U prvom kvartalu 2025. godine zabilježen je rekordan porast napada ransomwareom, s 2.314 žrtava evidentiranih na 74 jedinstvene stranice za curenje podataka, što predstavlja zastrašujući rast od 213% u poređenju s 1.086 žrtava zabilježenih u istom periodu prošle godine. Ova drastična eskalacija označava značajno odstupanje od relativno stabilnog stanja napada ransomwareom viđenog tokom 2024. godine, kada su se sajber kriminalci činili fokusiranima na visoko ciljane napade umjesto na kampanje zasnovane na obimu.
Ransomware ekosistem pretrpio je značajne transformacije, sa 74 aktivne ransomware grupe koje su upravljale stranicama za curenje podataka u prvom kvartalu 2025. godine, što je porast u odnosu na 56 varijanti u odgovarajućem periodu 2024. godine. Ovo širenje odražava rastuću sofisticiranost i diverzifikaciju modela “ransomware kao usluga” (RaaS), gdje sajber kriminalci iznajmljuju svoj zlonamjerni softver saradnicima koji izvode stvarne napade.
Porast je pogodio organizacije u svim industrijskim vertikalama, pri čemu su industrijski, potrošački ciklički i tehnološki sektori podnijeli najveći teret ovih napada. Ono što je možda najupečatljivije je dramatičan pomak u hijerarhiji ransomwarea, s tim da se Cl0p pojavio kao dominantni akter nakon što je naveo 358 žrtava u prvom kvartalu 2025. godine, u poređenju sa samo 93 žrtve tokom cijele 2024. godine. Ovo predstavlja nevjerovatan porast aktivnosti od 284%, uglavnom potaknut iskorištavanjem dvije nulte-dnevne ranjivosti u rješenjima za upravljanje prijenosom datoteka kompanije Cleo. Analitičari kompanije Optiv identifikovali su da je samo Cl0p kampanja iz februara 2025. godine rezultirala sa 389 žrtava, demonstrirajući razoran utjecaj ranjivosti u lancu snabdijevanja kada ih iskoriste vješti sajber kriminalci.
Ransomware pejzaž je također svjedočio pojavi novih igrača, uključujući VanHelsing i Babuk2, dok su etablirane grupe poput RansomHub i Akira održavale velike obime napada. Značajno je da je ranije dominantna operacija LockBit nastavila svoj pad nakon prekida od strane agencija za provođenje zakona u februaru 2024. godine, spustivši se na 22. poziciju sa samo 24 žrtve navedene u prvom kvartalu 2025. godine.
Najznačajniji razvoj u prvom kvartalu 2025. godine bilo je sofisticirano iskorištavanje od strane Cl0p grupa ranjivosti CVE-2024-50623 i CVE-2024-55956, dvije nulte-dnevne ranjivosti otkrivene u softveru za upravljanje prijenosom datoteka kompanije Cleo. Ova kampanja predstavlja evoluciju ransomware taktika, gdje grupe iskorištavaju ranjivosti u lancu snabdijevanja kako bi postigle maksimalan utjecaj uz minimalan napor. Ransomware Cl0p, prvi put identifikovan u februaru 2019. godine kao evolucija varijante CryptoMix iz 2016. godine, koristi sofisticirane tehnike obmanjivanja i digitalno je potpisan legitimnim certifikatima kako bi izbjegao sigurnosno otkrivanje. Tehnička arhitektura ovog zlonamjernog softvera uključuje geografska ograničenja koja prekidaju izvršenje kada ciljaju zemlje Zajednice nezavisnih država, što je karakteristično za operacije ransomwarea povezane s Rusijom. Cl0p prvenstveno cilja Active Directory servere kako bi postigao sveobuhvatnu kompromitaciju mreže, dodajući ekstenziju “.ClOP” šifriranim datotekama, istovremeno održavajući svoju prisutnost na tamnom webu putem stranice za curenje podataka “>CLOP^-LEAKS”. Ovaj dvostruki pristup iznude kombinuje tradicionalno šifriranje datoteka s krađom podataka, povećavajući pritisak na žrtve da plate otkupninu. Maloprodajni sektor posebno je pretrpio devastaciju tokom ove kampanje, pri čemu je Cl0p odgovoran za gotovo polovinu svih maloprodajnih žrtava u prvom kvartalu 2025. godine, naglašavajući kako se ranjivosti u lancu snabdijevanja mogu kaskadno proširiti kroz cijele industrijske vertikale kada ih iskoriste odlučni sajber kriminalci.