Οι Ηνωμένες Πολιτείες διατήρησαν - και το 2ο τρίμηνο του 2025 - τον αμφιλεγόμενο τίτλο του κύριου στόχου για επιθέσεις ransomware, καθώς σχεδόν το 50% των θυμάτων παγκοσμίως προέρχεται από αμερικανικούς οργανισμούς. Σύμφωνα με σχετική έρευνα της Check Point, οι δυτικές, ανεπτυγμένες οικονομίες παραμένουν στο επίκεντρο των κυβερνοεγκληματιών, εξαιτίας των διαθέσιμων οικονομικών πόρων και της υψηλής πιθανότητας καταβολής λύτρων.

Η γεωγραφική κατανομή, όπως προκύπτει από τα ίδια στοιχεία, παρέμεινε σταθερή, ωστόσο αναδεικνύονται νέες γεωγραφικές προτιμήσεις: η ομάδα Safepay, για παράδειγμα, στοχεύει συστηματικά τη Γερμανία (40% των περιστατικών στη χώρα), ενώ η Akira στρέφεται στην Ιταλία, με το 10% των θυμάτων της να προέρχεται από εκεί. Στη Βραζιλία, η Satanlock συγκεντρώνει το 14% των περιστατικών.

Οι Ηνωμένες Πολιτείες αντιπροσωπεύουν περίπου το 50% των συνολικών αναφερόμενων θυμάτων ransomware

Την ίδια στιγμή, όσον αφορά την κατανομή των επιθέσεων ransomware σε επίπεδο κλάδων, ορισμένοι τομείς εμφανίζουν αυξημένο ενδιαφέρον - με κυρίαρχο αυτόν της υγείας. Ο τομέας της υγείας αντιπροσωπεύει το 8% των συνολικών θυμάτων του τριμήνου, με την ομάδα INC Ransomware να ευθύνεται για το 17% αυτών.

Οι πάροχοι υγειονομικών υπηρεσιών παραμένουν ελκυστικοί στόχοι, εξαιτίας των ευαίσθητων προσωπικών δεδομένων που διαχειρίζονται, παρ’ ότι αρκετές ομάδες ransomware περιορίζουν τη δράση τους για να αποφύγουν απειλές σε ανθρώπινες ζωές.

Διατομεακές επιθέσεις

Η κατανομή των θυμάτων ανά κλάδο επιβεβαιώνει τη διατομεακή φύση του φαινομένου. Οι κυβερνητικοί και εκπαιδευτικοί φορείς παραμένουν χαμηλά στη λίστα των στόχων, πιθανότατα λόγω της μειωμένης πιθανότητας να πληρώσουν λύτρα σε σύγκριση με κερδοσκοπικούς οργανισμούς.

Επιπλέον, οι περισσότερες ομάδες RaaS αποφεύγουν επιθέσεις σε συγκεκριμένες χώρες και τομείς, εν μέρει για να μην τραβήξουν την προσοχή των διωκτικών αρχών. Αν και ο τομέας της υγείας επιτρέπεται συχνά ως στόχος, τίθενται συνήθως περιορισμοί, ώστε να αποφεύγονται διακοπές που θα μπορούσαν να απειλήσουν ανθρώπινες ζωές.

Ανασχηματισμός του ransomware

Το οικοσύστημα του ransomware βίωσε έναν ακόμη ανασχηματισμό με την ξαφνική εξαφάνιση της ομάδας RansomHub τον Απρίλιο του 2025. Πολλοί συνεργάτες της μετακινήθηκαν στην ομάδα Qilin, η οποία σχεδόν διπλασίασε τη δραστηριότητα της μέσα στο τρίμηνο, από 35 σε 70 θύματα μηνιαίως, αποτυπώνοντας τον δυναμικό και μεταβλητό χαρακτήρα του τοπίου.

Ταυτόχρονα, καταγράφεται σαφής μετατόπιση από την παραδοσιακή κρυπτογράφηση αρχείων προς την κλοπή και απειλή δημοσιοποίησης δεδομένων, ως βασική στρατηγική εκβιασμού. Η κρυπτογράφηση θεωρείται πλέον πιο ριψοκίνδυνη και λιγότερο αποδοτική, ενώ η διαρροή δεδομένων προσφέρει νέους μοχλούς πίεσης.

Ένα ακόμη ανησυχητικό στοιχείο είναι η διείσδυση της Τεχνητής Νοημοσύνης στις επιχειρήσεις ransomware. Η χρήση AI από ομάδες, όπως η FunkSec και η Xanthorox, για την ανάπτυξη κακόβουλου λογισμικού είναι πλέον τεκμηριωμένη. Η ομάδα Global Group, μάλιστα, προωθεί διαπραγματευτική υποστήριξη βασισμένη σε AI για τους «πελάτες» της, ενισχύοντας την ψυχολογική πίεση στα θύματα και αυξάνοντας την αποτελεσματικότητα του εκβιασμού.

«Το τοπίο του ransomware παραμένει ρευστό, επιθετικό και τεχνολογικά εξελισσόμενο. Οι οργανισμοί οφείλουν να ενισχύσουν τις άμυνές τους, αναγνωρίζοντας ότι η απειλή δεν περιορίζεται μόνο στη διαθεσιμότητα των δεδομένων, αλλά και στη δημόσια εικόνα και στην εμπιστοσύνη των πολιτών και πελατών», αναφέρει η Check Point.