеры собирают VPN-пароли, сессионные cookie, токены RDP - и всё это продаётся на маркетплейсах. Microsoft DCU в июне 2026 провела takedown инфраструктуры StealC и Amadey, через которую шли именно такие сборы.
Этап 2 - Credential Access и Lateral Movement. Получив first foothold, оператор запускает дамп NTDS (T1003.003) для извлечения хешей всех доменных учёток. Дальше - lateral movement до domain controller и backup-серверов. По данным Palo Alto Networks Unit 42 Global Incident Response Report 2025, в одном зафиксированном случае exfiltration заняла 72 минуты - против 285 минут в аналогичном экстремальном кейсе годом ранее (медианные значения выше, но тренд на сжатие очевиден).
Этап 3 - Discovery и подготовка. Оператор проводит разведку backup-инфраструктуры: находит серверы Veeam, Commvault, Rubrik (T1518.002 - Backup Software Discovery). Одновременно отключает или модифицирует защитные инструменты (T1685): остановка агентов EDR, антивирусов, backup-агентов.
Этап 4 - Recovery Denial. Удаление VSS-снапшотов, уничтожение каталогов бэкапов, шифрование или удаление NAS-хранилищ с резервными копиями (T1490, T1485). Этот этап разбираем детально в следующем разделе.
Этап 5 - Encryption и Extortion. Запуск шифровальщика (T1486), выгрузка данных на DLS (Dedicated Leak Site), предъявление требований. Зачистка логов (T1685.005) для затруднения расследования.
Полный разбор первого этапа - цепочки от стилер-лога до domain admin - в нашем гайде Атаки через украденные учётные данные: kill chain от стилер-лога до domain admin.
Recovery Denial: как атакующие уничтожают бэкапы до запуска шифровальщика
Recovery Denial ransomware - не побочный эффект атаки, а целенаправленная фаза, без которой вымогательство не работает. Если жертва восстанавливается из бэкапа за 4 часа - платить незачем. Группировки это понимают и вкладываются в разрушение recovery-способности так же серьёзно, как в само шифрование.
Из реальных IR-кейсов: атакующие тратят больше времени на обнаружение и уничтожение бэкапов, чем на развёртывание шифровальщика. Шифрование - один PowerShell-скрипт и GPO для раскатки. Уничтожение бэкапов - часы ручной работы оператора, потому что каждая инфраструктура уникальна.
Пять приёмов, которые мы фиксируем в большинстве расследований:
1. Удаление Volume Shadow Copies. Классика, которая не устаревает.
vssadmin delete shadows /all /quiet и wmic shadowcopy delete запускаются практически в каждом кейсе. Некоторые группы переключились на WMI-вызовы вместо прямых утилит - так проще обойти детект.2. Остановка backup-агентов и сервисов. Операторы останавливают службы Veeam, Commvault, Rubrik через
net stop или Stop-Service перед запуском шифрования. В нескольких кейсах агенты бэкап-систем были остановлены за 12-24 часа до encryption - чтобы последняя инкрементальная копия оказалась устаревшей. Хитро, правда?3. Эксплуатация уязвимостей в backup-софте. Группировки целенаправленно атакуют серверы резервного копирования через известные дыры в Veeam Backup & Replication и аналогах. Получив доступ к management console, оператор удаляет задания, репозитории и конфигурации.
4. Шифрование или удаление NAS/SAN-хранилищ с бэкапами. Если бэкапы лежат на сетевом хранилище, доступном из доменной сети, оператор шифрует и их. В нескольких инцидентах мы фиксировали, что SMB-шары с бэкапами шифровались первыми - до production-данных.
5. Компрометация учётных записей backup-администраторов. Через дамп NTDS (T1003.003) или Kerberoasting оператор получает credentials сервисных аккаунтов backup-систем. Имея admin-доступ к консоли, можно легитимными средствами удалить все задания и репозитории - без единого алерта.
