На первый взгляд может показаться, что снижение связано с техническими ошибками самих пострадавших компаний. Однако детальный анализ инцидентов показывает иную картину. В 2025 году заметно изменилась сама модель вымогательства. По данным специалистов, лишь 13% атак в прошлом году были связаны исключительно с шифрованием данных. В остальных случаях злоумышленники делали ставку на кражу информации и угрозу ее публикации, либо комбинировали оба подхода. Это означает, что даже при получении формального дешифратора бизнес сталкивается с утечкой, последствия которой не устраняются разблокировкой инфраструктуры. Также в каждом третьем случае зафиксированы повторные требования после первоначальной выплаты, что резко снижает экономический смысл подобных решений.
Отраслевой разрез подтверждает неравномерность рисков. Наибольшая доля инцидентов с неудачным восстановлением данных в 2025 году пришлась на консалтинговые и юридические компании, – 24%. Здесь ключевым фактором выступает высокая ценность клиентских данных и контрактной документации. На втором месте оказались производственные предприятия – 19%, где атаки часто приводят к повреждению технологической информации и систем управления. Финансовый сектор занял 16%, несмотря на более высокий уровень зрелости ИБ, что связано с активным использованием сложных распределенных систем. Ритейл и e-commerce сформировали около 14% случаев, в основном за счет утечек персональных данных клиентов. Остальная доля пришлась на здравоохранение, логистику и ИТ-компании.
Ключевые причины сложившейся ситуации лежат сразу в нескольких плоскостях. Во-первых, выросла сложность самих атак. Современные шифровальщики все чаще используют нестандартные алгоритмы, повреждают резервные копии, а также намеренно вносят ошибки в структуру данных, чтобы восстановление было технически затруднено даже при наличии ключа. Во-вторых, на рынок вышло большое количество новых группировок и брокеров первоначального доступа, которые продают компрометированные – это приводит к ситуациям, когда одна и та же компания становится объектом давления со стороны разных вымогателей. В-третьих, сохраняется дефицит квалифицированных специалистов по реагированию на инциденты внутри бизнеса, из-за чего критические решения принимаются в условиях нехватки информации и времени.
При этом при анализе инцидентов 2025 года эксперты зафиксировали еще одно системное изменение, которое напрямую влияет на падение эффективности выплат. Речь идет о заметном росте доли политически мотивированных вымогательств. В ряде случаев шифрование используется уже не как основной механизм вымогательства, а как формальный триггер для начала переговоров и психологического давления на жертву. В этих сценариях восстановление данных изначально не входит в планы злоумышленников: после получения денег коммуникация обрывается, обещания игнорируются, а инфраструктура компании нередко дополнительно дестабилизируется. Для традиционных преступных группировок сохранение репутации оставалось экономически выгодным – утрата этого доверия напрямую снижала вероятность будущих выплат. Новые игроки действуют иначе, смещая акцент с повторной монетизации на целенаправленное нанесение ущерба.
В этих условиях рекомендации для бизнеса смещаются от тактических решений к стратегическим. Практика 2025 года показала, что ставка исключительно на выкуп не снижает риски, а зачастую увеличивает их. Компании, которые смогли минимизировать ущерб, инвестировали в сегментацию инфраструктуры, изоляцию резервных копий, контроль учетных записей и сценарии восстановления без участия злоумышленников. Существенную роль сыграла и подготовка управленческих команд к кризисным ситуациям, когда решения принимаются не под давлением ультиматумов, а на основе заранее проработанных моделей. По прогнозу экспертов «Информзащиты», в 2026 году доля успешного восстановления данных после выплаты выкупа продолжит снижаться и может опуститься ниже 40%, тогда как число атак с фокусом на кражу и повторное вымогательство будет расти.