Σύνοψη
- Οι επιθέσεις ransomware επικεντρώνονται πλέον στην κλοπή και διαρροή ευαίσθητων δεδομένων αντί για την παραδοσιακή κρυπτογράφηση συστημάτων.
- Το οικοσύστημα των κυβερνοεγκληματιών εξελίσσεται με τη χρήση "EDR killers" για την απενεργοποίηση των συστημάτων ασφαλείας πριν την επίθεση.
- Παρατηρείται η υιοθέτηση προτύπων μετακβαντικής κρυπτογραφίας από ομάδες ransomware, ώστε τα δεδομένα να αντέχουν σε μελλοντικές προσπάθειες αποκρυπτογράφησης.
- Η ομάδα Qilin αναδείχθηκε ως ο κυρίαρχος πάροχος ransomware-as-a-service (RaaS) το 2025 , ενώ για το 2026 η ομάδα "Gentlemen" θεωρείται από τους σημαντικότερους νέους απειλητικούς δρώντες.
Η 12η Μαΐου 2026 σηματοδοτεί την Παγκόσμια Ημέρα κατά του Ransomware. Με αφορμή αυτό το γεγονός, η Kaspersky προχώρησε στη δημοσίευση μιας εκτενούς ανάλυσης η οποία χαρτογραφεί τις κυρίαρχες τάσεις που διαμόρφωσαν το τοπίο των ψηφιακών απειλών το 2025, παραθέτοντας παράλληλα τις εκτιμήσεις της για την πορεία του κυβερνοεγκλήματος το 2026. Βάσει των δεδομένων που συγκεντρώθηκαν από το Kaspersky Security Network, τα ποσοστά των οργανισμών που κατέγραψαν επιθέσεις ransomware διαφέρουν γεωγραφικά: η Λατινική Αμερική βρίσκεται στην πρώτη θέση με 8,13%, ακολουθούμενη από την περιοχή Ασίας-Ειρηνικού (7,89%), την Αφρική (7,62%), τη Μέση Ανατολή (7,27%), την Κοινοπολιτεία Ανεξάρτητων Κρατών (5,91%) και την Ευρώπη με 3,82%.
Παρά το γεγονός ότι καταγράφηκε μια μικρή μείωση του συνολικού ποσοστού των οργανισμών που στοχοποιήθηκαν το 2025 συγκριτικά με το 2024, ο κίνδυνος για τους τελικούς χρήστες και τις επιχειρήσεις παραμένει εξαιρετικά κρίσιμος. Αυτό οφείλεται στην ικανότητα των επιτιθέμενων να βιομηχανοποιούν τις δραστηριότητές τους και να αυτοματοποιούν τις μεθόδους με τις οποίες παραβιάζουν τα εταιρικά δίκτυα.
Η μετάβαση στον εκβιασμό χωρίς κρυπτογράφηση
Οι σύγχρονες ομάδες κυβερνοεγκληματιών εγκαταλείπουν σταδιακά την απλή κρυπτογράφηση αρχείων, στρέφοντας το ενδιαφέρον τους στην στοχευμένη κλοπή και επακόλουθη διαρροή ευαίσθητων εταιρικών δεδομένων. Η συγκεκριμένη τακτική αποτελεί πλέον τον πυρήνα των επιχειρήσεων εκβιασμού.
Η έκθεση της Kaspersky επισημαίνει ρητά την αύξηση των επιθέσεων εκβιασμού όπου δεν μεσολαβεί καθόλου κρυπτογράφηση. Οι εγκληματίες επικεντρώνονται στην άσκηση πίεσης μέσω του κινδύνου πλήγματος στη φήμη της εταιρείας, αλλά και των πιθανών κανονιστικών κυρώσεων που προκύπτουν από τη διαρροή δεδομένων. Για τη διανομή αυτών των παραβιασμένων δεδομένων και των κλεμμένων διαπιστευτηρίων, οι ομάδες εξακολουθούν να αξιοποιούν εκτενώς το Telegram.
Τόσο τα κανάλια στο Telegram όσο και τα εξειδικευμένα φόρουμ του dark web λειτουργούν ως οι βασικές πλατφόρμες πώλησης δεδομένων τα οποία αποκτώνται μέσω επιθέσεων ransomware. Κατά τη διάρκεια του 2026, οι διωκτικές αρχές σημείωσαν επιτυχίες κλείνοντας το φόρουμ RAMP τον Ιανουάριο (το οποίο χρησίμευε για διαφήμιση υπηρεσιών ransomware) και το LeakBase τον Μάρτιο. Παρόλα αυτά, η Kaspersky προειδοποιεί ότι τέτοιου είδους πλατφόρμες διαρροής δεδομένων ενδέχεται να επανεμφανιστούν.
Η τεχνική εξέλιξη: EDR Killers και μετακβαντική κρυπτογραφία
Η βελτίωση του οπλοστασίου των hackers είναι εμφανής μέσα από δύο βασικές τεχνολογικές τάσεις. Αρχικά, παρατηρείται συνεχής αύξηση στη χρήση των EDR “killers” κατά τη διάρκεια του 2025. Πρόκειται για εξειδικευμένα εργαλεία τα οποία αναπτύσσονται με μοναδικό σκοπό την απενεργοποίηση των λύσεων ασφάλειας τερματικού σημείου (Endpoint Detection and Response) πριν καν ξεκινήσει η εκτέλεση του κακόβουλου λογισμικού. Η ενσωμάτωση των EDR killers έχει καταστεί πλέον βασικό συστατικό στοιχείο των επιθέσεων, αναδεικνύοντας τον μεθοδικό και άκρως οργανωμένο χαρακτήρα των σύγχρονων εισβολών.
