Само една от девет атаки от типа киберизнудване става публична, сочат най-нови данни. През последното тримесечие са осъществени 2160 рансъмуер атаки, повечето от които са останали неразкрити, което е с 2% повече спрямо предходната година, заедно с 264 публично оповестени инцидента, което е с 15% по-малко на годишна база.
Сред атаките, които са станали публични, средното искане за откуп е било за 1 028 214 щатски долара. Здравеопазването е най-атакуваният сектор със 72 атаки, или 27% от общия брой, следван от правителствените служби с 32 и технологиите с 28 атаки.
Логистиката е регистрирала най-рязкото годишно увеличение, сочи доклад на анализаторите от BlackFog. Атаките срещу сектора са се увеличили с 200% спрямо същия период на предходната година.
Въздействие
Позицията на здравеопазването начело в списъка подчертава продължаващия натиск върху секторите, които управляват чувствителни лични данни и критични услуги. Правителствените органи също са чести мишени. Това отразява привлекателността на системите от публичния сектор за престъпни групи, търсещи както прекъсване на дейностите, така и плащане на пари, казват анализаторите от BlackFog.
Технологичните компании се класираха на трето място сред разкритите жертви. Концентрацията на атаки в тези сектори предполага, че нападателите продължават да се фокусират върху организации, където оперативните прекъсвания и откраднатите данни могат да увеличат предимството при опити за изнудване.
Групова активност
Докладът описва фрагментиран пазар на рансъмуер. При разкритите инциденти Qilin е най-активният посочен вариант с 22 атаки, равни на 8% от общия брой, следван от ShinyHunters с 16 и INC с 11.
Голям дял от случаите обаче не е свързан с никоя известна група. Неприписаните инциденти представляват 38% от всички публично разкрити случаи на киберизнудвания.
При неразкритите инциденти Qilin отново води класацията с 339 атаки, или 16% от общия брой. „Джентълмените“ следват с 200 атаки, а „Акира“ със 190. Общо 79 групи за рансъмуер са поели потери за жертви през тримесечния период.
Докладът откроява „Джентълмените“ като бързо развиваща се група. От появата си през 2025 г. до края на първото тримесечие тя е реализирала 273 атаки, което илюстрира колко бързо могат по-младите групи да разгърнат дейността си в мащаб.
Кражба на данни
Констатациите на BlackFog показват, че кражбата на данни остава ключова за дейностите на рансъмуер. Ексфилтрацията на данни е била част от 96% от атаките през тримесечието – ниво, което BlackFog описва като критично високо.
Средният обем на откраднатите данни при всеки неразкрит инцидент достига 743 GB. На жертвите са били дадени средно 7,7 дни, за да отговорят на исканията за откуп.
Тази комбинация от кратки срокове и мащабна кражба на данни показва как тактиките на изнудване са се изместили отвъд самото криптиране на файлове. Престъпните групи все повече разчитат на заплахата от публикуване или продажба на открадната информация, за да принудят преговори.
AI инструменти
Анализът посочва и използването на изкуствен интелект в операции, свързани с рансъмуер. Атакуващите използват AI, за да автоматизират събирането и източването на данни, като BlackFog цитира кампании като LotAI и платформи, включително ClawdBot и OpenClaw.
Тези инструменти показват как злонамерените лица могат да използват автоматизирани системи за по-ефективно събиране, обработка и управление на откраднати данни. Тенденцията допълнително засилва опасенията, че групите за рансъмуер могат да увеличат скоростта и мащаба на атаките си без увеличение на „работната сила“.
Коментирайки констатациите, д-р Дарън Уилямс каза: „15% годишен спад в докладваните атаки може да предполага напредък, но реалността е много различна. Рансъмуерът остава постоянна заплаха, като атакуващите все по-често използват изкуствен интелект, за да автоматизират кражбата на данни в голям мащаб”.
„Тъй като изтичането на данни е факт при 96% от атаките, въпросът за всяка организация вече не е дали данните ѝ са изложени на риск, а дали могат да спрат напускането на системите ѝ, преди да са нанесени щети“, заключана д-р Уилямс.
