Numărul de atacuri ransomware observate și urmărite în primele șase luni ale anului 2025 a crescut cu 179% – de aproape trei ori – față de aceeași perioadă din 2024, conform statisticilor publicate de furnizorul de platforme de informații despre amenințări Flashpoint.
Anul trecut a înregistrat o fluctuație semnificativă în rândul actorilor cibernetici criminali cu nume anterior temute, cum ar fi LockBit – faimosul sistem de neutralizare a poliției cibernetice – și ALPHV/BlackCat, care nu mai sunt forțele care erau odinioară.
Anul trecut a înregistrat, de asemenea, o schimbare în rândul unor actori ransomware către extorcare fără criptare. În astfel de atacuri, sistemele victimei sunt atacate în mod obișnuit – de obicei prin inginerie socială sau o vulnerabilitate software necorectată – iar datele lor sunt furate, dar niciodată criptate.
Acest tip de atac devine o amenințare semnificativă, deoarece reduce drastic barierele de intrare din punct de vedere tehnic, atât pentru operatorii principali de ransomware, care economisesc timp și efort, cât și pentru afiliații lor mai puțin pricepuți. Această tendință a început să apară în cursul anului 2024 și nu dă semne că va dispărea.
„Mai multe grupuri par să prefere o practică pură de extorcare. Grupurile de ransomware criptează în mod tradițional fișierele înainte de a le exfiltra, percepând taxe atât pentru cheia de decriptare, cât și pentru a preveni scurgerea datelor”, a declarat echipa FlashPoint.
„Cu toate acestea] grupurile de extorcare precum World Leaks, cunoscute anterior sub numele de Hunter’s International, cer răscumpărări fără criptare. În plus, s-a observat că RansomHub folosește ocazional această tactică, precum și grupuri emergente precum Weyhro”, au spus ei.
Între timp, inteligența artificială generativă (GenAI) începe să fie folosită și de unele – deși nu de multe – bande, din nou ca mijloc de a scuti bandele de ransomware de unele dintre sarcinile mai împovărătoare cu care se confruntă, cum ar fi dezvoltarea de șabloane de phishing.
În momentul scrierii acestui articol, puțini operatori de profil înalt utilizează modele de limbaj larg (LLM) în instrumentele lor, dar Funksec, care a apărut la sfârșitul anului 2024 și care ar fi putut avea un rol în dezvoltarea modelului WormGPT, ar putea fi unul de urmărit.
„Este posibil ca alte grupuri să integreze utilizarea LLM-urilor sau a chatbot-urilor în operațiunile lor”, a declarat echipa FlashPoint.
Alte schimbări operaționale și tehnice observate de echipa FlashPoint includ un număr tot mai mare de atacuri în care bandele de ransomware reciclează victimele ransomware anterioare din alte grupuri, datele apărând adesea pe alte forumuri mult timp după evenimentul în sine.
Cele mai active bande
Cei mai activi actori ransomware observați în primele șase luni ale anului 2025 au fost Akira, care a efectuat 537 de atacuri, Clop/Cl0p, cu 402, Qilin, cu 345, Safepay Ransomware, cu 233 și RansomHub, cu 231.
Cu toate acestea, există și alte câteva grupuri care merită urmărite. Pentru organizațiile din Marea Britanie, DragonForce va fi acum un nume familiar datorită utilizării sale împotriva unor companii precum Marks & Spencer și Co-op Group în atacuri cibernetice de mare anvergură.
În ceea ce privește victimizarea ransomware-ului, organizațiile din Statele Unite continuă să fie cele mai frecvent vizate, reprezentând 2.160 de atacuri urmărite de FlashPoint, depășind Canada, clasată pe locul doi – cu 249 de atacuri – cu o marjă considerabilă. FlashPoint a urmărit 154 de atacuri în Germania și 148 în Marea Britanie, urmată de Brazilia, Spania, Franța, India și Australia.
Sectoarele de producție și tehnologie par să ofere cele mai profitabile plăți pentru bandele de ransomware, reprezentând 22% și 18% din totalul atacurilor, urmate de comerțul cu amănuntul cu 13%, asistența medicală cu 9% și serviciile și consultanța pentru afaceri cu 8%.
