Νέα έρευνα Check Point: Πώς η AI και τα «Cyber Cartels» επαναπροσδιορίζουν το τοπίο του ransomware

Όπως καταγράφεται και στην Ετήσια Έκθεση 2025 της Check Point, οι συντονισμένες επιχειρήσεις επιβολής του νόμου σε παγκόσμιο επίπεδο έχουν προκαλέσει σοβαρές αναταράξεις σε μεγάλες ομάδες ransomware-as-a-service (RaaS). Αυτές οι ενέργειες περιλάμβαναν αποσυναρμολογήσεις δικτύων, ποινικές διώξεις, αλλά και την αποκάλυψη όχι μόνο των ίδιων των RaaS οργανισμών, αλλά και των μεμονωμένων συνεργατών τους (affiliates), ωθώντας τους βασικούς δράστες να περιορίσουν τη δημόσια παρουσία και τη νομική τους έκθεση.

Οι εκτεταμένες επιχειρήσεις δίωξης οδήγησαν στην αποδόμηση αρκετών βασικών ομάδων, όπως της LockBit, η οποία υπέστη καθοριστικό πλήγμα τον Μάιο του 2025 με το χακάρισμα και τη διαρροή των εσωτερικών της δεδομένων. Η ομάδα 8Base επίσης διέκοψε τη δραστηριότητά της ύστερα από παρόμοιες πιέσεις. Επιπλέον, επιχειρήσεις που στοχεύουν στην υποδομή των malware αρχικής πρόσβασης —κρίσιμο στοιχείο για την ανάπτυξη επιθέσεων ransomware— συνέβαλαν στη μείωση του αριθμού των επιθέσεων.

Σε επίπεδο πολιτικής, αυξανόμενος αριθμός χωρών προχωρά στη θέσπιση περιορισμών για την καταβολή λύτρων. Συνδυαστικά με την περιορισμένη αποτελεσματικότητα των εργαλείων αποκρυπτογράφησης σε ορισμένες περιπτώσεις, αλλά και τη μαζικότερη εφαρμογή ανθεκτικών στρατηγικών αντιγράφων ασφαλείας, όλα αυτά οδήγησαν το ποσοστό πληρωμών λύτρων σε ιστορικό χαμηλό —με εκτιμώμενο ποσοστό μόλις 25–27%.

Καθώς το λειτουργικό ρίσκο αυξάνεται και τα κέρδη συρρικνώνονται, πολλοί δράστες είτε εγκαταλείπουν εντελώς τις επιθέσεις ransomware είτε περιορίζουν συνειδητά τη δραστηριότητά τους. Δημόσιες δηλώσεις ομάδων όπως οι DragonForce και Hunters International δείχνουν ότι επιλέγουν πιο προσεκτικά τους στόχους τους ή απομακρύνονται πλήρως από πρακτικές εκβιασμού που βασίζονται στην κρυπτογράφηση. Άλλοι απλώς εξαφανίστηκαν αθόρυβα από το τοπίο του ransomware.

Οι ομάδες που φαίνεται να εγκατέλειψαν το πεδίο δράσης κατά το δεύτερο τρίμηνο του 2025 περιλαμβάνουν τις RansomHub, Babuk-Bjorka, FunkSec, BianLian, 8Base, Cactus και Hunters International. Οι αποχωρήσεις αυτές συνοδεύτηκαν και από αισθητή μείωση των «ψεύτικων» ή χαμηλής ποιότητας ισχυρισμών περί επιθέσεων — τακτική που χρησιμοποιούσαν κατά το παρελθόν ομάδες όπως οι FunkSec και Babuk-Bjorka για να ενισχύσουν τεχνητά το κύρος τους ή να αποσπάσουν λύτρα χωρίς να έχουν διαπράξει ουσιαστική εισβολή.

Κατά την υπό εξέταση περίοδο, έγινε παρακολούθηση πάνω από 75 ενεργών πλατφορμών διαρροής δεδομένων (Data Leak Sites – DLS), οι οποίες κατέγραψαν συνολικά 1.607 νέα θύματα. Πρόκειται για σημαντική μείωση σε σχέση με τα 2.289 θύματα που αναφέρθηκαν το πρώτο τρίμηνο του 2025, αν και ο αριθμός παραμένει υψηλότερος από τα 1.270 θύματα του δεύτερου τριμήνου του 2024. Αξιοσημείωτο είναι ότι οι μήνες Μάιος και Ιούνιος του 2025 ήταν οι πρώτοι από τον Σεπτέμβριο του 2024 όπου καταγράφηκαν λιγότερα από 500 νέα θύματα.

