Групите за рансъмуер са публикували рекордните 7458 посочени жертви в тъмната мрежа през 2025 г. Цифрата е с 30% по-висока от 2024 г. и показва по-бърз растеж на броя на жертвите в сравнение с предходната година.
Пазарът на рансъмуер изглежда става все по-натоварен: изследователите Searchlight Cyber са идентифицирали 124 активни групи за рансъмуер през годината, включително 73 нови банди.
Анализът се основава на публикации на сайтовете за “посрамване“ – често срещана тактика в схемите за двойно изнудване, при които нападателите комбинират криптиране със заплахи за публикуване на откраднати данни.
Броят на жертвите леко е спаднал през втората половина на годината, но общият брой за цялата година все пак е достигнал нов рекорд, в сравнение с предишните години.
Още групи
Налице са 93 активни групи само през втората половина на 2025 г., което е рекорд за шестмесечен период, казват изследователите. Те също така регистрираха 38 нови групи, появили се през полугодието. Тенденцията говори за постоянен приток на нови оператори и марки.
Групите за рансъмуер често се преименуват, разделят или сменят партньори след прекъсвания на дейността си, арести или вътрешни спорове. Това текучество може да увеличи броя на очевидните банди, дори когато има припокриване на персонала.
Годината показа устойчивост и адаптация в цялата екосистема, коментира Люк Донован, ръководител на отдела за разузнаване на заплахи в Searchlight Cyber.
Qilin на върха
Данните сочат Qilin като най-продуктивната група за рансъмуер по брой жертви през втората половина на 2025 г. – те официално са 697. Това представлява увеличение от 420% на годишна база, според Searchlight.
След Qilin се класира Akira с 384 жертви, следвана от IncRansom с 213, Sinobi със 180 и Play със 164. Класацията предполага променяща се подредба, като утвърдените имена са изправени пред яростна конкуренция от по-нови участници.
Възходът на Qilin през втората половина на годината последва обявената коалиция с Dragonforce и LockBit. Пиковете на успеха им са през октомври и декември.
Такива коалиции могат да включват споделени инструменти, достъп до компрометирани мрежи или съвместни процеси на преговори, въпреки че спецификите често остават непрозрачни за външни лица.
Изследването също така разкрива колко бързо напредват новите групи. Sinobi, описана като “новодошла”, влезе в челната петица в рамките на месеци след дебюта си.
Searchlight свързва това издигане с дисциплиниран модел на “раснъмуер като услуга“, при който едната страна управлява зловредния софтуер и инфраструктурата, докато филиалите извършват прониквания и споделят приходите.
Тенденция за сътрудничество
Освен отделните банди Searchlight наблюдава и появата на „супергрупи“, в които участниците в атаките обединяват специализирани умения. Като пример се посочва Scattered Lapsus$ Hunters.
Моделът помага на участниците да мащабират операциите си, като комбинират експертиза в областта на проникванията, зловредния софтуер и изнудването.
Докладът също така посочва използването на изкуствен интелект от престъпниците. Searchlight казва, че AI може да намали бариерите за навлизане, като автоматизира части от разработването на злонамерен софтуер и позволява персонализиране на социално инженерство.
Екипите по сигурност предупредиха, че по-убедителните примамки и по-бързите цикли на итерация могат да увеличат обема на опитите за компрометиране.
Риск за веригата на доставки
Searchlight говори за „експозиция в сянка“ в софтуера на трети страни като постоянна заплаха. Много организации разчитат на сложни вериги за доставки и аутсорсинг на технологични пакети, създавайки непреки пътища към своите вътрешни ИТ системи.
Злонамерените лица използват уязвимостите във веригата за доставки на софтуер по-бързо, отколкото циклите на коригиране могат да компенсират пробойните. Това може да остави организациите уязвими, дори когато собствените им системи са добре поддържани и подсигурени, защото сигурността зависи от времето за реакция на доставчиците и скоростта на внедряване на актуализации в клиентските среди.
Докладът отбелязва и ролята на първоначалните брокери на достъп – престъпници, които са специализирани в получаването на достъп до мрежи и продажбата на този достъп на други злонамерени лица. Този пазар може да съкрати времето, необходимо на партньор на рансъмуер да започне атака, тъй като достъпът и разузнаването може вече да са налице.
Searchlight очаква по-нататъшна фрагментация и сътрудничество между групите, тъй като натискът продължава, а новите участници използват автоматизация и оперативни модели, подобни на услуги.