Атаки на backup системы - не "дополнительный бонус" для вымогателей. Это обязательный pre-requisite. Организация, которая считает backup "последней линией обороны", но не защищает его как критический актив - подставляет себя.
Подробный разбор тактик и методов противодействия: Recovery Denial: защита резервных копий от ransomware - разбор тактик и hardening инфраструктуры.
RaaS-экосистема 2026: аффилиаты, специализация и техподдержка для вымогателей
Программы-вымогатели 2026 года - не отдельные хакеры, а индустрия с разделением труда. Ransomware-as-a-Service (RaaS) работает по модели, которая копирует легитимный SaaS-бизнес: разработчик (core team), аффилиаты (операторы атак), инфраструктурные провайдеры и initial access brokers (IAB).
По данным CrowdStrike Global Threat Report 2025, 86% атак имели финансовую мотивацию (eCrime). Ransomware - бизнес с предсказуемой unit-экономикой. IAB продаёт доступ за $500-$5000, аффилиат выполняет атаку, ядро платформы забирает 15-30% от выкупа. Чистый конвейер.
Данные ransomware.live за июнь 2026 показывают высокую активность нескольких групп: Play публикует жертв из Manufacturing и Business Services; IncRansom атакует юридические фирмы в США; DragonForce и SafePay работают по Technology и Manufacturing секторам. Группа Redact в июне 2026 опубликовала жертв в Healthcare (Hologic, $4B revenue) и Financial Services (FCCI Group, Insurance). Некоторые группы демонстрируют отраслевые предпочтения, хотя для ряда из них данных пока недостаточно для выводов о специализации.
Отдельный тренд - появление шифровальщиков с нестандартными подходами. The Gentlemen (Storm-2697), по имеющимся данным, демонстрирует тренд на автоматическое распространение в RaaS-платформах - сокращение ручной работы оператора. Раньше lateral movement требовал интерактивной сессии, теперь новые шифровальщики ползут по сети сами.
MISP CIRCL зафиксировал в феврале 2026 активность PFCloud - bulletproof hosting, обслуживающего операции Datacarry ransomware, с жертвами в секторах Civil Aviation, Education, Finance, Health и Insurance. Инфраструктурные провайдеры - то звено, без которого DLS, C2 и exfiltration-серверы группировок не работают.
Модель тройного вымогательства стала стандартом: шифрование данных + угроза публикации на DLS + DDoS для дополнительного давления. Для российских организаций третий вектор усилен регуляторными последствиями: утечка персональных данных грозит штрафами по ФЗ-152.
Подробный разбор: Ransomware-as-a-Service 2026: The Gentlemen и анализ RaaS-экосистемы - аффилиаты, TTPs, detection. Реверс-анализ Go-шифровальщика Storm-2697 с разбором механизма SMB-распространения - в материале Анализ ransomware The Gentlemen.
Ransomware за 60 минут: почему dwell time сжался и SOC не успевает
Шифровальщики 2026 кардинально изменили скорость работы. По данным Palo Alto Networks Unit 42 Global Incident Response Report 2025, в одном зафиксированном случае exfiltration заняла 72 минуты - почти в 4 раза быстрее, чем 285 минут в аналогичном экстремальном кейсе годом ранее (медианные значения выше, но тренд на сжатие времени атаки очевиден). Для SOC-команд это критический сигнал: окно реагирования сокращается.
Медианное время нахождения атакующего в сети (dwell time) снизилось до 11 дней по данным Mandiant M-Trends 2025 - исторический минимум. У ransomware-групп показатель ещё ниже. Akira и Medusa/Storm-1175 сжимают полный цикл - от initial access до encryption - до часа.
Как они это делают:
Автоматизация lateral movement. Операторы используют pre-built скрипты для автоматического дампа NTDS, сканирования сетевых шар и распространения payload. Ручных действий - минимум.