Παρά την πτωτική αυτή τάση, η δραστηριότητα του ransomware δεν έχει εκλείψει πλήρως. Με την κατάρρευση μεγάλων υπηρεσιών RaaS, πολλοί συνεργάτες (affiliates) λειτουργούν πλέον ανεξάρτητα ή αναζητούν νέες συνεργασίες. Το αποτέλεσμα είναι η εμφάνιση ενός αυξανόμενου αριθμού μικρότερων, συχνά βραχύβιων, ransomware ομάδων. Την ίδια στιγμή, οι πιο εδραιωμένοι «παίκτες» ανταγωνίζονται ενεργά για την προσέλκυση αυτών των «ορφανών» συνεργατών, όπως φάνηκε στη σύγκρουση μεταξύ των ομάδων Qilin και DragonForce μετά την κατάρρευση της RansomHub (λεπτομέρειες παρακάτω).

Στο πλαίσιο αυτής της αναδιάταξης δυνάμεων, αρκετές ομάδες —συμπεριλαμβανομένων των Play, Medusa, Akira, INC Ransom, Qilin, Lynx, Safepay και DragonForce— φαίνεται πως εδραιώνουν τη θέση τους σε ένα συρρικνωμένο αλλά ακόμη ενεργό οικοσύστημα.

Η γεωγραφική κατανομή παραμένει σταθερή

Η γεωγραφική κατανομή των θυμάτων ransomware κατά το δεύτερο τρίμηνο του 2025 συνεχίζει να ακολουθεί τις σταθερές τάσεις του οικοσυστήματος. Όπως και σε προηγούμενα τρίμηνα, οι Ηνωμένες Πολιτείες αντιπροσωπεύουν περίπου το 50% των συνολικών αναφερόμενων θυμάτων, επιβεβαιώνοντας τη θέση τους ως ο κύριος στόχος για τους κυβερνοεγκληματίες με οικονομικά κίνητρα. Η πλειονότητα των θυμάτων που δημοσιοποιούνται προέρχεται από δυτικές, ανεπτυγμένες χώρες, όπου οι οργανισμοί θεωρείται ότι διαθέτουν μεγαλύτερους οικονομικούς πόρους και είναι πιο πιθανό να καταβάλουν λύτρα.

Μια πιο προσεκτική ματιά στα δεδομένα των θυμάτων ανά χώρα αποκαλύπτει ότι ορισμένες ομάδες ransomware εμφανίζουν σαφείς γεωγραφικές προτιμήσεις. Η ομάδα Safepay παραμένει ιδιαίτερα ενεργή στη Γερμανία. Από τα 76 θύματα που καταγράφηκαν στη χώρα αυτό το τρίμηνο (σε σύγκριση με 74 το πρώτο τρίμηνο), η Safepay ισχυρίστηκε ότι ευθύνεται για σχεδόν το 40% των περιπτώσεων.

Η ομάδα ransomware Akira διατηρεί ιδιαίτερη εστίαση στην Ιταλία, καθώς το 10% των θυμάτων της προέρχεται από ιταλικές επιχειρήσεις, ποσοστό σημαντικά υψηλότερο από το 3% που αντιστοιχεί στον μέσο όρο του συνολικού οικοσυστήματος. Παράλληλα, το 14% των θυμάτων της ομάδας Satanlock προέρχεται από τη Βραζιλία (9 από τα συνολικά 36 βραζιλιάνικα περιστατικά).

Qilin: Κερδίζει έδαφος μετά την πτώση της RansomHub

Στις αρχές Απριλίου 2025, η RansomHub —η κυρίαρχη ομάδα RaaS που είχε καλύψει το κενό που άφησε η πτώση της LockBit στις αρχές του 2024— διέκοψε ξαφνικά τη λειτουργία της. Οι ακριβείς συνθήκες της εξαφάνισής της παραμένουν ασαφείς, ωστόσο ο αντίκτυπος στο οικοσύστημα του ransomware ήταν άμεσος. Με την ιστοσελίδα διαρροής δεδομένων της RansomHub εκτός λειτουργίας, οι συνεργάτες της —οι οποίοι κατέγραφαν κατά μέσο όρο περίπου 75 νέα θύματα τον μήνα το προηγούμενο εξάμηνο— βρέθηκαν να αναζητούν νέα πλατφόρμα. Πολλοί από αυτούς φαίνεται πως μετέφεραν τη δραστηριότητά τους στην ομάδα Qilin, η οποία σχεδόν διπλασίασε τη δράση της το δεύτερο τρίμηνο του 2025, αυξάνοντας τον μέσο αριθμό θυμάτων από 35 σε σχεδόν 70 τον μήνα.

