Шантаж с использованием утечек данных: новый тренд 2026 года и как от него защититься
В марте 2026 года PT Security опубликовала отчёт с неожиданной цифрой: шантаж украденными данными вырос как отдельный вектор атаки и всё чаще применяется без шифрования инфраструктуры. Злоумышленники просто копируют данные — и предъявляют счёт.
Это меняет привычную модель угроз. Раньше главным страхом был ransomware: зашифровали серверы, бизнес встал, нужно платить или восстанавливаться из бэкапа. Теперь появилась схема неприятнее: данные скопированы, инфраструктура работает, бизнес не знает об инциденте неделями — а потом приходит письмо с требованием.
Как работает схема двойного и тройного вымогательства
Классическая схема. Злоумышленник получает доступ к инфраструктуре через скомпрометированные учётные данные или фишинг. Находит ценные данные: клиентские базы, финансовую документацию, переписку руководства. Скачивает. Затем либо шифрует серверы (двойное вымогательство: плати за расшифровку и за неразглашение), либо только угрожает публикацией.
Схема с клиентами. Третья волна вымогательства — прямые угрозы в адрес клиентов компании. Злоумышленник пишет не только в корпорацию но и каждому клиенту из украденной базы: «ваши данные у нас». Это создаёт давление с двух сторон одновременно.
Схема с регулятором. Самая изощрённая версия. Злоумышленник угрожает не только публикацией но и уведомлением Роскомнадзора об утечке — с приложением доказательств. Для компании это означает гарантированный штраф по ФЗ-420 плюс репутационные последствия. Заплатить вымогателю оказывается дешевле.
Почему учётные данные в центре этой схемы
Шантаж невозможен без данных. Данные невозможно украсть без доступа. Доступ в большинстве случаев получают через учётные записи сотрудников.
По данным BI.ZONE за первый квартал 2026 года, 54% атак на корпоративную инфраструктуру реализованы через легитимные учётные данные. Злоумышленник не взламывал ничего — он просто зашёл под паролем который уже знал.
Откуда берутся эти пароли? Три основных источника. Инфостилеры извлекают сохранённые пароли из браузеров на устройствах сотрудников. Базы публичных утечек содержат пары логин-пароль от сервисов где сотрудники использовали корпоративный email. Фишинг заставляет сотрудников самостоятельно вводить пароли на поддельных страницах.
Что делает компанию уязвимой для шантажа
Широкие права доступа. Когда скомпрометированный аккаунт рядового сотрудника имеет доступ к полной клиентской базе — злоумышленник получает всё за один сеанс. Принцип минимальных привилегий напрямую ограничивает объём данных которые можно украсть через один аккаунт.
Пароли в браузерах. Инфостилер с одного устройства может дать доступ ко всем системам куда сотрудник когда-либо заходил через браузер. Централизованное хранилище вне браузеров убирает этот вектор.
Неотозванные доступы. Уволенный сотрудник с активным аккаунтом — готовый вектор для атаки. Либо злоумышленник компрометирует его устройство, либо сам бывший сотрудник решает воспользоваться забытым доступом.
Отсутствие мониторинга экспорта. Данные крадут не мгновенно. Злоумышленник проводит в инфраструктуре дни и недели, методично скачивая нужное. Уведомление при любом факте экспорта позволяет обнаружить это до того как объём похищенного стал критическим.
Как снизить вероятность шантажа: технические меры
Убрать пароли из браузеров. Корпоративный менеджер паролей с браузерным расширением подставляет пароль при входе, не сохраняя его в хранилище браузера. Инфостилер с устройства получит пустой файл вместо сотен учётных записей.
Настроить RBAC по принципу минимальных привилегий. Каждый сотрудник видит только данные нужных ему систем. Скомпрометированный аккаунт менеджера не даёт доступ к инфраструктурным паролям. Скомпрометированный аккаунт разработчика не открывает клиентскую базу.
В BearPass это настраивается через папки и группы пользователей. Маппинг из Active Directory — права назначаются автоматически при добавлении сотрудника в группу.
Мониторинг скомпрометированных паролей. По данным DLBI, после попадания корпоративных учётных данных в публичную базу попытки взлома начинаются через три дня. Мониторинг через HaveIBeenPwned в BearPass обнаруживает это в момент появления в базе.
Автоуведомления при экспорте. Модуль «Правила» в BearPass позволяет настроить мгновенное уведомление администратора при любом факте экспорта данных. Ненормальный паттерн — массовое скачивание из нескольких папок за короткое время — становится виден немедленно.
Kill Switch при увольнении. Один клик завершает все сессии пользователя на всех устройствах одновременно. Синхронизация с AD делает это автоматически. Уволенный сотрудник теряет доступ в момент разговора об увольнении, а не через несколько дней.
Что делать если шантаж уже начался
Это важный вопрос, и ответ на него неоднозначный.
Платить или нет — решение которое каждая компания принимает самостоятельно с учётом юридических консультантов. Международная практика показывает: оплата не гарантирует что данные не будут опубликованы или проданы снова.
Что точно нужно сделать независимо от решения о выкупе:
Немедленно уведомить Роскомнадзор. Если данные похищены — это утечка персональных данных. 24 часа на первичное уведомление. Опоздание добавляет отдельный штраф до 3 млн рублей поверх основного.
Сохранить все доказательства. Переписку с вымогателями, данные о точке входа в инфраструктуру, журнал событий за период предполагаемого проникновения. Это доказательная база для правоохранителей и для суда при возможном штрафе.
Немедленно сменить все скомпрометированные пароли. Даже если злоумышленник угрожает — активный доступ к инфраструктуре нужно закрыть. Kill Switch, смена всех паролей к которым мог иметь доступ скомпрометированный аккаунт, полный аудит прав.
Обратиться в правоохранительные органы. В России действует ФСБ (через НКЦКИ) и МВД. Факт вымогательства — самостоятельный состав уголовного преступления.
Итог
Шантаж украденными данными стал самостоятельным вектором атаки в 2026 году. Его привлекательность для злоумышленников в том, что данные копируются тихо и долго — а угроза сохраняется даже после восстановления инфраструктуры.
Защита строится до инцидента: пароли вне браузеров, минимальные привилегии, мониторинг скомпрометированных учётных данных, уведомления при экспорте. Компания которая видит аномальную активность в момент её возникновения — успевает отреагировать до того как объём похищенного стал критическим.