Банды, занимающиеся распространением вирусов-вымогателей, наживаются на ликвидации конкурентов правоохранительными органами

После того как власти ликвидировали LockBit и RansomHub, другие группировки поспешили захватить их филиалы, согласно новому отчету, демонстрирующему нестабильность экосистемы киберпреступности.

По данным нового отчета Check Point Software Technologies , несколько крупных групп, предлагающих программы-вымогатели как услугу, прекратили размещать данные о своих жертвах на популярных сайтах утечек, что говорит о том, что экосистема стала более разрозненной, чем раньше.
В то же время многие более мелкие группы, которые раньше были связаны с более крупными игроками, «действуют самостоятельно или ищут новые партнерства», говорится в отчете Check Point, опубликованном в четверг.
«Известные игроки активно конкурируют за привлечение этих «осиротевших» филиалов», — говорится в отчете, в котором упоминается конкуренция между известными группами Qilin и DragonForce за филиалы ныне несуществующего RansomHub.

В отчете Check Point описывается, как новые группы, занимающиеся разработкой программ-вымогателей, набирают популярность практически сразу после того, как их предшественники терпят крах под тяжестью расследований правоохранительных органов, арестов и уничтожения инфраструктуры, что подчеркивает хаотичный характер экосистемы киберпреступности.

Например, к тому времени, как в мае 2025 года глобальные правоохранительные органы нанесли LockBit смертельный удар, оператор программ-вымогателей RansomHub уже расширился и вытеснил LockBit, который уже около года находился в упадке. Однако в апреле 2025 года, ещё до окончательного закрытия LockBit, сам RansomHub прекратил своё существование. «Точные обстоятельства его исчезновения остаются неясными, — пишут исследователи Check Point, — но последствия для экосистемы программ-вымогателей были мгновенными».

Аффилированным группам RansomHub, которые в течение шести месяцев, предшествовавших закрытию группировки, сообщали о среднем 75 новых жертвах ежемесячно, нуждался в новом партнёре. Похоже, многие из них нашли такого партнёра в лице Цилиня, активность которого почти удвоилась во втором квартале 2025 года — с 35 жертв в среднем до почти 70, по данным Check Point.

Компания Qilin продемонстрировала долголетие, работая с 2022 года, и её деятельность после закрытия RansomHub наглядно демонстрирует, почему: она знает, когда извлечь выгоду из неудач конкурентов. После того, как RansomHub перестал работать, Qilin начала рекламировать «улучшенные функции» своего инструментария для атак, сообщает Check Point, включая «новые интегрированные возможности DDoS и консультации по переговорам с [жертвой]».

DragonForce, ещё одна крупная группа, предлагавшая программы-вымогатели как услугу, также попыталась извлечь выгоду из краха RansomHub, заявив, что перешла на платформу DragonForce. Данные Check Point показывают «заметный рост» числа жертв DragonForce в апреле и июне, но компания заявила, что неясно, является ли это устойчивой тенденцией или временным всплеском.

Несмотря на меняющийся ландшафт источников угроз, некоторые аспекты экосистемы программ-вымогателей остаются прежними, согласно отчёту Check Point. На США приходится примерно половина всех зарегистрированных жертв, а на Великобританию, Германию и Канаду приходится по 5%. Однако, как отмечает Check Point, некоторые группы «демонстрируют чёткие географические предпочтения», включая Safepay, которая непропорционально фокусировалась на Германии, и Akira, которая сосредоточилась на Италии.