Турецкая группировка: 6 лет ransomware-атак на малый бизнес доказывают, что мелкая игра окупается

Шесть лет — это вечность в сфере информационной безопасности. Большинство ransomware-группировок не выживают и шести месяцев, прежде чем правоохранители снесут их двери. Тем не менее, кто-то с 2020 года атакует турецкие малые предприятия и домашние компьютеры, требуя выкупы в $200-400, и никто не замечал этого до текущей недели.

Цифры рассказывают историю, которую должен услышать каждый руководитель платформы: согласно Dark Reading, отчет Verizon о расследовании утечек данных за 2025 год показал ransomware в 88% инцидентов с МСБ против всего 39% в крупных организациях. Это не опечатка. Малые предприятия получают удары более чем в два раза чаще корпораций, в то время как поставщики безопасности продолжают предлагать инструменты, разработанные для SOC компаний из Fortune 500.

Цифры

Давайте поговорим о том, что означают шесть лет незаметной деятельности. Большинство ransomware-операций измеряют свой жизненный цикл кварталами, а не полудесятилетиями. REvil продержался два года. DarkSide получил три месяца до того, как Colonial Pipeline сделал их слишком "горячими". Эта турецкая операция пережила их всех, оставаясь скучной.

Требования выкупа варьируются от $200 до $400 за жертву. На первый взгляд это кажется мелочью в эпоху восьмизначных выкупов. Но посчитайте объемы. Атакуйте 100 целей в месяц при среднем выкупе $300, и вы получите $360,000 в год. Это устойчивый доход без внимания СМИ и минимального интереса правоохранительных органов.

Само вредоносное ПО представляет собой кастомный вариант Adwind RAT, инструмента удаленного доступа на базе Java, который существует с 2012 года. Никаких zero-day уязвимостей. Никакой сложности на уровне государств. Просто коммерческое вредоносное ПО с ransomware-плагином под названием "JanaWare". Операция проверяет настройки турецкого языка и IP-геолокацию перед выполнением, намеренно ограничивая зону поражения.

Моя точка зрения: это то, как выглядит устойчивая киберпреступность. Не громкие взломы, которые попадают в заголовки, а методичное извлечение прибыли из легких целей. Сантьяго Понтироли из подразделения исследования угроз Acronis попал в точку: "Атаки на крупные предприятия привлекают внимание СМИ и давление правоохранителей, тогда как о мелких инцидентах часто не сообщают".

Технический стек отражает эту философию. Вредоносное ПО отключает Microsoft Defender, блокирует обновления Windows, подавляет уведомления безопасности и устраняет варианты восстановления. Стандартные приемы, которые работают, потому что большинство МСБ работают с настройками по умолчанию. Не нужна сложная маскировка, когда у ваших целей нет EDR.

Эти 88% взломов МСБ с ransomware против 39% для крупных организаций — не просто статистика. Это обвинительный акт тому, как мы построили индустрию безопасности. Мы оптимизировали защиту для топ-5% организаций, оставляя остальные 95% защищаться потребительским антивирусом и надеждой на удачу.

Что действительно новое

Новизна не в вредоносном ПО. Варианты Adwind RAT перерабатывались больше раз, чем я видел кластеры MongoDB, открытые в интернет. Новое — это доказательство того, что охота на мелкую дичь работает в масштабе, когда вы к этому привержены.

Предыдущие предположения утверждали, что экономика ransomware толкает операторов к более крупным целям. Зачем собирать выкупы по $300, когда можно требовать $3 миллиона? Эта кампания доказывает, что противоположная стратегия имеет перспективы. Понтироли объясняет это хорошо: "Легче скомпрометировать мелких жертв, используя масштабируемые техники как фишинг, у них обычно слабая защита, и они часто более склонны быстро платить".

Географический фокус представляет еще одно отличие от стандартных ransomware-операций. Большинство групп забрасывают широкие сети, используя партнерские модели для атак на цели глобально. Эта операция строго нацелена на Турцию, проверяя как IP-локацию, так и языковые настройки системы перед развертыванием. Это не техническое ограничение; это операционная дисциплина.