Η Qilin συγκαταλέγεται στις πιο εδραιωμένες ομάδες RaaS, με σταθερή παρουσία και καταγεγραμμένη δραστηριότητα από το 2022. Προσφέρει στους συνεργάτες της ένα ολοκληρωμένο πακέτο εργαλείων μέσω ειδικής διαχειριστικής πλατφόρμας, το οποίο περιλαμβάνει εργαλείο κρυπτογράφησης, υποδομή για διαπραγματεύσεις και υπηρεσίες υποστήριξης. Μετά την εξαφάνιση της RansomHub, η Qilin εκμεταλλεύτηκε ενεργά την ευκαιρία, εντείνοντας τις προσπάθειες προσέλκυσης συνεργατών μέσω του φόρουμ Ramp και προβάλλοντας μια σειρά από ενισχυμένες λειτουργίες. Μεταξύ αυτών περιλαμβάνονται οι νέες ενσωματωμένες δυνατότητες DDoS επιθέσεων και υπηρεσίες συμβουλευτικής για τις διαπραγματεύσεις, με στόχο τη μέγιστη πίεση προς τα θύματα κατά τη φάση του εκβιασμού.

Όπως επισημαίνεται και στην ετήσια έκθεση της Check Point, το ευρύτερο τοπίο των επιθέσεων ransomware μετατοπίζεται πλέον αισθητά από την κρυπτογράφηση προς την κλοπή και δημοσιοποίηση δεδομένων ως κύρια μορφή εκβιασμού. Οι επιθέσεις που βασίζονται στην κρυπτογράφηση ενέχουν μεγαλύτερη επιχειρησιακή πολυπλοκότητα και αυξημένο κίνδυνο εντοπισμού, ενώ τα ποσοστά πληρωμής για αποκρυπτογράφηση έχουν μειωθεί σημαντικά. Αντίθετα, η απειλή δημοσιοποίησης κλεμμένων δεδομένων προσφέρει νέες δυνατότητες πίεσης.

Η Qilin παρουσίασε πρόσφατα ένα νέο σύνολο υπηρεσιών που στοχεύουν στην ενίσχυση της πίεσης προς τα θύματα. Μεταξύ αυτών περιλαμβάνεται η παροχή νομικής υποστήριξης για την ανασκόπηση των κλεμμένων δεδομένων, την αξιολόγηση πιθανών παραβιάσεων κανονισμών στη δικαιοδοσία του θύματος και την προετοιμασία φακέλων για υποβολή σε αρμόδιες αρχές, όπως οι φορολογικές υπηρεσίες, οι διωκτικές αρχές ή ρυθμιστικά όργανα τύπου FBI.

Επιπλέον, η Qilin προωθεί εργαλεία που επιτρέπουν τον μαζικό βομβαρδισμό των εταιρικών email και τηλεφωνικών γραμμών των θυμάτων, ενώ διαφημίζει και «δημοσιογραφική» υποστήριξη για τη δημιουργία blogs με δημόσιες διαρροές. Αν και είναι πιθανό μεγάλο μέρος αυτών των υπηρεσιών να βασίζεται σε εργαλεία τεχνητής νοημοσύνης, αποτελούν κομμάτι της συνολικής στρατηγικής για να αυξηθεί το ποσοστό των θυμάτων που τελικά αναγκάζονται να πληρώσουν λύτρα.

DragonForce: Τακτικές προώθησης και στρατηγική επέκτασης

Η DragonForce αποτελεί έναν ακόμη έμπειρο «παίκτη» στο οικοσύστημα του RaaS, με πάνω από 250 θύματα καταγεγραμμένα στην πλατφόρμα διαρροής δεδομένων της (DLS) από τα τέλη του 2023. Αρχικά λειτουργούσε ως κλειστή ομάδα, όμως στα μέσα του 2024 ξεκίνησε τη στρατολόγηση συνεργατών (affiliates), μεταβαίνοντας σταδιακά σε ένα πιο ανοιχτό μοντέλο λειτουργίας τύπου RaaS.

