Οι επιθέσεις ransomware έχουν φτάσει σε υψηλό επίπεδο ρεκόρ το 1ο τρίμηνο του 2025. Η τελευταία έκθεση State of Ransomware της Check Point Research αποκαλύπτει αύξηση 126% ετησίως, με 2.289 δημοσιευμένα θύματα σε 74 ομάδες ransomware — τα περισσότερα που έχουν καταγραφεί ποτέ σε ένα τρίμηνο.κατονομαζόμενα θύματα σε 74 ομάδες ransomware – οι περισσότερες που έχουν καταγραφεί ποτέ σε ένα μόνο τρίμηνο.
Οι τάσεις:
– Η Cl0p ηγείτο της δραστηριότητας του 1ου τριμήνου με 392 θύματα, εκμεταλλευόμενη τα ελαττώματα zero day στα εργαλεία μεταφοράς αρχείων Cleo, εγκαταλείποντας την κρυπτογράφηση προς όφελος της κλοπής δεδομένων και εκβιασμού. Το 83% των θυμάτων της ήταν στη Βόρεια Αμερική και το 33% προερχόταν από τον τομέα των καταναλωτικών αγαθών και υπηρεσιών – γεγονός που αντικατοπτρίζει τη στρατηγική στόχευση της αλυσίδας εφοδιασμού.
– Η RansomHub, διάδοχος του LockBit, παρουσίασε 228 θύματα, προωθούμενη από την επιθετική στρατολόγηση συνεργατών και τη γενναιόδωρη κατανομή κερδών, που της επέτρεψε να κληρονομήσει το εγκαταλελειμμένο μερίδιο της εγκληματικής δράσης της LockBit.
– Οι Babuk-Bjorka και FunkSec δημοσιεύουν συστηματικά ανακυκλωμένους ή ψεύτικους ισχυρισμούς για αριθμό θυμάτων (167 θύματα για την Babuk – Bjorka και πάνω από 170 θύματα για την FunkSec), θολώνοντας τα δεδομένα και διογκώνοντας τη φήμη τους, ενώ παράλληλα προσελκύουν συνεργάτες και πιέζουν τα θύματα. Η FunkSec είναι επίσης ύποπτη για τη χρήση κακόβουλου λογισμικού που αναπτύχθηκε με τεχνητή νοημοσύνη, μειώνοντας τα εμπόδια εισόδου για τους επιτιθέμενους και θολώνοντας τα όρια μεταξύ.
Το πού και το γιατί:
– Οι ΗΠΑ παραμένουν ο κορυφαίος στόχος του ransomware, με σχεδόν το 50% των θυμάτων, λόγω της μεγαλύτερης πιθανότητας πληρωμών ransomware.
– Στο Ηνωμένο Βασίλειο, το ransomware Medusa αντιπροσώπευε το 9% των τοπικών θυμάτων, πενταπλασιάζοντας το παγκόσμιο μερίδιό του.
– Στη Γερμανία, το Safepay κυριάρχησε με 17,5% των αναφερόμενων περιστατικών – γεγονός που υποδηλώνει σκόπιμη, περιφερειακή στόχευση.
Κοιτάζοντας αυτή τη γεωγραφική κατανομή, οι ομάδες ransomware δεν ρίχνουν μεγάλα δίχτυα – λαμβάνουν χειρουργικές, στρατηγικές αποφάσεις με βάση την τοπική υποδομή, τα νομικά συστήματα και τις δυνατότητες πληρωμής.
Ενώ οι αποκαλύψεις των θυμάτων αυξάνονται κατακόρυφα, οι πραγματικές πληρωμές ransomware μειώθηκαν κατά 35% σύμφωνα με την Chainalysis. Αυτό το διευρυνόμενο χάσμα υποδηλώνει δύο ανησυχητικές τάσεις: είτε τα θύματα αρνούνται όλο και περισσότερο να πληρώσουν, είτε κάποια “θύματα” μπορεί να μην είναι καθόλου πραγματικά.
Η εξέλιξη του Ransomware σε εκβιασμό χωρίς κρυπτογράφηση -σε συνδυασμό με ομάδες που προσποιούνται επιθέσεις χρησιμοποιώντας παλιά ή δημόσια δεδομένα- σημαίνει ότι η ζημία στη φήμη και όχι η αποκρυπτογράφηση είναι πλέον ο κύριος μοχλός πίεσης. Οι παραδοσιακές μετρήσεις που βασίζονται στις αποκαλύψεις των ιστότοπων διαρροών δεν δίνουν πλέον ακριβή εικόνα. Αυτό καθιστά επίσης πολύ πιο δύσκολο για τους υπερασπιστές, τις ρυθμιστικές αρχές, ακόμη και τις διωκτικές αρχές, να παρακολουθούν με ακρίβεια τους φορείς απειλών ή να κατανοούν την πραγματική κλίμακα κινδύνου.
Ο Sergey Shykevich, Threat Intelligence Group Manager στην Check Point Software δήλωσε σχετικά: «Η αύξηση κατά 126% του ransomware είναι κάτι περισσότερο από ένας αριθμός, είναι ένα σήμα. Υποδηλώνει πιο έξυπνες, ταχύτερες και δυσκολότερο να εντοπιστούν εκστρατείες και ομάδες που προσπαθούν να χειραγωγήσουν το μυαλό μας. Τα εργαλεία τεχνητής νοημοσύνης, οι ψεύτικοι ισχυρισμοί περί θυμάτων και οι περιφερειακά προσαρμοσμένες τακτικές σημαίνουν ότι οι οργανισμοί πρέπει να προχωρήσουν πέρα από τις άμυνες αντίδρασης και να υιοθετήσουν την ασφάλεια με γνώμονα την πρόληψη και τις πληροφορίες».
