- 27,441
- 46
- 8 Ноя 2022
Четыре группировки взяли под контроль почти половину всех атак с шифрованием данных.
Вымогатели снова делят рынок между крупными игроками. После двух лет хаоса и появления десятков мелких группировок киберпреступный мир быстро возвращается к старой модели, где основную долю атак контролируют несколько крупных операторов. За первый квартал 2026 года десять крупнейших группировок взяли на себя 71% всех опубликованных атак с шифрованием данных.
Специалисты Check Point Research подсчитали , что с января по март 2026 года на сайтах утечек появились данные о 2122 жертвах программ-вымогателей. Показатель оказался ниже рекордного четвёртого квартала 2025 года, когда злоумышленники заявили о 2416 атаках, однако нынешний результат стал вторым по величине первым кварталом за всю историю наблюдений.
Самой активной группировкой третий квартал подряд остаётся Qilin . За первые три месяца года операторы опубликовали данные о 338 жертвах. На втором месте оказалась Akira, а главным открытием квартала стала группировка The Gentlemen. Осенью 2025 года о ней почти никто не слышал, а теперь операторы вышли на третье место в мире, увеличив число атак с 40 до 166 всего за один квартал.
Отдельное внимание аналитики уделили возвращению LockBit. После того как инфраструктуру группировки разгромили в 2024 году, многие считали проект мёртвым, однако новая версия платформы LockBit 5.0 быстро восстановила позиции. За квартал операторы заявили о 163 жертвах и поднялись на четвёртое место среди самых активных вымогателей.
Одним из главных изменений 2026 года стало сокращение числа активных группировок. Если в третьем квартале 2025 года специалисты насчитывали 85 действующих операторов, то теперь осталось 71. Четырнадцать групп полностью исчезли, а большинство новичков не смогли набрать даже десяти жертв. Освободившееся место быстро заняли крупнейшие игроки, которые начали переманивать партнёров и инфраструктуру ослабленных конкурентов.
Авторы отчёта считают, что давление правоохранительных органов только усиливает концентрацию рынка. После арестов и закрытия инфраструктуры часть участников уходит с рынка, а оставшиеся крупные проекты поглощают партнёров и расширяют влияние. Именно так укрепились Qilin, Akira, The Gentlemen и LockBit, на долю которых пришлась почти половина всех атак квартала.
The Gentlemen специалисты называют самой заметной новой группировкой последних месяцев. Проект создал бывший партнёр Qilin под псевдонимом Hastalamuerte после конфликта из-за невыплаченного вознаграждения примерно на 48 тысяч долларов. Благодаря опыту работы с Qilin, Embargo, LockBit и Medusa операторы получили готовые инструменты и уже с первых недель начали проводить масштабные атаки.
Ключевым преимуществом The Gentlemen оказался огромный запас ранее взломанных устройств FortiGate. По данным отчёта, группировка контролирует около 14,7 тысячи устройств, взломанных через уязвимость CVE-2024-55591 в FortiOS и FortiProxy, а также почти тысячу действующих учётных записей для подключения через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> FortiGate. Такой объём заранее подготовленного доступа позволяет атаковать компании значительно быстрее обычных партнёров программ-вымогателей.
The Gentlemen также выделяется необычной географией атак. Если почти половина всех жертв вымогателей в мире приходится на США, то у новой группировки доля американских компаний составила лишь 13,3%. Среди наиболее атакуемых стран оказались Таиланд, Бразилия и Индия. Специалисты связывают такую картину с расположением уязвимых устройств FortiGate, к которым злоумышленники получили доступ заранее.
LockBit тоже изменил подход к выбору целей. До того как инфраструктуру разгромили, более половины жертв группировки находились в США, однако в 2026 году показатель упал до 21%. Вместо американских компаний операторы начали чаще атаковать организации в Италии, Бразилии и Турции. Авторы отчёта предполагают, что группировка пытается снизить риск нового давления со стороны американских правоохранительных органов.
Среди наиболее атакуемых стран по-прежнему лидируют США, на которые пришлось почти 50% всех случаев. Однако впервые в десятку вошёл Таиланд, где более половины атак связаны именно с деятельностью The Gentlemen. В некоторых странах статистику практически полностью формирует одна группировка. Например, в Мексике доминирует LockBit, а в Австралии большую часть атак обеспечила Cl0p благодаря массовой эксплуатации уязвимости в Oracle EBS.
По отраслям сильнее всего пострадали промышленность, потребительский сектор и сфера услуг. При этом разные группировки придерживаются собственных стратегий. Akira активно атакует производственные компании и поставщиков товаров, поскольку простой таких организаций обходится особенно дорого и повышает вероятность выплаты выкупа. Anubis, напротив, чаще других выбирает медицинские организации и объекты критической инфраструктуры.
Авторы отчёта считают, что рынок программ-вымогателей вступил в новый этап. Крупные операторы становятся технологически сильнее, активнее работают по всему миру и лучше переживают удары правоохранительных органов. Одновременно доходность атак снижается, а выплаты выкупа падают до исторических минимумов. На этом фоне мелким группировкам становится всё сложнее конкурировать с крупнейшими игроками рынка.
