Сезонният скок в злонамерената киберактивност, съчетан със съюзи между групите за рансъмуер, е довел до 41% увеличение на онлайн атаките между септември и октомври, сочи статистика на изследователи в сферата на киберсигурността.
Киберпрестъпната група Qilin продължава да бъде най-активният разпространител на рансъмуер, отговорна за 170 от 594 атаки (29%) през октомври. Sinobi и Akira следват с 15% от атаките с рансъмуер, закръглявайки класацията на трите най-активни групи за рансъмуер през октомври 2025 г., по данни на NCC Group.
Увеличаването на атаките с рансъмуер следва няколко месеца на относителна стабилност в броя на атаките – от април до август. Даже имаше известен спад между април и юни.
Инерцията се ускорява
Активността на кибербандитите обаче започна да се засилва в края на лятото в Северното полукълбо. През септември се регистрира 28% месечно увеличение – инерция, която сега се ускори до пика през октомври, съобщава NCC.
Октомврийският скок показва, че кибербандите се активизират си преди периода, който обикновено е най-активният и най-плодотворният за киберпрестъпниците. „Четвъртото „златно тримесечие“ на годината е с пикови потребителски разходи покрай Черен петък, Кибер понеделник и Коледа, което предоставя по-големи възможности за злонамерените лица“, коментираха от NCC.
Статистиката на NCC Group е получена от активно наблюдение на местата за изтичане на информация, предпочитани от всяка група за рансъмуер. От 594 атаки през октомври, индустриалният сектор остава най-апетитният целеви бранш, с 28% (167) от всички атаки.
Потребителският сектор (който включва производители на автомобили, търговски обекти и съоръжения за отдих) е претърпял 124 атаки. Здравеопазването се измества на трето място с 64 атаки.
Северна Америка е най-силно засегната от рансъмуер атаки. Тя е обект на над половината от нападенията (62%), доста повече в сравнение с Европа (17%) и Азия (9%).
Годишно проучване на Guidepoint Security пък установи 57% увеличение на активните групи за рансъмуер на годишна база. В същото време броят на жертвите на киберизнудванията се е стабилизирал на приблизително 1500-1600 на тримесечие от четвъртото тримесечие на 2024 г., според данни на Guidepoint.
Съюзи на бандите
Нови играчи и съюзи между групи за рансъмуер са допринесли за общото увеличение на атаките през октомври, казват анализаторите. Например, новостартираната група LockBit 5.0 се обедини с други известни групи за „рансъмуер като услуга“ (RaaS) – DragonForce и Qilin.
Съюзите между групите позволяват споделянето на инструменти, инфраструктура и тактики, за да направят атаките си по-ефективни.
„Обединението на LockBit, DragonForce и Qilin комбинира техническа експертиза, ресурси и инфраструктура, създавайки мрежа, способна да поддържа мащабни рансъмуер операции, като същевременно усложнява атрибуцията и реакцията за организациите и правоприлагащите органи“, според NCC.
Тези свободни съюзи биха могли да действат и като инструмент за набиране на партньори. „Партньорството вероятно е насочено и към възстановяване на репутацията на LockBit в общността на киберпрестъпниците, за да увери партньорите в продължаващата актуалност на групата и нейния оперативен капацитет след прекъсванията през 2024 г.“, добавя NCC.
Наред с това обаче има и изцяло нови участници в пейзажа – например групата за рансъмуер The Gentlemen. Те нахлуха в бизнеса с киберзаплахи с 21 твърдения за атаки срещу здравни, финансови и ИТ фирми, наред с други.
„Част от причината да виждаме повече групи за рансъмуер и техните варианти е все по-ниската техническа бариера за навлизане в света на киберпрестъпленията“, според NCC. „Участниците в хакерските атаки с ниски нива на техническа сложност са в състояние да провеждат ефективни кампании без проблем.“
Нови тактики
Последното тримесечно проучване на Rapid7 също така установи, че новосъздадените съюзи водят до скок в активността на рансъмуер. Същевременно има и тактически иновации, от усъвършенствано изнудване до двойно изнудване и използване на zero-day, а те също играят роля в увеличените злоупотреби.
През тримесечието са регистрирани 88 активни групи за рансъмуер, в сравнение с 65 през второто тримесечие и 76 през първото тримесечие. Това говори за увеличаване на активността и подчертава променящата се форма на една трескава среда на заплахи.
Групи като Qilin, SafePay и WorldLeaks поведоха вълна от съюзи, насочени към индустрии като бизнес-услуги, производство и здравеопазване, съобщава Rapid7.
Същите тези групи започнаха да експериментират с безфайлови атаки, изтичане на данни за единично изнудване и предлагане на партньорски услуги, като например помощ при договаряне на откуп, при която по-старши член на групата си партнира с по-малко опитен играч, за да изнуди жертвата.
Фирмата за реагиране при инциденти с кибер-изнудване Coveware съобщава, че компрометирането на отдалечен достъп, фишингът, социалното инженерство и експлоатацията на софтуерни уязвимости остават в основата на успеха на кибератаките. Разграниченията между всички тези методи обаче са все по-размити.
„Нападателите все по-често получават достъп не само като влизат в система, но и като убеждават някой друг да им го осигури“, обяснява Coveware. „Кампаниите размиват границите. В някои случаи [кибернападателите] се представят за екипи за поддръжка на SaaS или злоупотребяват с процесите на бюрото за техническа помощ, за да получат оторизация. Това показва как човешкото доверие може да се превърне в техническа опора“.
Проучване на Coveware за рансъмуер за третото тримесечие на 2025 г. идентифицира Akira и Qilin като двата най-известни варианта на рансъмуер, които се разпространяват. Някои групи за рансъмуер се преименуват на организации, занимаващи се само с кражба на данни, като се отказват от криптирането на файлове като тактика за изнудване, добавя Coveware.
Засилване на мерките за киберсигурност
От началото на годината досега са идентифицирани над 200 варианта на рансъмуер, според Мат Хъл, ръководител на отдела за разузнаване на заплахите в NCC Group.
„Тъй като рансъмуер активността се ускорява и забележителните атаки продължават да причиняват сериозни икономически и оперативни смущения, бдителността е по-важна от всякога. Организациите трябва да използват този момент, за да засилят мерките си за сигурност и да тестват плановете си за реагиране при инциденти“, каза Хъл.
„Проактивното наблюдение, осведомеността на персонала и сигурните архиви остават ключови, докато навлизаме в пиковия сезон на заплахите за годината“, заключава той.
