Ransomware (програми-вимагачі) сьогодні є однією з найнебезпечніших форм кібератак, особливо для бізнесу та державних установ. Суть атаки полягає у шифруванні даних жертви з подальшою вимогою викупу за ключ дешифрування.
Сучасні ransomware-групи працюють як повноцінні організовані структури. Найвідоміші сімейства включають LockBit, Cl0p та Black Basta. Вони використовують модель RaaS (Ransomware-as-a-Service), де розробники надають шкідливе ПЗ «партнерам», які здійснюють проникнення в мережі.
Технічно атака часто починається з експлуатації вразливостей у VPN-сервісах або RDP-доступі. Наприклад, слабкі облікові дані або незакриті CVE-вразливості в Fortinet або Citrix можуть стати точкою входу.
Після проникнення атакуючі використовують інструменти для lateral movement — переміщення всередині мережі. Часто застосовуються легітимні системні утиліти (living off the land), наприклад PowerShell, WMI або PsExec. Це дозволяє уникати антивірусного виявлення.
Перед шифруванням даних часто виконується етап ексфільтрації — викрадення інформації. Дані вивантажуються на зовнішні сервери через зашифровані канали, наприклад HTTPS або Tor. Це створює додатковий тиск на жертву через загрозу публікації даних (double extortion).
Сам процес шифрування зазвичай використовує гібридні алгоритми: AES для даних і RSA для ключів. Це робить відновлення даних без ключа практично неможливим.