Неудобная интерпретация: эта кампания преуспела именно потому, что избегала инноваций. Пока поставщики безопасности гонятся за угрозами на базе ИИ и zero-day эксплойтами, кто-то доказал, что можно управлять шестилетней операцией с 14-летним вредоносным ПО, если правильно выбрать цели. Это должно ужасать каждого CISO, который фокусировался на продвинутых постоянных угрозах, игнорируя базовую гигиену.

Сам механизм постоянного присутствия рассказывает историю. Вредоносное ПО просто регистрирует себя для запуска при старте системы. Никаких руткитов. Никаких имплантов в прошивке. Просто добавляет себя в реестр Windows, как в 2010 году. И это работало шесть лет, потому что у МСБ нет команд безопасности, проверяющих автозапуск.

Что уже заложено в планах команд безопасности

Команды безопасности в крупных предприятиях уже знают, что МСБ — легкие цели. Это было общепринятой мудростью с незапамятных времен. Что не заложено — это масштаб и устойчивость исключительного фокуса на этом рыночном сегменте.

Большинство моделей угроз предполагают, что атакующие переходят от мелких целей к крупным по мере созревания. Эта кампания шесть лет делала противоположное. Они нашли прибыльную нишу и остались там, невидимые для лент аналитики угроз, которые фокусируются на охотниках за крупной дичью.

Использование вредоносного ПО на базе Java было предсказуемо. Кроссплатформенная совместимость важна, когда вы атакуете разнообразные среды МСБ. Что не было предсказуемо — это то, что кто-то использует один и тот же базовый набор инструментов шесть лет без расширения функций. Большинство авторов вредоносного ПО не могут удержаться от добавления возможностей. Эта группа сохранила дисциплину.

Риски цепочки поставок — это аспект, о котором никто не говорит. Понтироли намекает на это: "Даже при нацеливании на мелкие организации могут быть последующие эффекты, особенно если эти организации являются частью цепочки поставок или предоставляют услуги другим". У каждого предприятия есть десятки мелких поставщиков с VPN-доступом. Сколько из них работают на Windows с турецким языком и отключенными обновлениями?

Альтернативная точка зрения

Вот что все упускают: может быть, дело не в том, что МСБ — легкие цели. Может быть, дело в том, что предприятия стали невозможными целями.

Стоимость взлома правильно защищенного предприятия взлетела до небес. EDR, SIEM, команды SOC, охота на угрозы, архитектуры нулевого доверия. Защитный стек компании из Fortune 500 обнаружил бы этот вариант Adwind за минуты. Экономика больше не работает, если вы не финансируетесь государством или не попадаете в джекпот киберстрахования.

Эта турецкая операция может представлять будущее ransomware: устойчивое, скучное, прибыльное. Как email-спам, это работает в объеме с крошечными маржами. Индустрия продолжает готовиться к Stuxnet 2.0, упуская то, что киберпреступность становится объемным бизнесом.

Шестилетний период также может быть преувеличен. Acronis говорит, что кампания "возможно, тихо работает с 2020 года как минимум". Это осторожные формулировки. Мы можем смотреть на множественные операции, использующие схожие инструменты, а не на одного постоянного актора. Турецкий фокус может быть случайным кластерингом, а не стратегическим выбором.

Ключевые выводы

• Объем побеждает ценность: выкупы $200-400 по сотням МСБ генерировали устойчивый доход 6 лет без привлечения внимания правоохранителей
• 88% взломов МСБ включают ransomware против 39% в крупных предприятиях (Verizon 2025 DBIR). Ваши поставщики в цепочке поставок почти наверняка скомпрометированы
• Географический фокус работает: ограничение целей только Турцией избежало международного внимания и усложнило атрибуцию
• Скучное вредоносное ПО выживает: 14-летние варианты Adwind RAT все еще работают против организаций без команд безопасности
• У индустрии безопасности проблема с МСБ: инструменты и аналитика угроз фокусируются на корпоративных угрозах, пока 95% бизнесов работают на Windows Defender и надежде

Для команд безопасности сообщение ясно: сначала проверьте самых мелких поставщиков в вашей цепочке поставок. Для МСБ, читающих это: если вы работаете с настройками безопасности Windows по умолчанию, вы уже скомпрометированы. Вы просто пока этого не знаете.