22/09/25
Qilin продолжает удерживать лидерство среди всех действующих групп, занимающихся шифровыми атаками, и сохраняет значительное отставание конкурентов по количеству зафиксированных инцидентов. Согласно свежему отчёту компании Cyble, только лишь за август группировка атаковала 104 организации, в то время как ближайший преследователь, Akira, достиг только 56 жертв. Несмотря на это, на горизонте появились новые игроки, чья стремительная активность может в ближайшем будущем кардинально изменить баланс сил в ландшафте программ-вымогателей, пишет Securitylab.
Общее количество зафиксированных атак за август достигло 467, что стало уже четвёртым подряд месяцем роста подобных инцидентов. При этом пик, зафиксированный в феврале, пока остаётся непревзойдённым. Особенно настораживает всё чаще встречающаяся тенденция атак на цепочки поставок программного обеспечения — подобные случаи фиксируются всё чаще, а последствия таких вторжений могут быть масштабными.
После того, как в начале апреля резко ослабла активность RansomHub, Qilin удалось существенно укрепить свои позиции: с тех пор группировка заявила об атаке на 398 целей — это на 70% больше, чем у Akira за тот же период. По оценке Cyble, Qilin смогла перехватить многих бывших партнёров и участников инфраструктуры RansomHub, предлагая им привлекательные условия и возможности. В результате Qilin контролирует более 18% всех атак с апреля по август включительно, тогда как Akira ограничивается долей в 10,7%.
Однако настоящей сенсацией последних месяцев стал стремительный взлёт группировки Sinobi, появившейся всего два месяца назад и уже занявшей третье место по числу атак. Из 41 цели, о которых она заявила, подавляющее большинство приходятся на США. Исследователи Cyble обращают внимание на сходства между технической инфраструктурой и утекшими данными Sinobi и других активных группировок — в частности, Lynx и INC Ransom. Несмотря на это, все три продолжают действовать независимо, что ставит под сомнение гипотезу о ребрендинге и скорее говорит о внутренней кооперации.
Стоит отметить, что после 24 августа Sinobi заявила лишь об одном новом инциденте. Это может указывать как на смену тактики, так и на достижение организационного потолка — резкий рост часто оборачивается столь же быстрым затуханием.
Не менее примечательным является появление ещё одного новичка — группировки The Gentlemen. С начала сентября она взяла на себя ответственность за более 30 атак, и, если темп сохранится, к концу месяца её доля на рынке может стать сопоставимой с текущими лидерами.
Дополнительное напряжение создаёт активизация LockBit, ранее считавшейся крупнейшей группой в вымогательской сфере. Запуск новой версии инструмента — LockBit 5.0 — указывает на попытку вернуть утраченное влияние и вновь занять доминирующее положение. Успех кампании будет понятен только по итогам сентября, но уже сейчас заметна нарастающая конкуренция между ветеранами и новыми игроками.
В своём заключении Cyble подчёркивает, что постоянная эволюция группировок и модификация их программных решений продолжают оставаться главной угрозой для корпоративных инфраструктур и служб безопасности. Воздействие подобных атак затрагивает не только финансовую сферу, но также критическую инфраструктуру, цепочки поставок, бизнес-процессы и операционные модели компаний.
