Броят на рансъмуер атаките за първите шест месеца на 2025 г. се е увеличил със 179% спрямо същия период на 2024 г., сочат нови данни.
През изминалата година се наблюдава значителен смяна на „играчите“ на тази арена. Имена, които доскоро се възприемаха като страховити – такива като LockBit и ALPHV/BlackCat – вече не са силите, които някога бяха.
През изминалата година е налице и завой сред някои участници в рансъмуер и нападения с изнудване без криптиране. При такива атаки системите на жертвата се атакуват по обичайния начин – обикновено чрез социално инженерство или незакърпена софтуерна уязвимост – и данните им се крадат, но дори не се криптират.
Този вид атака се превръща в значителна заплаха, защото драстично намалява бариерите за навлизане от техническа гледна точка. Спестява време и усилия на „операторите“ на рансъмуер. Тази тенденция набра скорост през 2024 г. и не показва признаци на изчезване.
„Много групи изглежда предпочитат чистото изнудване. Групите за рансъмуер традиционно криптират файлове, преди да ги измъкнат, после искат пари както за ключа за декриптиране, така и за предотвратяване на изтичането на данни“, каза екипът на FlashPoint, която разкри шокиращата статистика.
„[Въпреки това] групи за изнудване като World Leaks, известен преди като Hunter’s International, изискват откупи без криптиране. Освен това RansomHub от време на време използва тази тактика, както и нововъзникващи групи като Weyhro“, казаха анализаторите.
Междувременно генеративният изкуствен интелект (GenAI) също вече се използва активно от някои нападатели – макар и не много банди, отново като средство за облекчаване на „труда“. С него рансъмуер нападателите си решават някои от по-тежките задачи, с които се сблъскват, като например разработването на фишинг-шаблони.
Към момента все още малко известни оператори използват големи езикови модели (LLM) в своите инструменти, но Funksec, който се появи в края на 2024 г. и може би е участвал в разработването на модела WormGPT, навярно е сред тези, които си струва да се наблюдават. „Възможно е и други групи да интегрират използването на LLM или чатботове в своите дейности“, каза екипът на FlashPoint.
Други оперативни и технически промени, наблюдавани в последно време, включват нарастващ брой атаки, при които бандите, използващи рансъмуер, „рециклират“ предишни жертви на рансъмуер от други групи, като данните често се появяват в други форуми дълго след самото събитие.
Най-активните участници в рансъмуер атаките, наблюдавани през първите шест месеца на 2025 г., са Akira, която е извършила 537 атаки, Clop/Cl0p с 402, Qilin с 345, Safepay Ransomware с 233 и RansomHub с 231.
Има обаче няколко други групи, които си струва да се наблюдават. По отношение на жертвите на рансъмуер атаките, организациите в Съединените щати продължават да бъдат най-често атакувани.
Там са се разгърнали 2160 атаки, проследени от FlashPoint. С това САЩ „изпреварва“ с голяма разлика втората най-атакувана държава Канада – с 249 атаки. FlashPoint е проследила 154 атаки в Германия и 148 във Великобритания, следвани от Бразилия, Испания, Франция, Индия и Австралия.
Производственият и технологичният сектор изглежда осигуряват най-сочните печалби за бандите, занимаващи се с рансъмуер. Тези два сектора формират 22% и 18% от всички атаки, следвани от търговията на дребно с 13%, здравеопазването с 9% и бизнес услугите и консултантските услуги с 8%.
