Кибер-шантаж изнутри: как расследуют атаки ransomware и находят вымогателей

Среднестатистический сотрудник службы ИБ узнаёт о ransomware-атаке в три часа ночи – по звонку дежурного. На экране уже не файлы, а красивые обои с биткоин-адресом и обратным таймером. Добро пожаловать в самый прибыльный сегмент киберпреступности: в 2025 году зафиксировано более 7 000 инцидентов с шифровальщиками в мире, а атаки на IT-сектор удвоились год к году. В Q1 2026 активность держится на «устойчивом новом нормальном» уровне – Qilin, Akira, LockBit-наследники никуда не делись.

Сейчас расскажу, как оно работает изнутри: как строится расследование, как находят авторов и где они всё равно ошибаются.

Анатомия современной атаки

Прежде чем искать виновных, нужно понять, что произошло. Современный ransomware – это не «пришёл, зашифровал, ушёл». Это многоэтапная операция с чёткой воронкой:

1. Initial Access – фишинг, эксплойт уязвимостей (чаще всего VPN-устройства: в 2025 году Akira буквально «ехала» на дырках в SonicWall SSL VPN)
2. Reconnaissance & Lateral Movement – тихое изучение сети, сбор учётных данных, продвижение к домен-контроллеру
3. Data Exfiltration – воруют данные до шифрования (тактика «тройного вымогательства»: «Заплати – иначе зашифруем, и данные сольём, и клиентов уведомим»)
4. Deployment – запуск шифровальщика, уничтожение теневых копий, оставление ransom note
5. Extortion – требование выкупа, дедлайн, сайт публикации утечек в даркнете

Понимание этой цепочки критически важно для расследования: каждый этап оставляет следы, и каждый след – это потенциальная точка атрибуции.

Форензика на месте преступления

Получив доступ к скомпрометированной инфраструктуре, следователь работает с несколькими уровнями артефактов.

Системные артефакты

• Event Logs (Windows) – Event ID 4624/4625 (входы/неудачные авторизации), 4688 (создание процессов), 7045 (установка новых сервисов). Часто операторы чистят логи, но не всегда успевают: SIEM мог уже отправить их в облако
• Prefetch / AmCache / Shimcache – следы запуска исполняемых файлов даже после удаления бинарников
• VSS (Volume Shadow Copies) – если их не успели убить, можно восстановить файлы до шифрования
• MFT ($MFT) – таблица файловой системы NTFS. Даже удалённые файлы оставляют в ней следы с временны́ми метками

Сетевые артефакты

Анализ PCAP, NetFlow или DNS-логов (если они сохранились) позволяет восстановить карту lateral movement: какой хост к какому обращался, на каких портах, в какое время. Ключевые признаки: аномальные SMB-соединения, обращения к C2 через нестандартные порты, DNS-запросы к «молодым» доменам (зарегистрированным за 24–48 часов до атаки).

Анализ малвари

Образец шифровальщика – это золото. С него снимают:

• Строки и конфигурация: зашитые адреса C2, имена мьютексов, исключённые директории – всё это тактические «отпечатки»
• Компиляционные метаданные: временная зона компилятора, язык интерфейса разработчика
• Техники уклонения (TTPs по MITRE ATT&CK): как именно обходится UAC, как удаляются теневые копии – разные группы делают это по-разному

Атрибуция: как находят вымогателей

Атрибуция – самый сложный и самый интересный этап. Здесь форензика превращается в OSINT с элементами разведки.

TTPs как цифровая подпись

Каждая группировка имеет «почерк». Конкретные способы горизонтального перемещения, любимые инструменты (Cobalt Strike vs. Brute Ratel), схемы именования файлов-вымогалок, тексты ransom note – всё это сравнивается с базами данных Threat Intelligence. Аналитики составляют матрицу совпадений и с высокой вероятностью говорят: «Это Qilin, а не Akira».

Блокчейн-трейсинг: деньги не лгут

Криптовалюта – любимый инструмент вымогателей и главная ошибка большинства из них. Расследователи применяют:

• Address Clustering – группировка адресов, которыми управляет одна сущность, на основе паттернов транзакций
• Visualization via Graph Analysis – инструменты вроде Chainalysis, Elliptic, TRM Labs строят граф движения средств от жертвы до точки обналичивания
• Cash-out Point Identification – рано или поздно средства попадают на централизованную биржу (CEX), где требуется KYC. Это и есть конец цепочки

Именно так был прослежен один из крупнейших выкупов в истории (атака на Colonial Pipeline, 2021): 75 биткоинов были изъяты ФБР через отслеживание блокчейна до горячего кошелька с известным ключом.

Операционные ошибки хакеров

Вот чего не стоит делать, если ты оператор ransomware – но именно это они и делают:

• Использовать один и тот же биткоин-адрес в нескольких атаках (кластеризует всю активность)
• Хостить панели управления (RaaS-платформы) на VPS с плохо настроенной OPSEC
• Общаться в Telegram/форумах с одними и теми же никнеймами, что и в «легальных» сферах
• Зарегистрировать домен на реальный email

Именно провалы в OPSEC привели к Операции Кронос (февраль 2024): Europol и NCA совместно с ФБР получили контроль над 34 серверами LockBit, 200+ криптокошельками и 14 000 адресами электронной почты участников группировки.

Инструментарий следователя

Реальный расклад в 2026 году

Группировки эволюционируют быстрее, чем обновляются защитные инструменты:

• AI-powered ransomware – злоумышленники начали применять LLM для автоматической генерации фишинговых кампаний, адаптированных под конкретную жертву
• RaaS-модель зрелая и устойчивая: разработчики кода, аффилиаты-операторы, брокеры начального доступа (IAB) – разделение труда, как в нормальном IT-бизнесе
• Эксфильтрация без шифрования – новый тренд: зачем шифровать, если угроза публикации данных и так работает?

Расследование ransomware в 2026 году – это уже не просто форензика одного сервера. Это международная координация, блокчейн-аналитика, разведка в даркнете и гонка с командой профессионалов, которые зарабатывают на этом миллионы. Проигрывать в ней неприятно. Поэтому учитесь быстрее, чем они успевают придумывать новые трюки. 🔍