За последние пару лет рынок ransomware сильно поменялся. Если раньше многие представляли взлом как какой-то сложный эксплойт, zero-day или «киношную» атаку через вирус, то сейчас всё куда банальнее — и опаснее одновременно.

Большая часть вторжений в 2026 начинается вообще без эксплойтов. Просто через обычный логин и пароль.

По данным CrowdStrike, ещё в 2024 году около 75% атак использовали валидные учётные данные. IBM X-Force тоже фиксировали резкий рост атак через compromised credentials. Для многих SOC-команд это стало отдельной проблемой: отличить реального сотрудника от злоумышленника становится всё сложнее.

Потому что выглядит это максимально легитимно:
— успешный вход в VPN,
— авторизация в Outlook,
— подключение через RDP,
— MFA уже пройден,
— антивирус молчит,
— бинарников нет.

А потом оказывается, что доступ куплен у инфостилера или через брокера initial access.

Сейчас в даркнете ежедневно сливаются тысячи свежих логинов:
— корпоративные VPN,
— Citrix,
— RDP,
— Google Workspace,
— Microsoft 365,
— панели хостинга,
— доступы к внутренним админкам.

И вокруг этого уже давно вырос отдельный рынок.

Обычно схема выглядит так:

• Initial Access Broker получает доступ в сеть компании и продаёт его дальше. Цена зависит от размера компании и уровня доступа. Иногда доступ в среднюю европейскую компанию могут продать дешевле хорошего смартфона.

• Аффилиат покупает этот доступ, двигается по сети, ищет бэкапы, домен-контроллеры, файловые сервера и готовит инфраструктуру под шифрование.

• Оператор ransomware поддерживает саму платформу: билдеры, панель, DLS, инфраструктуру для переговоров и публикаций. С выкупа он получает свой процент.

Из-за такой модели сейчас уже сложно говорить о какой-то «фирменной» атаке конкретной группировки. Один и тот же ransomware-бренд может использоваться совершенно разными людьми с разными TTP.

Именно поэтому в 2026 threat intelligence всё чаще смотрит не на название шифровальщика, а на поведение аффилиатов:
— как двигаются по сети,
— какие тулзы используют,
— как закрепляются,
— что делают перед эксфильтрацией,
— какие логи чистят,
— как обходят EDR.

После утечек внутренних чатов Black Basta и развала нескольких крупных RaaS-проектов рынок вообще стал максимально фрагментированным. Многие аффилиаты просто разошлись по другим группировкам или ушли в приватные Telegram-комьюнити.

Из-за этого порог входа в ransomware сейчас ниже, чем несколько лет назад. Некоторые вещи уже продаются буквально «под ключ»:
— доступ,
— криптор,
— панели,
— DLS,
— инструкции,
— саппорт,
— даже готовые шаблоны переговоров с жертвами.

Интересно, что модель «просто украсть данные и угрожать сливом» начала работать хуже. Многие группировки снова возвращаются именно к шифрованию инфраструктуры, потому что зашифрованные сервера и остановка бизнеса давят на компанию намного сильнее, чем публикация файлов.

Особенно если речь идёт про:
— производство,
— логистику,
— медицину,
— финансы,
— гостиничный бизнес,
— университеты.

Отдельная проблема — compliance и регуляторы. Для европейских компаний утечка теперь означает не только репутационные потери, но и потенциальные штрафы по GDPR. А в некоторых странах начали серьёзно ужесточать ответственность за повторные утечки персональных данных.

В итоге главный вывод последних лет довольно простой:
сейчас самая опасная «уязвимость» — это уже не zero-day, а обычная учётка сотрудника с украденным паролем.