Трите водещи ransomware групи – DragonForce, LockBit и Qilin – обявиха ново стратегическо сътрудничество, което подчертава продължаващите промени в киберкриминалния ландшафт.
Според ReliaQuest, целта на коалицията е да позволи по-ефективни ransomware атаки чрез споделяне на техники, ресурси и инфраструктура, което укрепва оперативните способности на всяка от групите.
Възможни последствия за критична инфраструктура
Анализаторите предупреждават, че алиансът може да възстанови репутацията на LockBit сред афилиатите след неуспехите от 2024 г., което потенциално може да доведе до вълна от атаки върху критична инфраструктура и разширяване на заплахата към сектори, считани досега за нискорискови.
Активността на Qilin и появата на LockBit 5.0
Qilin се е утвърдила като една от най-активните ransomware групи през последните месеци, с над 200 жертви само през третото тримесечие на 2025. По данни на ZeroFox, групата е фокусирала атаките си основно върху организации, базирани в Северна Америка, като темпото на операциите значително се увеличава от края на 2024.
В същото време LockBit 5.0 вече е налична и е способна да атакува Windows, Linux и ESXi системи. Новата версия беше рекламирана на 3 септември 2025 г. във RAMP darknet форума, отбелязвайки шестата годишнина на програмата за афилиати.
Възстановяване след натиск от правораздаването
LockBit претърпя сериозен удар в началото на 2024 г. след операцията Cronos, която доведе до изземване на инфраструктурата и арест на някои членове. Преди това групата е атакувала над 2 500 жертви и е получила повече от $500 милиона откупи.
Според ReliaQuest, ако групата възстанови доверието сред афилиатите, може да се превърне отново в доминираща ransomware заплаха, мотивирана от финансови цели и желание за отмъщение срещу правораздавателните органи.
Растящ брой RaaS програми и глобални тенденции
В същото време Scattered Spider подготвя собствен Ransomware-as-a-Service (RaaS) проект, наречен ShinySp1d3r, първата такава услуга от англоговорящи извършители на изнудване.
ReliaQuest отчита общо 81 сайта за изтичане на данни, спрямо 51 в началото на 2024. Най-засегнати са компании от професионалните, научни и технически услуги, следвани от производство, строителство, здравеопазване, финанси, търговия, образование, информационни услуги и недвижими имоти.
Географско разширение на заплахата
Забелязва се увеличение на атаките към страни като Египет, Тайланд и Колумбия, което показва стремеж на извършителите да избягат от традиционните „горещи точки“ като САЩ и Европа. Въпреки това повечето жертви, посочени на сайтовете за изтичане на данни, са в САЩ, Германия, Великобритания, Канада, Италия и по-малки държави от ЕС.
Статистика и мотивация
През третото тримесечие на 2025 са отчетени поне 1 429 отделни R&DE инцидента, спрямо 1 961 през първото. Групите Qilin, Akira, INC Ransom, Play и SafePay са отговорни за около 47% от всички глобални R&DE атаки през 2025.
Според анализаторите, фокусът върху Северна Америка се дължи както на геополитически и идеологически фактори, така и на наличието на бързо растящи цифрови инфраструктури и интеграция на технологии като cloud услуги и IoT устройства, които улесняват достъпа на атакуващите.
