Программы-вымогатели больше не пишут одиночки-хакеры. Сегодня это целая индустрия с франшизами, партнерскими программами, техподдержкой и многомиллионными доходами. Мы рассказываем, как работает модель RaaS — ransomware as a service.
Сегодня почти весь софт работает по подписке: Google Docs, Zoom, Figma. Вы платите не за продукт, а за сервис. Это удобно: ничего не надо устанавливать, обновления ставятся сами, а доступ есть с любого устройства. Но есть и минусы: зависимость от разработчика, риск утечки данных и высокая стоимость.
На той же логике появилась модель RaaS — ransomware as a service, «вымогательство как сервис». Оператор пишет вредонос и делает платформу, а «партнеры» арендуют набор инструментов и атакуют жертв. Даже без технических знаний можно запускать атаки и зарабатывать на выкупах.
Заражение начинается незаметно: вредонос шифрует файлы и «меняет замок» — ключ известен только преступникам. Чтобы вернуть доступ, жертве предлагают заплатить в криптовалюте. Но гарантий нет: диск могут так и не расшифровать или просто стереть.
Подписка на RaaS стоит от 40 долларов до нескольких тысяч. Есть и вариант оплаты процентом с выкупа. В «пакет» входят техподдержка, форумы, обновления — все как у легальных облачных сервисов. Разработка с нуля стоит миллионы, а тут — готовое решение.
В 2016 году появился Cerber. Автор поддерживал код, а «партнеры» распространяли заражения и делились выкупом. Обычно требовали 1 биткойн (тогда меньше 500 долларов). В 2016 году на выкупах заработали около миллиона долларов — по нынешним ценам это сотни миллионов.
В 2018-м в лидеры вышла GandCrab. Они сделали полноценную экосистему: партнерскую программу, удобную админку, техподдержку, онбординг для «новичков». По их словам, общий доход «партнеров» превысил два миллиарда долларов. После закрытия часть команды перешла в REvil, а затем — в DarkSide, атаковавших американский трубопровод.
К 2020-м спецслужбы научились отвечать. В 2023 году Минюст США «взломал взломщиков» BlackCat и раздавал бесплатные дешифраторы. В 2024-м спецслужбы 10 стран провели операцию против LockBit, уничтожив инфраструктуру. Но RaaS продолжает работать и развиваться.
В 2025-м самой активной группой признан Qilin: 101 атака за квартал. Они не только шифруют данные, но и предоставляют партнерам юридические консультации и пиар-поддержку, чтобы сильнее давить на жертв. Anubis пошел дальше: их софт умеет стирать файлы, если выкуп не платят вовремя.
Хакерам выгоднее атаковать бизнес и инфраструктуру: там есть деньги. Известен случай, когда GandCrab подарили сирийцу бесплатный ключ восстановления — у него зашифровали фото погибших детей, но он не мог заплатить. В итоге преступники решили искать «рыбу покрупнее».
Угроза есть и для обычных пользователей. Чтобы снизить риски:
- Делайте резервные копии файлов.
- Ставьте обновления ОС и программ.
- Не выключайте встроенный антивирус.
- Проверяйте дешифраторы на сайте NoMoreRansom.org.