Όπως και οι Qilin και άλλες εδραιωμένες ομάδες, η DragonForce προσφέρει στους συνεργάτες της ένα πλήρες πακέτο εργαλείων μέσω ειδικού διαχειριστικού πίνακα, το οποίο περιλαμβάνει εργαλεία κρυπτογράφησης, δομημένα πλαίσια διαπραγμάτευσης και δυνατότητες διαχείρισης θυμάτων.

Αυτό που διαφοροποιεί τη DragonForce είναι η στρατηγική της έμφαση στο branding και το μάρκετινγκ. Τον Μάρτιο του 2025, η ομάδα ανακοίνωσε τη δημιουργία ενός λεγόμενου «Ransomware Καρτέλ», ενός πλαισίου που στοχεύει στην παροχή μεγαλύτερης αυτονομίας και ελέγχου του brand στους συνεργάτες της. Μέσω ενός μοντέλου τύπου “white label”, οι affiliates μπορούν να αξιοποιούν την υποδομή της DragonForce, διατηρώντας παράλληλα το δικό τους όνομα και εξατομικευμένη ταυτότητα.

Αυτή η έμφαση στην προβολή ενισχύθηκε ακόμη περισσότερο όταν το φόρουμ κυβερνοεγκλήματος Ramp ενημέρωσε το λογότυπό του, ενσωματώνοντας το έμβλημα της DragonForce.

Λίγο μετά την αιφνίδια εξαφάνιση της RansomHub τον Απρίλιο του 2025, η DragonForce ισχυρίστηκε ότι η πρώην ομάδα μετέφερε τη δραστηριότητά της στην πλατφόρμα της και εντάχθηκε στην πρωτοβουλία του Cartel.

Υποστήριξαν αυτόν τον ισχυρισμό δημοσιεύοντας ένα στιγμιότυπο οθόνης, το οποίο υποτίθεται ότι απεικόνιζε τον πίνακα ρυθμίσεων της πλατφόρμας διαρροής δεδομένων (DLS) της RansomHub.

Ο αριθμός των θυμάτων που καταγράφηκαν τον Απρίλιο και τον Ιούνιο παρουσίασε αξιοσημείωτη αύξηση, γεγονός που υποδηλώνει πιθανή εισροή συνεργατών που προηγουμένως συνδέονταν με τη RansomHub. Ωστόσο, μένει να φανεί αν αυτή η άνοδος αποτελεί μακροπρόθεσμη τάση ή απλώς μια παροδική έξαρση.

Παράλληλα με αυτή την επέκταση, η DragonForce αντέδρασε και στην αυξημένη πίεση των διωκτικών αρχών, ανακοινώνοντας πιο αυστηρές διαδικασίες αξιολόγησης των νέων συνεργατών. Τον Απρίλιο, επανέλαβε τα λεγόμενα «ηθικά» της όρια, απαγορεύοντας ρητά τις επιθέσεις σε στόχους στον τομέα της υγείας και δηλώνοντας πως ο στόχος της είναι το οικονομικό όφελος και όχι η πρόκληση βλάβης. Όπως χαρακτηριστικά ανέφερε: «Δεν είμαστε εδώ για να σκοτώσουμε — είμαστε εδώ για να βγάλουμε χρήματα».

Η στάση της DragonForce αντικατοπτρίζει τη γενικότερη τάση μετατόπισης των απειλητικών ομάδων από την κρυπτογράφηση προς τον εκβιασμό μέσω κλοπής δεδομένων. Ωστόσο, παρά αυτή τη στροφή, οι επιθέσεις με ransomware που βασίζονται στην κρυπτογράφηση εξακολουθούν να αποτελούν σοβαρή απειλή, ιδίως όταν στοχεύουν στην παράλυση της λειτουργίας και στη διακοπή της ταμειακής ροής.

Αυτό έγινε εμφανές τον Απρίλιο και Μάιο του 2025, όταν η ομάδα Scattered Spider χρησιμοποίησε τον κρυπτογράφο της DragonForce για επιθέσεις σε μεγάλες αλυσίδες λιανικής στο Ηνωμένο Βασίλειο, συμπεριλαμβανομένων των Marks & Spencer και Co-op, προκαλώντας σημαντικές επιχειρησιακές επιπτώσεις.

