75% взломов теперь идут через обычные логины и пароли — как изменился рынок ransomware в 2026
 

За последние пару лет рынок ransomware сильно поменялся. Если раньше многие представляли взлом как какой-то сложный эксплойт, zero-day или «киношную» атаку через вирус, то сейчас всё куда банальнее — и опаснее одновременно.

Большая часть вторжений в 2026 начинается вообще без эксплойтов. Просто через обычный логин и пароль.

По данным CrowdStrike, ещё в 2024 году около 75% атак использовали валидные учётные данные. IBM X-Force тоже фиксировали резкий рост атак через compromised credentials. Для многих SOC-команд это стало отдельной проблемой: отличить реального сотрудника от злоумышленника становится всё сложнее.

Потому что выглядит это максимально легитимно:
— успешный вход в VPN,
— авторизация в Outlook,
— подключение через RDP,
— MFA уже пройден,
— антивирус молчит,
— бинарников нет.

А потом оказывается, что доступ куплен у инфостилера или через брокера initial access.

Сейчас в даркнете ежедневно сливаются тысячи свежих логинов:
— корпоративные VPN,
— Citrix,
— RDP,
— Google Workspace,
— Microsoft 365,
— панели хостинга,
— доступы к внутренним админкам.

И вокруг этого уже давно вырос отдельный рынок.

Обычно схема выглядит так:

• Initial Access Broker получает доступ в сеть компании и продаёт его дальше. Цена зависит от размера компании и уровня доступа. Иногда доступ в среднюю европейскую компанию могут продать дешевле хорошего смартфона.

• Аффилиат покупает этот доступ, двигается по сети, ищет бэкапы, домен-контроллеры, файловые сервера и готовит инфраструктуру под шифрование.

• Оператор ransomware поддерживает саму платформу: билдеры, панель, DLS, инфраструктуру для переговоров и публикаций. С выкупа он получает свой процент.

Из-за такой модели сейчас уже сложно говорить о какой-то «фирменной» атаке конкретной группировки. Один и тот же ransomware-бренд может использоваться совершенно разными людьми с разными TTP.

Именно поэтому в 2026 threat intelligence всё чаще смотрит не на название шифровальщика, а на поведение аффилиатов:
— как двигаются по сети,
— какие тулзы используют,
— как закрепляются,
— что делают перед эксфильтрацией,
— какие логи чистят,
— как обходят EDR.

После утечек внутренних чатов Black Basta и развала нескольких крупных RaaS-проектов рынок вообще стал максимально фрагментированным. Многие аффилиаты просто разошлись по другим группировкам или ушли в приватные Telegram-комьюнити.

Из-за этого порог входа в ransomware сейчас ниже, чем несколько лет назад. Некоторые вещи уже продаются буквально «под ключ»:
— доступ,
— криптор,
— панели,
— DLS,
— инструкции,
— саппорт,
— даже готовые шаблоны переговоров с жертвами.

Интересно, что модель «просто украсть данные и угрожать сливом» начала работать хуже. Многие группировки снова возвращаются именно к шифрованию инфраструктуры, потому что зашифрованные сервера и остановка бизнеса давят на компанию намного сильнее, чем публикация файлов.

Особенно если речь идёт про:
— производство,
— логистику,
— медицину,
— финансы,
— гостиничный бизнес,
— университеты.

Отдельная проблема — compliance и регуляторы. Для европейских компаний утечка теперь означает не только репутационные потери, но и потенциальные штрафы по GDPR. А в некоторых странах начали серьёзно ужесточать ответственность за повторные утечки персональных данных.

В итоге главный вывод последних лет довольно простой:
сейчас самая опасная «уязвимость» — это уже не zero-day, а обычная учётка сотрудника с украденным паролем.

Да, такие утечки реально неприятны. Взломать могут любого сотрудника.

Ну да, теперь даже самый простой вход под чужим логином — и всё, доступ открыт, как будто ты сам там сидишь. Раньше думал, что нужна суперхакерская штука, а оказалось, достаточно просто нарваться на слитый пароль, и дело в шляпе. Вот только теперь защититься сложнее, потому что вроде и MFA, и антивирус, а кто-то всё равно просочится незаметно.

Вот и выходит, что весь хайп про супер-хаки можно выкинуть — просто пароль где-то спалили, и ты уже в пролёте, как будто по красной дорожке прошёл. Больше изучай пароли, меньше заморочек с эксплойтами. Взлом теперь как очередь в магазин: простой и массовый.

Абсолютно согласен, теперь всё сводится к простому компромату на учётку. Раньше за этим стояли сложные хакерские схемы, а сейчас — банальная утечка пароля, и всё. Вот только этот подход гораздо тяжелее отследить, поскольку злоумышленник выглядит как реальный пользователь. Именно поэтому защита становится всё более сложной, несмотря на MFA и кучу других барьеров.

Точно, теперь всё упирается в украденные пароли и валидные учётки. MFA вроде есть, но мошенники уже умеют обходить и это через социальную инженерию или скомпрометированные сессии. Вот представь, ты в сети, вроде всё легально, а в это время кто-то тихо ходит по внутренним ресурсам, собирает данные. Реально муторная тема — защита стала не просто про технологии, а про постоянный контроль и анализ поведения.

Честно говоря, ситуация с взломами через легитимные учётки не так однозначна, как кажется. Да, пароли сливаются, и MFA порой обходят, но это не значит, что вся защита бессмысленна. Просто акцент смещается на мониторинг активности, анализ подозрительных действий, а не только на технологии. Рынок ransomware даже поменялся, но от этого легче не стало — всё сложнее и мутнее.