💀 Najgroźniejsze grupy ransomware w 2025 roku – kto stoi za cyberatakami?
W 2025 roku działalność grup ransomware nie zwalnia tempa – przeciwnie, staje się coraz bardziej zorganizowana i nieprzewidywalna. Za największymi kampaniami wymuszeń, szyfrowań i kradzieży danych stoją konkretne grupy przestępcze, działające według modelu RaaS (Ransomware-as-a-Service).
W tym wpisie przyjrzymy się najaktywniejszym i najgroźniejszym grupom ransomware, które w ostatnich miesiącach dominują raporty analityków cyberbezpieczeństwa.
Najbardziej aktywne grupy ransomware
1. Black Basta
Grupa powiązana z byłymi członkami gangu Conti. Stosuje strategię podwójnego wymuszenia – szyfrowanie danych + groźba ich publikacji.
Ataki:
- Ascension Health (USA, 2024): Atak zakłócił działalność 140 szpitali w 19 stanach USA, powodując poważne zakłócenia w opiece zdrowotnej.
- Sektor infrastruktury krytycznej: Black Basta zaatakowała ponad 500 organizacji na całym świecie, w tym wiele z sektora infrastruktury krytycznej.
2. RansomHub
Uważany za następcę grupy Knight. Zakończenie działalności (kwiecień 2025): Infrastruktura online RansomHub została wyłączona, a afilianci przenieśli się do innych grup, takich jak Qilin i DragonForce.
Ataki:
- Sektor rządowy (2025): Grupa wykorzystała kampanię „FakeUpdates” do ataków na sektor rządowy, używając złośliwego oprogramowania SocGholish do infekowania systemów poprzez fałszywe aktualizacje przeglądarek.
3. Play
Działa od 2022 roku, znana z ataków na organizacje rządowe i przemysłowe. Pliki szyfrowane są z rozszerzeniem .play.
Ataki:
- Miasto Antwerpia (Belgia, 2022): Atak sparaliżował systemy cyfrowe miasta, zmuszając pracowników do pracy na papierze i powodując zakłócenia w usługach publicznych.
- Dom towarowy KaDeWe (Berlin, 2023): Grupa wykradła dane 4300 klientów i 857 pracowników, żądając okupu; po odmowie zapłaty opublikowali 2,5 TB danych w darknecie.
4. LockBit
Weteran sceny ransomware. Mimo licznych prób zatrzymania, nadal aktywny. Grupa oferuje swoje narzędzie w modelu RaaS.
Ataki:
- Boeing (USA, 2023): Grupa zażądała 200 milionów dolarów okupu po ataku na dział dystrybucji części Boeinga, grożąc ujawnieniem 500 GB danych.
- Royal Mail (Wielka Brytania, 2023): Atak sparaliżował międzynarodowe usługi pocztowe, uniemożliwiając wysyłkę paczek za granicę przez kilka tygodni.
- TSMC (Tajwan, 2023): LockBit zażądał 70 milionów dolarów okupu po ataku na dostawcę TSMC, największego na świecie producenta chipów.
5. Akira
Aktywna od 2023 roku. W krótkim czasie zarobiła dziesiątki milionów dolarów. Często atakuje firmy z sektora przemysłowego i edukacyjnego.
Ataki:
- KNP Logistics (Wielka Brytania, 2024): Atak doprowadził do upadku 158-letniej firmy logistycznej, która nie była w stanie odzyskać danych finansowych i straciła zdolność kredytową.
- Nissan Australia (2023): Grupa wykradła dane z systemów firmy, grożąc ich publikacją.
- Tietoevry (Finlandia/Szwecja, 2024): Atak na centrum danych zakłócił usługi dla wielu szwedzkich organizacji.
- Stanford University (USA, 2023): Wykradziono dane 27 000 osób, w tym studentów i pracowników.
6. BianLian
Początkowo klasyczne ransomware, później przeszli na strategię kradzieży danych bez szyfrowania. Skupiają się na publikowaniu danych ofiar.
Ataki:
- Optometric Physicians of Middle Tennessee (USA, 2023): Grupa wykradła dane pacjentów z sieci klinik okulistycznych, grożąc ich publikacją.
- Sektor opieki zdrowotnej i produkcji: BianLian skoncentrowała się na atakach na organizacje w USA i Europie, szczególnie w sektorach opieki zdrowotnej i produkcji.
Rok 2025 przynosi dalszą profesjonalizację przestępczości zorganizowanej w sieci. Grupy ransomware działają jak korporacje, zatrudniają programistów, analityków, a nawet PR-owców. Warto je znać, by lepiej rozumieć skalę i charakter zagrożenia.
Masz doświadczenie z analizą ataków ransomware? Podziel się w komentarzach!