Εξίσου ανησυχητική είναι η επιβεβαίωση παλαιότερων προβλέψεων της Kaspersky σχετικά με την υιοθέτηση προτύπων μετακβαντικής κρυπτογραφίας από οικογένειες ransomware. Οι ερευνητές διαπιστώνουν τη μετάβαση προς μεθόδους κρυπτογράφησης οι οποίες σχεδιάζονται για να παραμένουν ανθεκτικές ακόμη και απέναντι σε μελλοντικές προσπάθειες αποκρυπτογράφησης που θα βασίζονται σε συστήματα κβαντικών υπολογιστών.
Το μοντέλο Access-as-a-Service και οι πρωταγωνιστές
Η αρχιτεκτονική των επιθέσεων βασίζεται όλο και περισσότερο στους Initial Access Brokers (IAB). Αυτοί οι μεσάζοντες του κυβερνοεγκλήματος πωλούν, μέσω dark web φόρουμ και εφαρμογών ανταλλαγής μηνυμάτων, έτοιμη πρόσβαση σε ήδη παραβιασμένα εταιρικά συστήματα. Παράλληλα, οι πύλες RDWeb, οι οποίες επιτρέπουν τον απομακρυσμένο έλεγχο συσκευών, στοχοποιούνται συστηματικά. Μέσα από αυτά τα μοντέλα “Access-as-a-Service”, οι ομάδες ransomware βιομηχανοποιούν τις επιχειρήσεις τους, μειώνοντας δραστικά τα εμπόδια και την τεχνική δυσκολία για τη διεξαγωγή μιας επίθεσης.
Σχετικά με τη δραστηριότητα των ομάδων, μετά την κατάσχεση των υποδομών της RansomHub, η Kaspersky αναγνώρισε την Qilin ως τον κορυφαίο πάροχο ransomware-as-a-service (RaaS) για το 2025, βάσει των ιστότοπων διαρροής δεδομένων. Ακολουθούν η ομάδα Clop στη δεύτερη θέση και η Akira στην τρίτη. Παρά την παύση εργασιών αρκετών μεγάλων ομάδων εντός του 2025, νέοι δρώντες αναλαμβάνουν άμεσα δράση.
Χαρακτηριστικό παράδειγμα για το 2026 αποτελεί η ομάδα "Gentlemen". Η συγκεκριμένη ομάδα χαρακτηρίζεται από ταχεία ανάπτυξη, εξαιρετικά οργανωμένη δομή στις εκστρατείες της και απόλυτη προσήλωση στον εκβιασμό μέσω δεδομένων. Υπάρχουν μάλιστα ενδείξεις ότι τα μέλη της Gentlemen συνδέονταν στο παρελθόν με άλλες μεγάλες επιχειρήσεις ransomware. Η δράση τους αντιπροσωπεύει τη συνολική αλλαγή φιλοσοφίας του οικοσυστήματος: οι χαοτικές επιθέσεις δίνουν τη θέση τους σε επιδραστικά μοντέλα εκβιασμού "επιχειρηματικού τύπου".
Βέλτιστες πρακτικές και άμυνα
Όπως αναφέρει ο Fabio Assolini, επικεφαλής ερευνητής ασφάλειας στην Kaspersky GReAT, οι απειλητικοί δράστες προσαρμόζονται ταχύτατα μετατρέποντας νόμιμα εργαλεία σε όπλα και εκμεταλλευόμενοι υποδομές απομακρυσμένης πρόσβασης. Το ransomware λειτουργεί πλέον ως ένα οργανωμένο οικοσύστημα εμπορικής εκμετάλλευσης κλεμμένων δεδομένων με επιχειρηματική αποτελεσματικότητα.
Για την προστασία των οργανισμών, η Kaspersky προτείνει ένα συγκεκριμένο πλαίσιο αμυντικής στρατηγικής:
- Ενεργοποίηση προστασίας από ransomware σε όλα τα τερματικά, αξιοποιώντας εργαλεία όπως το δωρεάν Kaspersky Anti-Ransomware Tool for Business.
- Διαρκής ενημέρωση του λογισμικού σε όλες τις συσκευές για την αποτροπή εκμετάλλευσης ευπαθειών.
- Εστίαση της άμυνας στην ανίχνευση υπόγειων κινήσεων και στη συνεχή παρακολούθηση της εξερχόμενης κίνησης δικτύου για τον εντοπισμό συνδέσεων με κυβερνοεγκληματίες.
- Δημιουργία και διατήρηση offline αντιγράφων ασφαλείας, τα οποία θα είναι άμεσα προσβάσιμα σε καταστάσεις έκτακτης ανάγκης, αλλά απρόσιτα σε εξωτερικές παρεμβάσεις.
- Εγκατάσταση εξειδικευμένων λύσεων anti-APT και EDR, οι οποίες παρέχουν δυνατότητες προηγμένης ανίχνευσης και έγκαιρης αντιμετώπισης περιστατικών.
- Συνεχής αναβάθμιση δεξιοτήτων των ομάδων SOC μέσω επαγγελματικής εκπαίδευσης και πρόσβασης σε σύγχρονες πληροφορίες απειλών (threat intelligence), όπως αυτές που παρέχονται μέσω του Kaspersky Next.
*Μπορείτε πλέον να προσθέσετε το Techgear.gr ως Προτιμώμενη Πηγή ενημέρωσης για τις αναζητήσεις σας στο Google Search!
