Глобалните рансъмуер атаки са намалели до 635 инцидента през февруари, което е с 8% по-малко от януари, сочи актуално проучване на NCC Group. Въпреки това, данните показват резки промени между отделните групи заплахи.
Кибератаките, приписвани на бандата CL0P, са се увеличили със 72% между януари и февруари, докато активността, свързана с The Gentlemen, се е увеличила с 97% за същия период, отбелязват анализаторите.
Qilin остава най-активният участник в рансъмуер „бизнеса“ през февруари, въпреки спада от 12% на месечна база. Групата е отговорна за 15% от всички регистрирани инциденти. Akira също бележи спад – атаките ѝ са намалели с 38% спрямо януари.
Въпреки общия спад, данните говорят за пазар на рансъмуер, който продължава да се променя бързо, тъй като групите набират или губят инерция месец след месец.
На годишна база общият брой атаки за февруари е с 42% по-нисък от същия месец година по-рано. Това сравнение обаче е изкривено от необичайно високите обеми през февруари 2025 г., когато бяха регистрирани 1099 атаки, след като групови списъци от CL0P доведоха до скок в публикуваните инциденти.
Индустриалният сектор остава най-целевата част от икономиката, като привлича 31% от атаките с рансъмуер през февруари, според анализа на NCC Group. От гледна точка на географията, Северна Америка е основният регионален фокус с 52% от атаките, следвана от Европа с 21%.
Промени в заплахите
Една от по-забележителните промени в последните данни беше появата на бандата The Gentlemen сред трите най-активни групи. Това подчертава как по-новите участници могат да се развихрят бързо, дори когато по-големият брой инциденти намалява.
Докладът също така подчертава няколко атаки и уязвимости, които оформят пейзажа на заплахите през месеца. Римският университет La Sapienza беше засегнат от атаката BabLock, свързана с руската киберпрестъпна група Femwar02. Набегът наруши работата на основните ИТ системи в продължение на дни.
Румънският петролен оператор Conpet беше мишена на Qilin при инцидент, който засегна части от технологичната му инфраструктура и събори уебсайта му.
Наред с това бяха открити нападатели, които експлоатират критична уязвимост за отдалечен достъп на BeyondTrust, за да получат неоторизиран контрол, да внедрят злонамерени инструменти и да извършват прониквания, свързани с рансъмуер.
Нов вариант
NCC Group също така обърна внимание на Reynolds, новоидентифициран вариант на рансъмуер, който се появи през февруари. Изследователите заявиха, че зловредният софтуер използва уязвим драйвер за Windows, за да деактивира инструментите за сигурност, преди да криптира системите.
Публичното отчитане на дейността на групата остава ограничено, като на сайта за изтичане на информация е посочена една жертва – Falcon Management. Въпреки това подходът се откроява, защото елементът за избягване на защитата е вграден в основния полезен товар на рансъмуера, а не е внедрен като отделен инструмент.
Този дизайн може да съкрати веригата на атаките и да намали времето, което защитниците трябва да реагират, преди да започне криптирането.
Рискове от конфликти
Освен броя на рансъмуер инцидентите, докладът свързва картината на киберзаплахите с по-нестабилната геополитическа среда. В него се посочва ескалиращото напрежение между САЩ, Израел и Иран.
Друг геополитически факто е натискът върху свързаните с Китай операции в пристанищата на Панамския канал. Тези събития вероятно ще увеличат риска от шпионаж, репресии и политически мотивирана киберактивност.
Киберактивността, свързана с напрежението между Израел и Иран, включва разпределени атаки за отказ от услуга, обезобразяване на уебсайтове, преувеличени твърдения за нарушения и дезинформация, основана на изкуствен интелект. По-голямата част от нея е с голям обем, но с ограничено пряко оперативно въздействие.
NCC Group предупреди, че организациите с присъствие в Израел или с търговски или правителствени връзки с правителството на САЩ трябва да очакват повишен риск.
Инфраструктурите и компаниите, свързани със стратегически търговски пътища, могат да станат обект на кибератаки, които на пръв поглед изглеждат престъпни, но може да са продиктувани от геополитически мотиви.
