Első negyedéves ipari ransomware összesítő
2025 első negyedévében a Dragos 708 ransomware incidenst azonosított, amelyek világszerte ipari szervezeteket érintettek, ami a 2024 negyedik negyedévében dokumentált mintegy 600 incidenshez képest növekedést jelent. Ez a növekedés aláhúzza a ransomware műveletek gyakoriságának és összetettségének növekedését, olyan ágazatokban, mint a gyártás, a szállítás, az ipari vezérlőrendszerek (ICS-berendezések) és a gépészet. Észak-Amerika 413 incidenst jelentett be az első negyedévben, szemben az előző negyedévi 360 incidenssel. Európában szintén emelkedés volt tapasztalható, 102 helyett 135 incidenst azonosítottak. Az Egyesült Királyság, Németország és Olaszország volt az elsődleges célpont, ahol elsősorban a feldolgozóipar és a közművek voltak érintettek.
Továbbra is a feldolgozóipar volt a leginkább érintett ágazat, 68 százalékkal (480 incidens) az első negyedévben, szemben a negyedik negyedévi 70 százalékkal (424 incidens). Bár a Dragos az első negyedévben nem észlelt új, kifejezetten OT környezetekre kifejlesztett ransomware változatokat, az olyan nagy hatású incidensek, mint a Dél-afrikai Időjárási Szolgálat (SAWS) kiesése, amely súlyosan megzavarta a légi közlekedést és a mezőgazdasági előrejelzéseket, valamint az Unimicron, egy vezető nyomtatott áramköri lapokat gyártó vállalat elleni támadás rávilágít arra, hogy a zsarolóvírusok milyen jelentős működési és ellátási lánc zavarokat okozhatnak az OT szervezeteknek.
2025 első negyedévében a ransomware csoportok és az affiliate szervezetek új és tartós taktikák, technikák és eljárások (TTP-k) kombinációját használták. A feltörekvő TTP-k közé tartoztak a FunkSec által alkalmazott, mesterséges intelligencia által vezérelt rosszindulatú szoftverek, a titkosítás nélküli zsarolási módszerek, valamint a fejlett EDR kikerülési eszközök, mint például a RansomHub EDRKillshifter.
A megfigyelt TTP-k közé tartozott a zero day sérülékenységek folyamatos kihasználása, mint például a Windows Common Log File System (CLFS), kifinomult, a mesterséges intelligenciával feljavított adathalász kampányok, a távoli hozzáférési eszközökkel való visszaélés, célzott ESXi zsarolóvírus-támadások SSH-tunneling-el, hitelesítő adatok ellopása és brute-force támadások. A Cl0p zsarolóvírus incidensek száma jelentősen megugrott a 2024 negyedik negyedévi mindössze két incidensről 154 incidensre, ami főként a Cleo Managed File Transfer sérülékenységek kihasználásának tulajdonítható.
Az első negyedévben a három legaktívabb csoport a Cl0p, az Akria és a RansomHub volt 154, 83 és 82 publikált incidenssel.