Вымогатели снова делят рынок между крупными игроками. После двух лет хаоса и появления десятков мелких группировок киберпреступный мир быстро возвращается к старой модели, где основную долю атак контролируют несколько крупных операторов. За первый квартал 2026 года десять крупнейших группировок взяли на себя 71% всех опубликованных атак с шифрованием данных.
Специалисты Check Point Research подсчитали , что с января по март 2026 года на сайтах утечек появились данные о 2122 жертвах программ-вымогателей. Показатель оказался ниже рекордного четвёртого квартала 2025 года, когда злоумышленники заявили о 2416 атаках, однако нынешний результат стал вторым по величине первым кварталом за всю историю наблюдений.
Самой активной группировкой третий квартал подряд остаётся Qilin . За первые три месяца года операторы опубликовали данные о 338 жертвах. На втором месте оказалась Akira, а главным открытием квартала стала группировка The Gentlemen. Осенью 2025 года о ней почти никто не слышал, а теперь операторы вышли на третье место в мире, увеличив число атак с 40 до 166 всего за один квартал.
Отдельное внимание аналитики уделили возвращению LockBit. После того как инфраструктуру группировки разгромили в 2024 году, многие считали проект мёртвым, однако новая версия платформы LockBit 5.0 быстро восстановила позиции. За квартал операторы заявили о 163 жертвах и поднялись на четвёртое место среди самых активных вымогателей.
Одним из главных изменений 2026 года стало сокращение числа активных группировок. Если в третьем квартале 2025 года специалисты насчитывали 85 действующих операторов, то теперь осталось 71. Четырнадцать групп полностью исчезли, а большинство новичков не смогли набрать даже десяти жертв. Освободившееся место быстро заняли крупнейшие игроки, которые начали переманивать партнёров и инфраструктуру ослабленных конкурентов.
Авторы отчёта считают, что давление правоохранительных органов только усиливает концентрацию рынка. После арестов и закрытия инфраструктуры часть участников уходит с рынка, а оставшиеся крупные проекты поглощают партнёров и расширяют влияние. Именно так укрепились Qilin, Akira, The Gentlemen и LockBit, на долю которых пришлась почти половина всех атак квартала.
The Gentlemen специалисты называют самой заметной новой группировкой последних месяцев. Проект создал бывший партнёр Qilin под псевдонимом Hastalamuerte после конфликта из-за невыплаченного вознаграждения примерно на 48 тысяч долларов. Благодаря опыту работы с Qilin, Embargo, LockBit и Medusa операторы получили готовые инструменты и уже с первых недель начали проводить масштабные атаки.
Ключевым преимуществом The Gentlemen оказался огромный запас ранее взломанных устройств FortiGate. По данным отчёта, группировка контролирует около 14,7 тысячи устройств, взломанных через уязвимость CVE-2024-55591 в FortiOS и FortiProxy, а также почти тысячу действующих учётных записей для подключения через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> FortiGate. Такой объём заранее подготовленного доступа позволяет атаковать компании значительно быстрее обычных партнёров программ-вымогателей.
The Gentlemen также выделяется необычной географией атак. Если почти половина всех жертв вымогателей в мире приходится на США, то у новой группировки доля американских компаний составила лишь 13,3%. Среди наиболее атакуемых стран оказались Таиланд, Бразилия и Индия. Специалисты связывают такую картину с расположением уязвимых устройств FortiGate, к которым злоумышленники получили доступ заранее.
LockBit тоже изменил подход к выбору целей. До того как инфраструктуру разгромили, более половины жертв группировки находились в США, однако в 2026 году показатель упал до 21%. Вместо американских компаний операторы начали чаще атаковать организации в Италии, Бразилии и Турции. Авторы отчёта предполагают, что группировка пытается снизить риск нового давления со стороны американских правоохранительных органов.
Среди наиболее атакуемых стран по-прежнему лидируют США, на которые пришлось почти 50% всех случаев. Однако впервые в десятку вошёл Таиланд, где более половины атак связаны именно с деятельностью The Gentlemen. В некоторых странах статистику практически полностью формирует одна группировка. Например, в Мексике доминирует LockBit, а в Австралии большую часть атак обеспечила Cl0p благодаря массовой эксплуатации уязвимости в Oracle EBS.
По отраслям сильнее всего пострадали промышленность, потребительский сектор и сфера услуг. При этом разные группировки придерживаются собственных стратегий. Akira активно атакует производственные компании и поставщиков товаров, поскольку простой таких организаций обходится особенно дорого и повышает вероятность выплаты выкупа. Anubis, напротив, чаще других выбирает медицинские организации и объекты критической инфраструктуры.
Авторы отчёта считают, что рынок программ-вымогателей вступил в новый этап. Крупные операторы становятся технологически сильнее, активнее работают по всему миру и лучше переживают удары правоохранительных органов. Одновременно доходность атак снижается, а выплаты выкупа падают до исторических минимумов. На этом фоне мелким группировкам становится всё сложнее конкурировать с крупнейшими игроками рынка.
- Источник новости
- www.securitylab.ru
