Pазпад на RaaS модела, вътрешни заплахи и нова икономика на атаките

Picture of e-security.bg
e-security.bg
Зловреден код

С изтичането на 2025 г. и навлизането в 2026 пейзажът на киберизнудването се е разделил на два отчетливи модела:

  • високообемни Ransomware-as-a-Service (RaaS) кампании, насочени основно към малкия и средния бизнес;

  • скъпи, целенасочени атаки, фокусирани върху големи корпоративни организации.

Това разделение отразява не просто тактическа еволюция, а дълбока промяна в икономиката на ransomware.

Масови атаки срещу средния бизнес: случаят Akira

Средният бизнес продължава да бъде най-засегнатата група жертви, особено от класически RaaS оператори. През юли и август 2025 г. групата Akira демонстрира този модел в екстремна форма, като експлоатира уязвимост, довела до рекордни обеми атаки.

Подходът на Akira е ясен:

  • ниска цена на атаката;

  • по-ниски искания за откуп;

  • по-висок от средния процент на плащане.

Това е стратегия „количество пред качество“, която им осигурява устойчив пазарен дял, независимо от размера и профила на жертвите. Масовата инфраструктура на Akira поддържа широк спектър от атаки и им дава предимство пред групи, които залагат само на „големи риби“.

Подобен модел следват и други RaaS групи като Qilin, които все по-често предпочитат малки, но сигурни плащания, вместо скъпи и несигурни операции срещу големи корпорации.

Скъпият фокус върху големите предприятия

На другия полюс са групите, попаднали в т.нар. „shiny object syndrome“ – фиксация върху жертви с голям оборот и предполагаем висок капацитет за плащане. Тази стратегия обаче:

  • изисква значително по-високи инвестиции за първоначален достъп;

  • води до по-нисък процент на реални плащания, въпреки по-високите искания.

Исторически големите предприятия попадат във фокуса главно при кампании, които експлоатират широко използван софтуер или хардуер – например атаките на CL0P срещу системи за файлов трансфер или операциите на Scattered Spider, насочени към SaaS платформи.

През  2025 г. се наблюдава нова тенденция: групи, които традиционно атакуваха малки и средни компании, започват да навлизат в корпоративния сегмент, използвайки по-скъпи и целенасочени методи.

Вътрешната заплаха: тревожна еволюция

Особено показателен е случай, разкрит чрез служител на BBC. Член на групата Medusa е опитал да подкупи вътрешен служител, предлагайки му 15% от откупа срещу достъп до корпоративната мрежа.

Това е качествено нов етап в развитието на ransomware:

  • не просто кражба на данни от вътрешен човек;

  • а активно използване на инсайдери за пълноценна ransomware атака с криптиране.

До този момент вътрешните заплахи най-често се проявяваха като:

  • кражба на интелектуална собственост;

  • източване на данни от недоволни служители;

  • случаи на вътрешно съдействие при шпионаж.

Опитът за системно подкупване на служители от класическа RaaS група е ясен сигнал за икономически натиск върху престъпния модел.

Икономиката на ransomware: от „занаятчийство“ към криза

Преди десет години ransomware беше нискобюджетна „занаятчийска“ дейност:

  • евтин първоначален достъп;

  • минимална инфраструктура;

  • изпълнителите вършеха всичко – от разработката до преговорите.

С подобряването на бекъпите и хигиената в предприятията, процентът на плащане започна да спада. Отговорът беше добавянето на кражба на данни и възходът на RaaS модела. В краткосрочен план това увеличи печалбите, но:

  • доведе до сериозни оперативни разходи;

  • създаде напрежение между оператори и афилиейти;

  • ерозира маржовете.

Кулминацията настъпи през 2024 г. с колапса на две водещи RaaS марки, което разкри измами, вътрешни конфликти и нестабилност в екосистемата.

Новата реалност: по-малко плащания, по-голяма прецизност

Класическият RaaS модел, изстрелял групи като Conti, Hive и LockBit, вече не работи ефективно. В резултат:

  • опортюнистичните атаки отстъпват място на по-таргетирани операции;

  • социалното инженерство и helpdesk измамите се превръщат в стандарт;

  • вътрешните подкупи се появяват като „последна врата“ към зрели корпоративни среди.

Групи като Silent Ransom вече прилагат тясно фокусирани кампании чрез callback phishing в конкретни сектори като застраховане и правни услуги.

Реални данни за откупите през Q3 2025 г.

Среден платен откуп:
$376 941 (-66% спрямо Q2 2025)

Медианен платен откуп:
$140 000 (-65% спрямо Q2 2025)

Спадът се дължи на два ключови фактора:

  • големите предприятия все по-често отказват да плащат, дори при изтичане на данни;

  • средният бизнес плаща по-често, но значително по-малки суми.

Процент на плащане:

  • общо: 23% (исторически минимум);

  • само при изтичане на данни: 19%.

Това е силен индикатор, че икономиката на киберизнудването се свива.

Киберизнудването навлиза в етап на икономическа принуда и тактическа еволюция. Спадащите плащания тласкат атакуващите към:

  • по-скъпи и прецизни атаки;

  • фокус върху „бели китове“ – големи, високоценни организации;

  • използване на социално инженерство и вътрешни заплахи.

За защитниците това е потвърждение, че натискът работи. Всяко неплатено изнудване лишава атакуващите от „кислород“. Ключът напред е ясен – зрели програми за insider threat, отказ от плащане и последователна колективна защита.

#Akira, # RaaS, # вътрешни заплахи, # киберизнудване
По материали от Интернет

Подобни

Рансъмуер атаките нараснаха с 50% през 2025 г.
10.03.2026
ransomware3
Израелски потребители стават жертви на фалшива версия на Red Alert
9.03.2026
thedigitalartist-dont-panic-1067044_640
900 000 потребители са инсталирали зловредни ИИ разширения за браузър
8.03.2026
adrozek-malware-firefox-chrome-yandex-edge-browser-1
Китайска хакерска група атакува телекоми
8.03.2026
china
Фалшиви инсталатори на OpenClaw в GitHub
8.03.2026
GitHub___headpic (1)
JavaScript „червей“ предизвика инцидент със сигурността в Wikimedia
8.03.2026
Wikipedia

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.