Hunters International: Στροφή προς εκβιασμό χαμηλής τριβής

Η ομάδα Hunters International ακολουθεί μια διακριτή πορεία στο τοπίο του ransomware, απομακρυνόμενη σταδιακά από τις παραδοσιακές επιθέσεις με κρυπτογράφηση και υιοθετώντας ένα μοντέλο εκβιασμού που βασίζεται αποκλειστικά στην κλοπή δεδομένων, με χαμηλότερη «τριβή» για τον στόχο. Αυτή η μετάβαση κορυφώθηκε με τη δημιουργία της πλατφόρμας World Leaks, μιας νέας υποδομής αφιερωμένης αποκλειστικά στη δημοσίευση κλεμμένων δεδομένων και την άσκηση πίεσης χωρίς την κρυπτογράφηση των αρχείων των θυμάτων.

Αρχικά, η Hunters International είχε πειραματιστεί με πιο επιθετικές τακτικές εκβιασμού για να εξαναγκάσει τα θύματα να πληρώσουν. Ανάμεσά τους ήταν μια λειτουργία "mailing list" για την αποστολή μαζικών email σε επαφές του θύματος —όπως εργαζόμενους, πελάτες ή συνεργάτες— καθώς και η χρήση υπηρεσιών OSINT από τρίτους για την ενίσχυση της πίεσης. Ωστόσο, με την πάροδο του χρόνου, η ομάδα τροποποίησε τη στρατηγική της, υιοθετώντας μια πιο διακριτική και χαμηλού προφίλ προσέγγιση.

Η εξέλιξη αυτή φαίνεται να αντανακλά τη συνειδητοποίηση ότι η αυξανόμενη δημόσια και κρατική πίεση —και ιδιαίτερα οι περιορισμοί ή απαγορεύσεις στις πληρωμές λύτρων— οδηγούσαν σε σημαντική μείωση της αποτελεσματικότητας των επιθέσεων που βασίζονται στην κρυπτογράφηση. Ως απάντηση, η Hunters International αναδιαμόρφωσε τη στρατηγική της: σταμάτησε να αφήνει σημειώματα λύτρων σε κάθε endpoint ή να μετονομάζει τα κρυπτογραφημένα αρχεία. Αντί γι' αυτό, ξεκίνησε να ειδοποιεί διακριτικά μόνο την ηγεσία της εταιρείας-θύματος, περιορίζοντας τη γνώση της επίθεσης σε έναν μικρό κύκλο εντός του οργανισμού.

Μέχρι τα τέλη του 2024, η Hunters International δήλωσε δημόσια την πρόθεσή της να εγκαταλείψει εντελώς τον εκβιασμό μέσω κρυπτογράφησης, επικαλούμενη τους αυξανόμενους κινδύνους που συνεπάγεται αυτό το μοντέλο. Χρειάστηκε μέχρι τον Μάιο του 2025 για να τηρήσει πλήρως την υπόσχεση αυτή. Παράλληλα, προσέφερε στους πρώην στόχους της δωρεάν αποκρυπτογράφηση των κλειδωμένων αρχείων τους.

Παρά τη στροφή στη στρατηγική της, η Hunters International εξακολουθεί να εκβιάζει ενεργά τα θύματά της. Από τον Μάιο του 2025, η νέα της πλατφόρμα για εκβιασμό μέσω κλοπής δεδομένων, World Leaks, έχει καταγράψει περισσότερα από 30 θύματα. Ο ιστότοπος διαρροής δεδομένων διατηρεί τον ίδιο σχεδιασμό και τη δομή με την αρχική πλατφόρμα DLS της Hunters International, σηματοδοτώντας τη συνέχιση της δραστηριότητάς της παρά τη στρατηγική αναπροσαρμογή.

Τεχνητή Νοημοσύνη στις επιχειρήσεις ransomware

Οι ομάδες ransomware διερευνούν ενεργά πώς η Τεχνητή Νοημοσύνη (AI) μπορεί να ενισχύσει τις επιχειρήσεις τους. Σε προηγούμενες αναφορές, η Check Point είχε επισημάνει τη χρήση AI από την ομάδα FunkSec για την ανάπτυξη κακόβουλου λογισμικού, καθώς και τη δημιουργία μιας παραλλαγής ransomware με τη χρήση AI από την ομάδα Xanthorox. Και τα δύο παραδείγματα δείχνουν τα πρώτα πειράματα με την αυτοματοποίηση και τα εργαλεία παραγωγικής τεχνητής νοημοσύνης.