Предварительная разведка. IAB, продающий доступ, уже выполнил первичную разведку: топология сети, домены, основные серверы. Аффилиат получает не "голый" RDP-доступ, а карту инфраструктуры.
AI-ускоренная подготовка. По данным CrowdStrike, вредоносное использование GenAI для подготовки атак удвоилось в 2024 году. GenAI генерирует фишинговые письма в 11,4 раза быстрее ручного подхода при сопоставимом качестве (IBM X-Force 2025) и помогает автоматизировать подбор атакующих скриптов под конкретную инфраструктуру.
Для security-команды это означает одно: традиционная модель "обнаружил -> эскалировал -> среагировал" с SLA в 4 часа не работает, если атака завершается за 60 минут.
Что делать прямо сейчас: пересмотреть SLA реагирования на high-severity алерты, автоматизировать containment (автоматическая изоляция хоста при детекте определённых TTPs), сократить время от алерта до изоляции с часов до минут.
Детальный разбор ускоренных атак Akira и Medusa с таймлайнами и detection-правилами: Ransomware за 60 минут: как Akira и Medusa/Storm-1175 ускорили атаки и как их детектировать.
Hardening backup-инфраструктуры: от правила 3-2-1 к immutable storage и air-gap
Защита backup от шифровальщиков начинается с признания: классическое правило 3-2-1 (три копии, два носителя, одна offsite) недостаточно. Если offsite-копия доступна по сети из доменной инфраструктуры - она будет зашифрована вместе с production.Индустрия перешла к правилу 3-2-1-1-0, которое формализовал Veeam в своих best practices:
- 3 копии данных
- 2 разных типа носителей
- 1 копия offsite
- 1 копия immutable или air-gapped
- 0 ошибок при тестировании восстановления
Чеклист hardening backup-инфраструктуры
- Выделить backup-серверы в отдельный сетевой сегмент с ограниченным доступом (не в домене production или в отдельном management-домене)
- Использовать immutable репозитории: hardened Linux repository с immutable flag, object lock в S3-совместимом хранилище или аппаратный WORM-storage
- Создать air-gapped копию: ленточная библиотека с физическим извлечением или изолированное хранилище с подключением только на время записи
- Разделить учётные записи: credentials backup-администратора не должны совпадать с доменными admin-учётками и не должны кэшироваться на рабочих станциях
- Включить MFA для доступа к management console бэкап-системы
- Настроить мониторинг: алерт на остановку backup-служб, алерт на удаление backup job, алерт на изменение retention policy
- Тестировать восстановление ежемесячно: полный restore критических систем в изолированную среду (clean room recovery)
- Мониторить целостность бэкапов: автоматическая верификация с проверкой на наличие malware перед restore
Для субъектов КИИ эти меры - не рекомендация, а требование. ФЗ-187 (ст. 11) обязывает обеспечивать безопасность значимых объектов КИИ по требованиям ФСТЭК (Приказ ФСТЭК №239), которые включают отказоустойчивость и резервирование (группы мер ОДТ и РСБ).
Подробный разбор тактик атаки и конкретных конфигураций hardening: Recovery Denial: защита резервных копий от ransomware - разбор тактик и hardening инфраструктуры.
Detection engineering: как обнаружить ransomware до шифрования
Защита от ransomware 2026 работает только если обнаружение происходит до этапа шифрования. После запуска Data Encrypted for Impact (T1486) единственный вариант - восстановление из бэкапов. Но если detection работает на этапах T1078, T1003.003, T1518.002 - атаку можно остановить.
Основные pre-ransomware индикаторы, на которые стоит строить детекшн:
Credential-based аномалии. Массовые неудачные попытки аутентификации с одного источника. Использование учёток, которые не использовались 90+ дней. Логин с сервисного аккаунта в интерактивном режиме. Детект: корреляция событий 4625/4624 в Windows Security Log, аномалии в Kerberos TGT-запросах.
