Μια καμπή στο παγκόσμιο οικοσύστημα των επιθέσεων ransomware σηματοδότησε το 2ο τρίμηνο του 2025. Για πρώτη φορά εδώ και πολλούς μήνες, ο αριθμός των θυμάτων που δημοσιοποιούνται σε ιστότοπους διαρροής δεδομένων (Data Leak Sites - DLS) σημείωσε μείωση, φτάνοντας τα 1.607 περιστατικά έναντι 2.289 το 1ο τρίμηνο. Αν και ο αριθμός παραμένει υψηλότερος σε σχέση με το αντίστοιχο τρίμηνο του 2024, η τάση υποχώρησης είναι εμφανής.

Η κάμψη αυτή αποδίδεται σε μεγάλο βαθμό στις συντονισμένες ενέργειες επιβολής του νόμου διεθνώς. Η ομάδα LockBit υπέστη καίριο πλήγμα τον Μάιο, με τη διαρροή των εσωτερικών της αρχείων, ενώ η 8Base διέκοψε επίσης τη δραστηριότητά της. Παράλληλα, περισσότερες χώρες εισάγουν περιορισμούς ή και απαγορεύσεις στην καταβολή λύτρων, αποθαρρύνοντας οργανισμούς από το να ενδώσουν στις απαιτήσεις των επιτιθέμενων. Το ποσοστό πληρωμών εκτιμάται. Πλέον. σε ιστορικά χαμηλά επίπεδα - μόλις 25% με 27%.

Η αποδόμηση των μεγάλων RaaS ομάδων και οι νέες μέθοδοι εκβιασμού διαμορφώνουν το νέο τοπίο του κυβερνοεγκλήματος

Σύμφωνα με σχετική ανάλυση της Check Point, η ξαφνική εξαφάνιση της RansomHub τον Απρίλιο προκάλεσε ισχυρούς κλυδωνισμούς στο οικοσύστημα. Η ομάδα είχε καλύψει το κενό που άφησε η LockBit και αποτελούσε έναν από τους μεγαλύτερους παρόχους RaaS (Ransomware-as-a-Service). Με την αποχώρησή της, πολλοί «συνεργάτες» (affiliates) βρέθηκαν χωρίς υποδομή και αναζήτησαν νέα στέγη - κυρίως στην ομάδα Qilin, η οποία σχεδόν διπλασίασε τον αριθμό των επιθέσεων της.

Αλλαγή πλεύσης

Η ομάδα Qilin, όπως αναφέρουν οι αναλυτές, διαφοροποιείται όχι μόνο ως προς την τεχνολογική της υποδομή, αλλά και στη στρατηγική πίεσης: προβάλλει ένα ευρύ φάσμα υπηρεσιών εκβιασμού, από επιθέσεις DDoS έως εργαλεία μαζικής αποστολής email και δημοσιοποίηση δεδομένων μέσω ειδικών blogs. Αντίστοιχα, η DragonForce, επίσης σταθερά ενεργή ομάδα RaaS, προωθεί μοντέλα συνεργασίας τύπου “white label”, προσφέροντας τεχνική υποδομή σε άλλες ομάδες, διατηρώντας παράλληλα δικό τους branding.

Αντίθετα, η Hunters International υιοθέτησε ένα χαμηλότερου προφίλ μοντέλο εκβιασμού, αποφεύγοντας πλήρως την κρυπτογράφηση αρχείων. Η νέα της πλατφόρμα, World Leaks, βασίζεται αποκλειστικά στην απειλή διαρροής δεδομένων και στη διακριτική επικοινωνία με τα ανώτατα στελέχη των οργανισμών-στόχων.

Αυξανόμενη χρήση ΑΙ

Ενδεικτικό της στροφής του οικοσυστήματος είναι και η αυξανόμενη χρήση τεχνητής νοημοσύνης. Ομάδες, όπως η Global Group, αξιοποιούν AI για την υποστήριξη των διαπραγματεύσεων με τα θύματα, προσπαθώντας να αυξήσουν την αποτελεσματικότητα και να μειώσουν την ανάγκη ανθρώπινης παρέμβασης.

«Η γενική εικόνα του 2ου τριμήνου 2025 δείχνει ένα οικοσύστημα σε μεταβατική φάση: οι επιθέσεις με χρήση κρυπτογράφησης μειώνονται, οι ομάδες εκβιασμού αναδιατάσσονται και η απειλή προσαρμόζεται σε νέα δεδομένα. Η τεχνητή νοημοσύνη, οι αλλαγές στο νομικό πλαίσιο και η ενίσχυση της ψηφιακής ανθεκτικότητας διαμορφώνουν πλέον τη νέα πραγματικότητα. Το 3ο τρίμηνο αναμένεται να δείξει αν η πτώση αυτή είναι προσωρινή ή αν βρισκόμαστε σε μια μόνιμη αναδιάρθρωση του ψηφιακού εγκλήματος», αναφέρει η Check Point.