Το μήνυμα για τα λύτρα δεν είναι η αρχή μιας επίθεσης ransomware, αλλά το τελευταίο της στάδιο. Σύμφωνα με την ESET, πίσω από την οθόνη που ανακοινώνει ότι τα αρχεία έχουν κρυπτογραφηθεί και ζητά πληρωμή, βρίσκεται πλέον μια ολόκληρη οργανωμένη οικονομία κυβερνοεγκλήματος, με εξειδικευμένους ρόλους, εσωτερικό ανταγωνισμό, εργαλεία ως υπηρεσία και αλυσίδες συνεργατών που λειτουργούν με λογική αγοράς.

Από τους brokers αρχικής πρόσβασης έως τα EDR killers και την ΑΙ, το ransomware λειτουργεί πλέον ως οργανωμένη αγορά

Η υπόθεση της Change Healthcare, τον Μάρτιο του 2024, αποκάλυψε με εντυπωσιακό τρόπο αυτήν τη σκοτεινή πραγματικότητα. Ομάδα, που είχε πραγματοποιήσει την επίθεση για λογαριασμό της συμμορίας ransomware BlackCat, κατήγγειλε σε φόρουμ κυβερνοεγκλήματος ότι δεν έλαβε ποτέ το μερίδιό της από τα $22 εκατ. που καταβλήθηκαν ως λύτρα. Οι διαχειριστές της BlackCat φέρονται να κράτησαν τα χρήματα, να εξαφανίστηκαν και να ανάρτησαν πλαστή ειδοποίηση του FBI στην ιστοσελίδα τους για να καλύψουν την αποχώρησή τους.

Το περιστατικό ανέδειξε ότι το ransomware δεν είναι πια μια μεμονωμένη επίθεση από έναν hacker. Είναι ένα επιχειρηματικό μοντέλο. Άλλοι αποκτούν αρχική πρόσβαση σε εταιρικά δίκτυα και τη μεταπωλούν. Άλλοι αναπτύσσουν εργαλεία ransomware. Affiliates εκτελούν τις επιθέσεις, διαπραγματευτές αναλαμβάνουν την επικοινωνία με τα θύματα, ενώ δίκτυα ξεπλύματος διευκολύνουν τη μεταφορά των χρημάτων.

Αυτό το μοντέλο έχει κάνει την απειλή φθηνότερη, πιο επαναλαμβανόμενη και πιο εύκολα επεκτάσιμη. Τα στοιχεία της ESET δείχνουν αύξηση των επιθέσεων ransomware κατά 13% το 2ο εξάμηνο του 2025 σε σχέση με το προηγούμενο, μετά από άνοδο 30% στο 1ο εξάμηνο.

Παράλληλα, η έκθεση DBIR της Verizon για το 2025 καταγράφει αύξηση από 32% σε 44% στο ποσοστό των παραβιάσεων που σχετίζονται με ransomware, ενώ το μέσο ποσό λύτρων μειώθηκε από $150.000 σε $115.000.

Η μετατόπιση αυτή δείχνει αλλαγή στρατηγικής: περισσότερα θύματα, μικρότερα ποσά, μεγαλύτερος όγκος. Ανάλυση της Mandiant δείχνει στροφή προς μικρότερες εταιρείες, με λιγότερο ώριμες άμυνες και ευκολότερη πρόσβαση.

Το ransomware-as-a-service

Το ransomware-as-a-service λειτουργεί πλέον με όρους franchise. Όταν μια ομάδα εξαρθρώνεται, η αγορά δεν κλείνει. Αναδιανέμεται. Μετά τα πλήγματα σε LockBit και BlackCat το 2024, πολλοί συνεργάτες μετακινήθηκαν στη RansomHub. Όταν αργότερα η DragonForce έπληξε ανταγωνιστές και κατέβασε την πλατφόρμα της RansomHub, ομάδες, όπως οι Akira και Qilin, απορρόφησαν μέρος του μεριδίου της.

Την ίδια στιγμή, η τεχνική πλευρά εξελίσσεται διαρκώς. Το ransomware δεν περιορίζεται πλέον στο κλείδωμα αρχείων. Οι επιτιθέμενοι κλέβουν πρώτα δεδομένα, τα κρυπτογραφούν και στη συνέχεια απειλούν με δημοσιοποίηση, μετατρέποντας την επίθεση σε διπλό εκβιασμό.

Στο επίκεντρο βρίσκεται ο «Αγώνας της Κόκκινης Βασίλισσας»: όσο βελτιώνονται τα εργαλεία άμυνας, τόσο εξελίσσονται και τα εργαλεία επίθεσης. Η ESET έχει εντοπίσει σχεδόν 90 ενεργά EDR killers, εργαλεία σχεδιασμένα να απενεργοποιούν λύσεις ανίχνευσης και απόκρισης. Πενήντα τέσσερα από αυτά αξιοποιούν την τεχνική Bring Your Own Vulnerable Driver, φορτώνοντας νόμιμους, αλλά ευάλωτους drivers για να αποκτήσουν δικαιώματα σε επίπεδο πυρήνα.

Η τεχνητή νοημοσύνη κάνει την κατάσταση ακόμη πιο σύνθετη. Σύμφωνα με την ESET, έχει ήδη συμβάλει στην ανάπτυξη ορισμένων EDR killers, ενώ η εμφάνιση του λεγόμενου «vibeware» -κακόβουλου λογισμικού που δημιουργείται μαζικά με AI - μειώνει ακόμη περισσότερο το τεχνικό εμπόδιο εισόδου.