Discovery-активность. Сканирование сетевых шар (SMB enumeration), запросы к AD на выявление backup-серверов (T1518.002). Массовый
nltest /dclist, net group "Domain Admins", обращение к LDAP с нестандартных хостов. Один из самых надёжных индикаторов - запрос списка всех компьютеров с именем, содержащим "backup", "veeam", "rubrik" или "commvault". Если такой запрос прилетел с рабочей станции бухгалтера - это не бухгалтер.Останов защитных сервисов. Алерт на остановку EDR-агента, антивирусной службы или backup-агента (T1685). В Sigma-формате это правило на EventID 7045 (новая служба) или 7036 (изменение состояния службы) с фильтром по имени сервиса.
Удаление теневых копий. Детект на
vssadmin.exe delete shadows, wmic.exe shadowcopy delete, wbadmin.exe delete catalog - индикатор Inhibit System Recovery (T1490). При этом wmic.exe может использоваться и в других техниках (T1218, T1047, T1105, T1564.004), а wbadmin.exe - в T1490. Срабатывание этого правила при отсутствии запланированных операций обслуживания - немедленная эскалация.Принципиальный момент: все эти детекты должны коррелироваться. Один алерт на
vssadmin - шум. Последовательность "новый логин -> NTDS dump -> остановка backup-агента -> удаление VSS" за короткий промежуток - это ransomware kill chain в прямом эфире. Тут уже не до SLA - изолируй сегмент и разбирайся.Подробный разбор с готовыми SIEM-правилами и IOC: Threat hunting ransomware: обнаружение pre-ransomware активности в корпоративной сети через SIEM-правила и IOC. Тренды в detection engineering, включая EDR killers: Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering.
Ransomware тренды 2026: EDR killers, exfiltration-only и AI-автоматизация
Шифровальщики 2026 меняют методы быстрее, чем security-вендоры выпускают обновления детекшна. Несколько трендов, которые определяют картину прямо сейчас:
EDR killers. Группировки разрабатывают специализированные инструменты для отключения или обхода EDR до запуска основного payload. Это не просто
Stop-Service - это kernel-level атаки: уязвимые драйверы (BYOVD - Bring Your Own Vulnerable Driver), манипуляции с ETW, прямое отключение защитных хуков. Техника T1685 эволюционировала из простой остановки сервисов в полноценное направление offensive-разработки. CrowdStrike Falcon и SentinelOne детектят стандартные BYOVD-цепочки, но кастомные драйверы проходят - и это головная боль для blue team.Отказ от шифрования в пользу exfiltration-only. Ряд аналитиков фиксирует рост доли инцидентов без шифрования - только кража данных и шантаж публикацией. Это быстрее, тише и не оставляет "громких" артефактов, которые ловят EDR. По данным Mandiant, 23% расследований 2024 года были связаны с ransomware, и модель extortion-without-encryption набирает обороты.
AI-автоматизация разведки и атак. GenAI используется для автоматизации социальной инженерии, генерации фишинговых писем и подбора эксплоитов. Microsoft в июне 2026 зафиксировала случай параллельной работы двух threat actors в одной инфраструктуре - попробуй разберись, кто что натворил, когда в одной сети одновременно хозяйничают два независимых оператора.
Атаки на облачную инфраструктуру. CrowdStrike фиксирует рост cloud intrusion на 26% год к году. Группировки целятся в SaaS-платформы, cloud storage и CI/CD-пайплайны. Supply chain атаки через poisoned npm-пакеты (как в случае с Mastra, задокументированном Microsoft в июне 2026) - новый initial access, который открывает двери сразу в десятки организаций.
Самораспространяющиеся шифровальщики. The Gentlemen (Storm-2697) - ransomware на Go с автоматическим распространением через SMB. Снижает зависимость от навыков оператора и ускоряет поражение инфраструктуры. По сути - червь с функцией шифрования.
