عدد الهجمات الفدية وقد لوحظت وتتبعها خلال الأشهر الستة الأولى من عام 2025 بنسبة 179 ٪ – ما يقرب من ثلاث مرات – في نفس الفترة من عام 2024 ، وفقا للإحصاءات التي نشرتها شركة التهديد الاستخباراتية منصة نقطة الوميض.
شهد العام الماضي دوران كبير بين ممثلي التهديدات الإجرامية الإلكترونية بأسماء محفوظة سابقًا مثل Lockbit- تم إسقاطها من قبل رجال الشرطة الإلكترونية – و Alphv/Blackcat لم تعد القوات التي كانوا من قبل.
لقد شهد العام الماضي أيضًا محورًا بين بعض الجهات الفاعلة الفدية للابتزاز دون تشفير. في مثل هذه الهجمات ، تتعرض أنظمة الضحية للهجوم بالطريقة المعتادة – عادة من خلال الهندسة الاجتماعية أو ثغرة برمجية غير محددة – وبياناتها المسروقة ، ولكنها لم يتم تشفيرها على الإطلاق.
أصبح هذا النوع من الهجوم تهديدًا كبيرًا لأنه يقلل بشكل كبير من الحواجز التي تحول دون الدخول من منظور فني ، سواء بالنسبة لمشغلي الفدية الأساسية الذين يوفرون في الوقت المحدد والجهد ، وشركاتهم التابعة الأقل خداعًا. بدأ هذا الاتجاه في الظهور خلال عام 2024 ولا يظهر أي علامات على الموت.
“يبدو أن مجموعات متعددة تفضل تشغيل الابتزاز الخالص. ستقوم مجموعات Ransomware بتشفير الملفات تقليديًا قبل التخلص منها ، وشحن كل من مفتاح فك التشفير ومنع البيانات من التسرب” ، ” قال فريق Flashpoint.
“[However] مجموعات الابتزاز مثل World Leaks ، المعروفة سابقًا باسم Hunter’s International ، فدية بدون تشفير. بالإضافة إلى ذلك ، تمت ملاحظة Ransomhub في بعض الأحيان باستخدام هذا التكتيك ، وكذلك مجموعات ناشئة مثل Weyhro.
وفي الوقت نفسه ، بدأ بعضهم الذكاء الاصطناعي التوليدي (GENAI) يستخدم من قبل البعض – وإن لم يكن العديد من العصابات ، مرة أخرى كوسيلة لتخفيف عصابات الفدية من بعض المهام الأكثر مرهقة التي يواجهونها ، مثل تطوير قوالب التصيد.
في وقت كتابة هذا التقرير ، يستخدم عدد قليل من المشغلين البارزين نماذج لغة كبيرة (LLMS) في أدواتهم ، ولكن Funksec ، الذي ظهر في نهاية عام 2024 وربما كان لديك يد في تطور نموذج wormgpt، قد يكون واحد لمشاهدة.
وقال فريق FlashPoint: “من الممكن أن تقوم مجموعات إضافية بدمج استخدام LLMs أو chatbots في عملياتها”.
تتضمن التغييرات التشغيلية والتقنية الأخرى التي لاحظها فريق Flashpoint عددًا متزايدًا من الهجمات التي تقوم فيها عصابات Ransomware بإعادة تدوير ضحايا Ransomware السابقين من مجموعات أخرى ، مع ظهور البيانات غالبًا في منتديات أخرى لفترة طويلة بعد الحدث نفسه.
معظم العصابات النشطة
كانت أكثر الممثلين فدية النشاطات التي تمت ملاحظتها خلال الأشهر الستة الأولى من عام 2025 هي Akira ، التي نفذت 537 هجمات ، Clop/CL0P ، مع 402 ، Qilin ، مع 345 ، Safepay Ransomware ، مع 233 ، و Ransomhub ، مع 231.
ومع ذلك ، هناك العديد من المجموعات الأخرى التي تستحق المشاهدة. للمنظمات التي تتخذ من المملكة المتحدة مقراً لها Dragonforce سيكون الآن اسمًا مألوفًا بفضل استخدامه مقابل أمثال Marks & Spencer و Co-op Group في هجمات الإنترنت البارزة.
من حيث ضحية الفدية ، لا تزال المنظمات في الولايات المتحدة هي الأكثر استهدافًا ، حيث تمثل 2،160 هجومًا تم تتبعها بواسطة Flashpoint ، حيث تجاوزت كندا في المرتبة الثانية-مع 249 هجومًا-بهامش هارب. تتبع Flashpoint 154 هجومًا في ألمانيا و 148 في المملكة المتحدة ، تليها البرازيل وإسبانيا وفرنسا والهند وأستراليا.
يبدو أن قطاعات التصنيع والتكنولوجيا توفر المدفوعات الأكثر ربحًا لعصابات الفدية ، حيث تمثل 22 ٪ و 18 ٪ من جميع الهجمات ، تليها البيع بالتجزئة بنسبة 13 ٪ ، والرعاية الصحية بنسبة 9 ٪ ، وخدمات الأعمال والاستشارات بنسبة 8 ٪.
