Σε μια νέα και πιο επικίνδυνη φάση περνά το παγκόσμιο οικοσύστημα του ransomware, καθώς οι κυβερνοεγκληματικές ομάδες εγκαταλείπουν σταδιακά το παραδοσιακό μοντέλο της αποκλειστικής κρυπτογράφησης συστημάτων και στρέφονται όλο και περισσότερο στην κλοπή, διαρροή και εμπορική εκμετάλλευση ευαίσθητων δεδομένων. Αυτό είναι το βασικό συμπέρασμα της νέας ανάλυσης της Kaspersky για την Παγκόσμια Ημέρα κατά του Ransomware, η οποία αποτυπώνει τις κυρίαρχες τάσεις του 2025 και τις νέες τακτικές, που αναμένεται να ενισχυθούν μέσα στο 2026.

Οι κυβερνοεγκληματίες αφήνουν την κρυπτογράφηση και περνούν στον εκβιασμό δεδομένων

Σύμφωνα με τα στοιχεία του Kaspersky Security Network, η Λατινική Αμερική κατέγραψε το υψηλότερο ποσοστό οργανισμών που εντόπισαν επιθέσεις ransomware, με 8,13%, ενώ ακολούθησαν η περιοχή Ασίας-Ειρηνικού με 7,89%, η Αφρική με 7,62%, η Μέση Ανατολή με 7,27%, η CIS με 5,91% και η Ευρώπη με 3,82%.

Η έκθεση καταγράφει μια σαφή μετατόπιση των κυβερνοεγκληματικών ομάδων προς μοντέλα εκβιασμού, που βασίζονται κυρίως στην κλοπή δεδομένων και στην απειλή δημοσιοποίησης τους, αντί στην αποκλειστική καταστροφή ή κρυπτογράφηση αρχείων. Οι επιθέσεις γίνονται πλέον περισσότερο «επιχειρηματικού τύπου», με οργανωμένες δομές, εξειδικευμένους ρόλους και αυξημένο βαθμό αυτοματοποίησης.

«Το ransomware έχει εξελιχθεί σε ένα άκρως οργανωμένο οικοσύστημα, που επικεντρώνεται στην εμπορική εκμετάλλευση κλεμμένων δεδομένων, στην απενεργοποίηση αμυντικών μηχανισμών και στην κλιμάκωση των επιθέσεων με επιχειρηματική αποτελεσματικότητα», σχολιάζει η Kaspersky.

Όπως σημειώνει, οι κυβερνοεγκληματίες προσαρμόζονται ταχύτατα, αξιοποιώντας νόμιμα εργαλεία, υποδομές απομακρυσμένης πρόσβασης και ακόμη και μετακβαντική κρυπτογραφία πολύ νωρίτερα από ό,τι αναμενόταν.

Νέα εργαλεία

Κεντρικό ρόλο στο νέο αυτό οικοσύστημα εξακολουθούν να παίζουν τα κανάλια Telegram και τα φόρουμ του dark web, τα οποία λειτουργούν ως πλατφόρμες διακίνησης παραβιασμένων δεδομένων, credentials και υπηρεσιών ransomware-as-a-service. Αν και οι διωκτικές αρχές προχώρησαν το 2026 στον εντοπισμό και το κλείσιμο πλατφορμών, όπως τα RAMP και LeakBase, η Kaspersky εκτιμά ότι αντίστοιχα οικοσυστήματα θα συνεχίσουν να επανεμφανίζονται.

Ιδιαίτερη ανησυχία προκαλεί και η εξάπλωση των λεγόμενων EDR “killers”, εργαλείων που έχουν σχεδιαστεί για να απενεργοποιούν λύσεις endpoint security πριν ενεργοποιηθεί το ransomware. Σύμφωνα με τους ερευνητές, τα εργαλεία αυτά έχουν πλέον εξελιχθεί σε βασικό στοιχείο των επιθέσεων, υποδηλώνοντας πιο στοχευμένες και επαγγελματικές επιχειρήσεις διείσδυσης.

Την ίδια στιγμή, οι ειδικοί εντοπίζουν και μια νέα τεχνολογική εξέλιξη: την εμφάνιση ransomware οικογενειών, που αρχίζουν να χρησιμοποιούν πρότυπα μετακβαντικής κρυπτογραφίας. Η τάση αυτή θεωρείται ιδιαίτερα ανησυχητική, καθώς υποδηλώνει προετοιμασία για ένα περιβάλλον, όπου οι μελλοντικοί κβαντικοί υπολογιστές θα μπορούν να «σπάνε» σημερινές μεθόδους κρυπτογράφησης.

Σημαντικά ενισχυμένος εμφανίζεται και ο ρόλος των Initial Access Brokers (IAB), των μεσαζόντων, που πωλούν ήδη παραβιασμένη πρόσβαση σε εταιρικά δίκτυα μέσω dark web φόρουμ και εφαρμογών ανταλλαγής μηνυμάτων. Οι πύλες RDWeb και οι υποδομές απομακρυσμένης πρόσβασης βρίσκονται πλέον στο επίκεντρο των επιθέσεων, καθώς οι ομάδες ransomware υιοθετούν ολοένα περισσότερο μοντέλα “Access-as-a-Service”.

Σύμφωνα με την Kaspersky, η Qilin αναδείχθηκε το 2025 ως ο κυρίαρχος πάροχος ransomware-as-a-service μετά την κατάσχεση των δραστηριοτήτων της RansomHub, ενώ ακολούθησαν οι Clop και Akira. Παράλληλα, η ομάδα Gentlemen εμφανίζεται ως ένας από τους πιο ανερχόμενους νέους «παίκτες» του 2026, με οργανωμένες εκστρατείες και έντονη εστίαση στον εκβιασμό μέσω δεδομένων.

Η Kaspersky καλεί τις επιχειρήσεις να επενδύσουν σε πολυεπίπεδες άμυνες, offline αντίγραφα ασφαλείας, συστήματα EDR και anti-APT λύσεις, αλλά και στην ενίσχυση του ψηφιακού εγγραμματισμού των εργαζομένων. Σύμφωνα με την εταιρεία, η πρόληψη, η ταχεία ανίχνευση και η προστασία των δεδομένων θα αποτελέσουν το βασικό πεδίο άμυνας απέναντι στη νέα γενιά ransomware επιθέσεων.