Полный разбор трендов: Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering.
Отраслевой прицел: OT/ICS, юридические фирмы и финансовый сектор
По данным IBM X-Force 2025, 70% атак затронули организации критической инфраструктуры. Но за общей статистикой - принципиально разные kill chain для каждой отрасли.OT/ICS и промышленные предприятия. Атаки ransomware на промышленные системы идут по модели IT->OT pivot: группировки вроде Qilin эксплуатируют уязвимости в IT-периметре (VPN-устройства, Fortinet), проходят lateral movement через корпоративную сеть и проникают в OT-сегмент. Даже если шифровальщик не добрался до SCADA-контроллеров, шифрование IT-систем (историан, MES, ERP) останавливает производство - и этого достаточно для давления.
Промышленные протоколы (Modbus, DNP3) не имеют встроенных средств аутентификации на уровне команд - если атакующий получил сетевой доступ к OT-сегменту, он может отправлять произвольные function codes (FC1, FC3, FC5, FC16 для Modbus) напрямую на контроллеры. Стандартные IT-средства (EDR, SIEM) здесь работают ограниченно: агенты не ставятся на PLC, а сетевой трафик OT-протоколов большинство SIEM не парсят. Это фундаментальное отличие от IT-безопасности - в OT нельзя просто "раскатать агент".
Подробный разбор: ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента.
Юридические фирмы. Данные ransomware.live за июнь 2026 показывают: группа IncRansom целенаправленно атакует юридические фирмы (Horton Personal Injury Lawyers, Law Office of John Dufour). Юридический сектор - идеальная мишень: адвокатская тайна создаёт максимальное давление при угрозе публикации, фирмы часто небольшие и не имеют SOC, а конфиденциальность данных стоит дороже самого выкупа.
Подробный разбор: Кибератаки на юридические фирмы: kill chain вымогателей и detection-чеклист для SOC.
Финансовый сектор. По данным BitDefender Threat Debrief за январь 2026, Financial Services - в шестёрке наиболее атакуемых отраслей. Группа Redact атаковала FCCI Group (страхование) и Hologic (медицинское оборудование, $4B revenue). fidelitysecurity.co (Колумбия, классифицирована ransomware.live как Financial Services, хотя по профилю - security integrator) атрибутирована группе cmdorganization. Двойное давление: шифрование + угроза утечки клиентских данных, что для финсектора грозит отзывом лицензий и оттоком клиентов.
Вне зависимости от отрасли, Verizon DBIR 2025 фиксирует рост ransomware-инцидентов в SMB-сегменте на 18% год к году. Малый и средний бизнес страдает непропорционально: нет выделенных ИБ-команд, бэкапы часто хранятся в одной сети с production, а бюджет на восстановление ограничен.