Κατά το δεύτερο τρίμηνο του 2025, συνεχίζουν να προκύπτουν ενδείξεις ενσωμάτωσης της AI στο οικοσύστημα του ransomware, κυρίως στο πεδίο των διαπραγματεύσεων με τα θύματα. Ένα χαρακτηριστικό παράδειγμα είναι η ομάδα Global Group (γνωστή και ως El Dorado ή Blacklock), η οποία κατέγραψε 17 θύματα μέσα στο τρίμηνο. Σε προωθητικό υλικό για την προσέλκυση νέων συνεργατών, η ομάδα αναδεικνύει την παροχή «διαπραγματευτικής υποστήριξης με τεχνολογία AI» ως μέρος της RaaS πρότασής της. Αυτό υποδηλώνει αυξανόμενο ενδιαφέρον για τη χρήση τεχνητής νοημοσύνης με σκοπό την ενίσχυση της ψυχολογικής πίεσης, την αυτοματοποίηση της επικοινωνίας και, ενδεχομένως, τη βελτίωση των ποσοστών επιτυχίας στον εκβιασμό.

Επιθέσεις ransomware ανά κλάδο: Ανάλυση Β' τριμήνου 2025

Η κατανομή των θυμάτων ransomware ανά κλάδο κατά το δεύτερο τρίμηνο του 2025 υποδηλώνει έναν ευρύ και διατομεακό αντίκτυπο, χωρίς κάποια συγκεκριμένη κατηγορία επιχειρήσεων να ξεχωρίζει ως κύριος στόχος.

Οι κυβερνητικοί και εκπαιδευτικοί φορείς παραμένουν χαμηλά στη λίστα των στόχων, πιθανότατα λόγω της μειωμένης πιθανότητας να πληρώσουν λύτρα σε σύγκριση με κερδοσκοπικούς οργανισμούς. Επιπλέον, οι περισσότερες ομάδες RaaS αποφεύγουν επιθέσεις σε συγκεκριμένες χώρες και τομείς, εν μέρει για να μην τραβήξουν την προσοχή των διωκτικών αρχών. Αν και ο τομέας της υγείας επιτρέπεται συχνά ως στόχος, τίθενται συνήθως περιορισμοί ώστε να αποφεύγονται διακοπές που θα μπορούσαν να απειλήσουν ανθρώπινες ζωές.

Παρά τους περιορισμούς αυτούς, ο τομέας της υγείας συνεχίζει να προσελκύει έντονο ενδιαφέρον. Οι οργανισμοί υγείας διαθέτουν μεγάλα αποθέματα ευαίσθητων προσωπικών δεδομένων ασθενών, γεγονός που τους καθιστά πολύτιμους στόχους για επιχειρήσεις κλοπής δεδομένων. Κατά το δεύτερο τρίμηνο του 2025, οι οργανισμοί που σχετίζονται με την υγεία αντιπροσώπευαν σχεδόν το 8% των θυμάτων ransomware που δημοσιοποιήθηκαν.

Η ομάδα INC Ransomware έχει αναδειχθεί σε σημαντικό «παίκτη» στις επιθέσεις κατά του τομέα υγείας. Σχεδόν το ένα τρίτο των καταγεγραμμένων θυμάτων της INC προέρχεται από τον κλάδο της υγείας και της ιατρικής, καθιστώντας την υπεύθυνη για σχεδόν το 17% των σχετικών περιστατικών ransomware που αποκαλύφθηκαν το συγκεκριμένο τρίμηνο.

Σύνοψη

Κατά το δεύτερο τρίμηνο του 2025, παρατηρήθηκε μείωση στον αριθμό των μεγάλων ομάδων RaaS, πτώση στον αριθμό των θυμάτων που δημοσιοποιούνται και εξέλιξη στις τακτικές εκβιασμού που χρησιμοποιούν οι διάφορες απειλητικές ομάδες. Αν και η κρυπτογράφηση δεδομένων δεν αποτελεί πλέον τη βασική μέθοδο επίθεσης, το ransomware συνεχίζει να προσαρμόζεται, προσπαθώντας να κυριαρχήσει σε ένα όλο και πιο κατακερματισμένο και ασταθές οικοσύστημα.