Με αφορμή την Παγκόσμια Ημέρα κατά του Ransomware, στις 12 Μαΐου, η Kaspersky δημοσίευσε ανάλυση σχετικά με τις κυρίαρχες τάσεις και τις μεθόδους που χαρακτήρισαν το τοπίο του ransomware το 2025, ενώ παράλληλα μοιράστηκε εκτιμήσεις για την εξέλιξη των απειλών μέσα στο 2026. Σύμφωνα με στοιχεία του Kaspersky Security Network, η Λατινική Αμερική κατέγραψε το υψηλότερο ποσοστό οργανισμών που εντόπισαν επιθέσεις ransomware (8,13%), ακολουθούμενη από την περιοχή Ασίας-Ειρηνικού (7,89%), την Αφρική (7,62%), τη Μέση Ανατολή (7,27%), την Κοινοπολιτεία Ανεξάρτητων Κρατών (CIS) (5,91%) και την Ευρώπη (3,82%). Η έκθεση επισημαίνει, μεταξύ άλλων, την αύξηση των επιθέσεων εκβιασμού χωρίς κρυπτογράφηση, τη χρήση μετακβαντικής κρυπτογραφίας από ομάδες ransomware, καθώς και τη συνεχιζόμενη αξιοποίηση καναλιών στο Telegram από κυβερνοεγκληματίες για τη διανομή παραβιασμένων δεδομένων και διαπιστευτηρίων.
Παρά τη μικρή μείωση του συνολικού ποσοστού οργανισμών που δέχθηκαν επιθέσεις ransomware το 2025, σε σύγκριση με το 2024, οι χρήστες εξακολουθούν να αντιμετωπίζουν σημαντικό κίνδυνο, καθώς οι επιτιθέμενοι βιομηχανοποιούν τις δραστηριότητές τους, αυτοματοποιούν τις μεθόδους εισβολής και στρέφονται ολοένα περισσότερο στην κλοπή και διαρροή ευαίσθητων δεδομένων, αντί στην απλή κρυπτογράφηση συστημάτων.
Τα κανάλια στο Telegram και τα φόρουμ του dark web εξακολουθούν να λειτουργούν ως πλατφόρμες διανομής και πώλησης παραβιασμένων δεδομένων και στοιχείων πρόσβασης, συμπεριλαμβανομένων όσων αποκτήθηκαν μέσω επιθέσεων ransomware. Ένα μεγάλο υπόγειο φόρουμ, το RAMP, το οποίο χρησιμοποιούνταν επίσης από δράστες για τη διαφήμιση υπηρεσιών ransomware και τη δημοσίευση σχετικών ενημερώσεων, εντοπίστηκε από τις αρχές τον Ιανουάριο του 2026. Ένα ακόμη φόρουμ, το LeakBase, μέσω του οποίου κακόβουλοι χρήστες διακινούσαν κλεμμένα και παραβιασμένα δεδομένα, εντοπίστηκε τον Μάρτιο του 2026. Ωστόσο, παρότι οι διωκτικές αρχές προχωρούν ενεργά στο κλείσιμο πλατφορμών του dark web και ιστοσελίδων διαρροής δεδομένων ransomware, παρόμοιες πλατφόρμες ενδέχεται να επανεμφανιστούν με την πάροδο του χρόνου.
Μία από τις βασικές τάσεις του 2025 είναι η συνεχιζόμενη αύξηση των λεγόμενων EDR “killers” — εργαλείων που έχουν σχεδιαστεί ειδικά για να απενεργοποιούν λύσεις ασφάλειας τερματικού σημείου πριν ενεργοποιηθεί το ίδιο το κακόβουλο λογισμικό. Τα EDR killers έχουν πλέον εξελιχθεί σε βασικό στοιχείο των επιθέσεων, γεγονός που υποδηλώνει πιο μεθοδικές και οργανωμένες εισβολές.
Οι ερευνητές σημειώνουν επίσης την εμφάνιση οικογενειών ransomware που υιοθετούν πρότυπα μετακβαντικής κρυπτογραφίας — μια εξέλιξη που η Kaspersky είχε προβλέψει στο παρελθόν. Η τάση αυτή σηματοδοτεί μια ανησυχητική μετάβαση προς μεθόδους κρυπτογράφησης που ενδέχεται να είναι ανθεκτικές σε μελλοντικές προσπάθειες αποκρυπτογράφησης μέσω κβαντικών υπολογιστών.
Ο ρόλος των Initial Access Brokers (IAB) — μεσαζόντων στον χώρο του κυβερνοεγκλήματος που πωλούν πρόσβαση σε εταιρικά συστήματα τα οποία έχουν ήδη παραβιαστεί, μέσω φόρουμ και πλατφορμών ανταλλαγής μηνυμάτων — αποκτά ολοένα και μεγαλύτερη σημασία. Οι πύλες RDWeb (ιστοσελίδες μέσω των οποίων είναι δυνατός ο απομακρυσμένος έλεγχος συσκευών) αποτελούν όλο και συχνότερα στόχο, καθώς οι ομάδες ransomware συνεχίζουν να βιομηχανοποιούν τις επιθέσεις τους μέσω μοντέλων “Access-as-a-Service”. Ως αποτέλεσμα, μειώνονται τα εμπόδια για τη διεξαγωγή επιθέσεων ransomware.
Οι πιο ενεργές ομάδες
Μεταξύ των πιο ενεργών ομάδων ransomware το 2025, με βάση ιστότοπους διαρροής δεδομένων, η Kaspersky αναγνώρισε την Qilin ως τον κυρίαρχο πάροχο ransomware-as-a-service (RaaS), μετά την κατάσχεση των δραστηριοτήτων της RansomHub. Η Clop κατατάχθηκε στη δεύτερη θέση, ενώ η Akira στην τρίτη.
Το μερίδιο των θυμάτων κάθε ομάδας ransomware, σύμφωνα με τον ιστότοπο διαρροής δεδομένων (DLS), ως ποσοστό του συνόλου των αναφερόμενων θυμάτων όλων των ομάδων το 2025
Παρότι αρκετές μεγάλες ομάδες ransomware σταμάτησαν τη δραστηριότητά τους το 2025, εξακολουθούν να εμφανίζονται νέοι «παίκτες». Εξετάζοντας το 2026, η ομάδα Gentlemen θεωρείται ένας από τους σημαντικότερους νέους «παίκτες» στον χώρο του ransomware, λόγω της ταχείας ανάπτυξής της, της οργανωμένης δομής των εκστρατειών της και της αυξανόμενης εστίασής της στον εκβιασμό μέσω δεδομένων. Η ομάδα ενδέχεται να περιλαμβάνει δράστες που στο παρελθόν συνδέονταν με άλλες μεγάλες ransomware επιχειρήσεις. Οι Gentlemen αντικατοπτρίζουν μια ευρύτερη μετατόπιση στο οικοσύστημα του ransomware — από χαοτικές και θορυβώδεις εκστρατείες σε πιο επιδραστικά, «επιχειρηματικού τύπου» μοντέλα εκβιασμού, που βασίζονται κυρίως στην κλοπή ευαίσθητων δεδομένων και στην άσκηση πίεσης μέσω φήμης και κανονιστικών συνεπειών, αντί της αποκλειστικής χρήσης καταστροφικής κρυπτογράφησης αρχείων.
«Το ransomware έχει εξελιχθεί σε ένα άκρως οργανωμένο οικοσύστημα που επικεντρώνεται στην εμπορική εκμετάλλευση κλεμμένων δεδομένων, στην απενεργοποίηση αμυντικών μηχανισμών και στην κλιμάκωση των επιθέσεων με επιχειρηματική αποτελεσματικότητα. Οι απειλητικοί δράστες προσαρμόζονται γρήγορα, μετατρέπουν νόμιμα εργαλεία σε όπλα, εκμεταλλεύονται υποδομές απομακρυσμένης πρόσβασης και υιοθετούν ακόμη και μετακβαντική κρυπτογραφία χρόνια νωρίτερα από ό,τι περίμεναν οι περισσότεροι. Σκοπός της Ημέρας κατά του Ransomware είναι να ευαισθητοποιήσει παγκοσμίως σχετικά με τις απειλές που θέτει το ransomware και να προωθήσει βέλτιστες πρακτικές πρόληψης και αντιμετώπισης. Καλούμε όλους τους χρήστες να παραμείνουν ασφαλείς, να δημιουργήσουν πολυεπίπεδες άμυνες, να επενδύσουν σε αντίγραφα ασφαλείας και να ενισχύσουν τα επίπεδα ψηφιακού εγγραμματισμού για την αντιμετώπιση των επιθέσεων», σχολιάζει ο Fabio Assolini, επικεφαλής ερευνητής ασφάλειας στην Kaspersky GReAT.
Η πλήρης έκθεση είναι διαθέσιμη στο Securelist.
Με αφορμή την Παγκόσμια Ημέρα κατά του Ransomware, αλλά και ανεξάρτητα από αυτή, η Kaspersky ενθαρρύνει τους οργανισμούς να ακολουθούν τις παρακάτω βέλτιστες πρακτικές για την προστασία τους από επιθέσεις ransomware:
- Ενεργοποιήστε την προστασία από ransomware σε όλα τα τερματικά. Υπάρχει ένα δωρεάν εργαλείο, το Kaspersky Anti-Ransomware Tool for Business, που προστατεύει υπολογιστές και διακομιστές από ransomware και άλλα είδη κακόβουλου λογισμικού, αποτρέπει την εκμετάλλευση ευπαθειών και είναι συμβατό με ήδη εγκατεστημένες λύσεις ασφαλείας.
- Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε, ώστε να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν ευπάθειες και να εισέλθουν στο δίκτυό σας.
- Εστιάστε τη στρατηγική άμυνας σας στην ανίχνευση υπόγειων κινήσεων και διαρροής δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στις εξερχόμενες κινήσεις για να εντοπίσετε τις συνδέσεις των κυβερνοεγκληματιών με το δίκτυό σας. Ρυθμίστε offline αντίγραφα ασφαλείας που οι εισβολείς δεν θα μπορούν να παραποιήσουν. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειαστεί ή σε περίπτωση έκτακτης ανάγκης.
- Οι εταιρείες που δεν ανήκουν στον βιομηχανικό τομέα μπορούν να προστατευθούν εγκαθιστώντας λύσεις anti-APT και EDR οι οποίες παρέχουν δυνατότητες προηγμένης ανίχνευσης και εντοπισμού απειλών, διερεύνηση και έγκαιρη αντιμετώπιση περιστατικών. Οι οργανισμοί μπορούν επίσης να παρέχουν στις ομάδες SOC τους πρόσβαση στις πιο πρόσφατες πληροφορίες για απειλές και να αναβαθμίζουν τακτικά τις δεξιότητές τους μέσω επαγγελματικής εκπαίδευσης. Όλα τα παραπάνω είναι διαθέσιμα στο Kaspersky Next.