Ransomware incident response: чеклист первых 4 часов
Восстановление после ransomware начинается не с restore, а с containment. Паника - главный союзник атакующего. Чеклист ниже можно распечатать и держать в NOC/SOC.Час 0-1: Containment
- Изолировать заражённые хосты от сети (отключить порт на свитче или disable сетевого адаптера, НЕ выключать машину - сохраняем артефакты в памяти)
- Заблокировать скомпрометированные учётные записи в AD (все учётки, под которыми зафиксирована активность)
- Отключить VPN-доступ и RDP-шлюзы до выяснения вектора первичного проникновения
- Проверить доступность и целостность backup-инфраструктуры: запущены ли агенты, доступны ли репозитории, не изменены ли retention policies
- Зафиксировать время обнаружения и составить первичный таймлайн
Час 1-2: Оценка масштаба
- Определить тип и семейство ransomware (по ransom note, расширению файлов, IOC)
- Оценить масштаб поражения: количество хостов, затронутые критические системы, состояние domain controller
- Проверить статус бэкапов: есть ли чистые, верифицированные копии, когда последняя успешная копия
- Собрать forensic-артефакты: образ оперативной памяти (Velociraptor/WinPMEM), MFT, Event Logs, prefetch - до любых действий по восстановлению
Час 2-4: Уведомление и планирование
- Уведомить руководство и юристов (решение о выплате выкупа - бизнес-решение, не техническое)
- Для субъектов КИИ: направить уведомление в ГосСОПКА (НКЦКИ ФСБ) в сроки 3-24 часа согласно ФЗ-187 (ст. 5) и Постановлению Правительства №43
- Подготовить план восстановления: приоритизация систем по BIA (Business Impact Analysis), определение порядка restore
- Привлечь внешнюю IR-команду, если внутренних компетенций недостаточно
Куда движется защита от ransomware: прогноз на 12 месяцев
Ransomware не станет менее опасным. Программы-вымогатели продолжат эволюцию по трём направлениям.Первое - дальнейшее сжатие dwell time. Атаки, которые сегодня занимают 60 минут, через год будут занимать 15-20. Это вынудит security-команды перейти от ручного реагирования к полной автоматизации containment: изоляция хоста, блокировка учётки, отключение сетевого сегмента - без участия аналитика. Если ваш SOAR не умеет изолировать хост за 30 секунд после алерта - пора его научить.
Второе - целенаправленное уничтожение облачных бэкапов. По мере миграции в облако группировки адаптируют Recovery Denial под S3, Azure Blob, GCS. Misconfiguration облачного storage (отсутствие Object Lock, избыточные IAM-привилегии) станет основным вектором атаки на бэкапы.
Третье - регуляторное ужесточение. Российские организации уже работают в условиях ФЗ-187 и ФЗ-152. С учётом повышения штрафов за утечки персональных данных, давление тройного вымогательства (шифрование + публикация + DDoS) станет ещё эффективнее. Инвестиции в защиту disaster recovery от ransomware - не статья расходов, а страховка, которая дешевле последствий.
Проведите аудит backup-инфраструктуры по чеклисту из раздела выше, протестируйте восстановление критических систем в clean room, убедитесь что immutable backup настроен и работает. Группировки не ждут - не ждите и вы.
Хотите прокачать навыки threat hunting, incident response и анализа вредоносного ПО на практике? Курсы Codeby Academy дают реальные навыки расследования ransomware-инцидентов: от forensic-анализа артефактов до написания SIEM-правил для pre-ransomware detection. Практика на реальных кейсах, не на абстрактных лабораторных.
За десять лет работы в incident response я вижу один и тот же паттерн: организации тратят 80% ИБ-бюджета на prevention (firewall, EDR, SIEM) и 20% - на recovery. При этом 100% ransomware-инцидентов, которые заканчиваются выплатой выкупа, объединяет одно - неработающее восстановление. Не слабый firewall, не отсутствие EDR, а именно уничтоженные или непригодные бэкапы.
Индустрия годами продавала иллюзию, что правильный набор защитных инструментов предотвратит ransomware. Реальность жёстче: при достаточной мотивации и ресурсах аффилиат RaaS-платформы обойдёт любую защиту. Вопрос не "если", а "когда". И единственное, что определяет исход - способность организации восстановиться без выкупа.
Backup-инфраструктура в большинстве компаний - зона ответственности IT-операционной команды, а не security. Backup-серверы стоят в одном домене с production, сервисные аккаунты имеют доменные привилегии, а тестирование восстановления проводится в лучшем случае раз в год - и то формально. Атакующие это знают и эксплуатируют.
Пока backup-инфраструктура не станет объектом security-архитектуры - с сегментацией, мониторингом, red team-тестированием и immutable storage по умолчанию - ransomware-группы будут продолжать зарабатывать. Технологии для защиты существуют. Проблема - в организационной слепоте: backup воспринимают как IT-функцию, а не как последнюю линию обороны, которая требует такого же уровня защиты, как production-среда.
Последнее редактирование модератором: