Η συγκεκριμένη ομάδα είχε πραγματοποιήσει την επίθεση κατά της Change Healthcare, μία από τις μεγαλύτερες παραβιάσεις δεδομένων στον τομέα της υγείας στην ιστορία των ΗΠΑ, αλλά δεν έλαβε ποτέ το μερίδιό που της αναλογούσε από τα 22 εκατομμύρια δολάρια που καταβλήθηκαν ως λύτρα. Οι διαχειριστές της BlackCat φέρονται να κράτησαν τα χρήματα και να εξαφανίστηκαν, αναρτώντας μια πλαστή ειδοποίηση του FBI στην ιστοσελίδα τους για να καλύψουν την αποχώρησή τους.

Η υπόθεση της Change Healthcare δείχνει κάτι που πολλές εταιρείες εξακολουθούν να υποτιμούν: το ransomware δεν είναι μια μεμονωμένη επίθεση από έναν hacker που ζητά χρήματα. Είναι ένα οργανωμένο επιχειρηματικό μοντέλο.
Σήμερα, διαφορετικές ομάδες αναλαμβάνουν διαφορετικούς ρόλους. Κάποιοι αποκτούν αρχική πρόσβαση σε εταιρικά δίκτυα και τη μεταπωλούν. Άλλοι αναπτύσσουν ransomware tools. Affiliates εκτελούν τις επιθέσεις. Διαπραγματευτές αναλαμβάνουν την επικοινωνία με τα θύματα, ενώ άλλα δίκτυα βοηθούν στη μεταφορά και νομιμοποίηση των χρημάτων.

Όταν ένας οργανισμός βλέπει το μήνυμα που ζητά λύτρα, η επίθεση έχει ήδη περάσει από πολλά στάδια και πολλούς διαφορετικούς παίκτες.
Το μήνυμα για τα λύτρα δεν είναι η αρχή της επίθεσης. Είναι το τελευταίο στάδιό της.

Πολύ φθηνό για να αποτύχει

Εάν μια εταιρεία ή ένας οργανισμός αντιμετωπίζει ένα περιστατικό ransomware ως μια τυχαία εισβολή που προέκυψε από το πουθενά, είναι πιθανό και οι άμυνές τους να έχουν σχεδιαστεί με αυτή τη λογική. Ωστόσο, μια τέτοια προσέγγιση ενδέχεται να παραβλέπει το πόσο καλά οργανωμένη, εξοπλισμένη και επαναλαμβανόμενη είναι η απειλή.
Ο κλάδος έχει διαμορφωθεί έτσι ώστε κάθε συμμετέχοντας να χρειάζεται να είναι ικανός μόνο στη δική του, περιορισμένη λειτουργία. Ο προγραμματιστής που συντηρεί την πλατφόρμα ransomware και το «εμπορικό σήμα» δεν χρειάζεται ποτέ να έρθει σε επαφή με το θύμα για να αποκομίσει κέρδος. Ο συνεργάτης πληρώνει ένα ποσοστό ή ένα τέλος για να αποκτήσει πρόσβαση, χρησιμοποιώντας διαπιστευτήρια που δεν συνέλεξε ο ίδιος. Ο μεσάζων αρχικής πρόσβασης, ο οποίος πουλάει πρόσβαση σε ένα εταιρικό δίκτυο, δεν γνωρίζει (ούτε χρειάζεται να γνωρίζει) τι σκοπεύει να κάνει ο αγοραστής με αυτά τα στοιχεία σύνδεσης.
Όμως, από κοινού, έχουν εφαρμόσει τη λογική του franchise στην αρχαία «τέχνη» του εκβιασμού, μοιράζοντας στην πορεία το βάρος της ευθύνης. Και όποτε ένας κλάδος οργανώνεται με αυτόν τον τρόπο, ακολουθεί μαζική εξάπλωση.
Τα δεδομένα της ESET δείχνουν αύξηση των επιθέσεων ransomware κατά 13% το δεύτερο εξάμηνο του 2025 σε σύγκριση με το προηγούμενο, μετά από άνοδο 30% στο πρώτο εξάμηνο του ίδιου έτους. Παράλληλα, η έκθεση Data Breach Investigations Report (DBIR) της Verizon για το 2025 κατέγραψε αύξηση από 32% σε 44% στο ποσοστό των παραβιάσεων που σχετίζονται με ransomware, ενώ το μέσο ποσό που καταβλήθηκε ως λύτρα μειώθηκε από 150.000 δολάρια σε 115.000 δολάρια. Οι στόχοι μετατοπίζονται επίσης: ανάλυση της Mandiant δείχνει στροφή προς μικρότερες εταιρείες με λιγότερο ώριμες άμυνες.
Περισσότεροι (και ευκολότεροι) στόχοι, σε συνδυασμό με μικρότερα κέρδη, συνιστούν μια κλασική στρατηγική αύξησης του όγκου.

Το ransomware δεν είναι καθόλου «randomware»
Οι επιχειρήσεις ransomware είναι σχεδιασμένες ώστε να επεκτείνονται, ανεξάρτητα από το αν κάθε μεμονωμένος συνεργάτης διαθέτει εξαιρετικές δεξιότητες. Στην πραγματικότητα, ο εσωτερικός μηχανισμός λειτουργίας αυτού που συχνά αποκαλείται ransomware-as-a-service (RaaS) είναι πιο σύνθετος από εκείνον, για παράδειγμα, μιας αλυσίδας fast food: ο συντονισμός είναι χαλαρός και οι διαμάχες για επικράτηση είναι πραγματικές και, κατά καιρούς, δημόσιες.

Ωστόσο, η υποκείμενη λογική παραμένει η ίδια. Η «βιομηχανία» του ransomware ζει και πεθαίνει από την εμπιστοσύνη μεταξύ των μελών της και από τα κίνητρα που τους συνδέουν. Είναι γνωστό ότι τα κίνητρα καθορίζουν τα αποτελέσματα περισσότερο από οτιδήποτε άλλο.
Οι αρχές επιβολής του νόμου δεν μένουν αδρανείς. Ωστόσο, το κλείσιμο μιας εταιρείας σε μια ανταγωνιστική αγορά δεν συνεπάγεται το κλείσιμο της ίδιας της αγοράς. Όσο τα κίνητρα παραμένουν αμετάβλητα, η κατάρρευση μιας ομάδας ransomware εντείνει τον ανταγωνισμό μεταξύ των υπολοίπων για την κάλυψη του κενού.
Γιατί και εδώ, ο ανταγωνισμός λειτουργεί όπως σε κάθε αγορά.

Για παράδειγμα, όταν οι ομάδες LockBit και BlackCat εξαρθρωθήκαν από τις αρχές επιβολής του νόμου το 2024, οι συνεργάτες τους μετακινήθηκαν κυρίως στην ομάδα RansomHub. Το 2025, η DragonForce – ένας σχετικά μικρός παίκτης έως τότε – κατέστρεψε τις ιστοσελίδες αρκετών ανταγωνιστών και κατέβασε την πλατφόρμα της ομάδας RansomHub, που εκείνη την περίοδο ήταν η κυρίαρχη δύναμη. Μετά την παύση λειτουργίας της RansomHub, οι ομάδες Akira και Qilin απορρόφησαν σημαντικό μέρος του μεριδίου αγοράς της.
Το μοτίβο αυτό επιμένει επειδή τα εμπόδια εισόδου παραμένουν χαμηλά: τα εργαλεία διατίθενται ως υπηρεσία, ενώ το «εργατικό δυναμικό» είναι τόσο αναλώσιμο που η προσφορά δεν εξαντλείται.

Ο Αγώνας της Κόκκινης Βασίλισσας»

Το κυβερνοέγκλημα δε μένει ποτέ στάσιμο. Η παραδοσιακή τακτική του ransomware – κλείδωμα αρχείων και απαίτηση λύτρων – έχει πλέον εξελιχθεί σε διπλή επίθεση. Στο μοντέλο αυτό, οι επιτιθέμενοι κλέβουν πρώτα εταιρικά δεδομένα και στη συνέχεια τα κρυπτογραφούν, δημοσιεύοντας δείγματα της λείας τους σε εξειδικευμένες ιστοσελίδες διαρροών. Πλέον, το FBI και η CISA περιγράφουν συστηματικά το ransomware ως πρόβλημα «κλοπής δεδομένων και εκβιασμού».

Όμως, οι συγκεκριμένοι κίνδυνοι μεταβάλλονται με μεγάλη ταχύτητα. Πριν από μόλις δύο χρόνια, το ClickFix – μια τεχνική κοινωνικής μηχανικής κατά την οποία ένα ψεύτικο μήνυμα σφάλματος εξαπατά τους χρήστες ώστε να αντιγράψουν, να επικολλήσουν και να εκτελέσουν κακόβουλες εντολές, ήταν σχεδόν άγνωστο. Σήμερα, έχει διαδοθεί ευρέως και χρησιμοποιείται τόσο από ομάδες που υποστηρίζονται από κράτη όσο και από κυβερνοεγκληματίες.
Από την άλλη πλευρά, η ταχύτητα προσαρμογής δεν προκαλεί έκπληξη, αν σκεφτεί κανείς ότι μια παρόμοια δυναμική παρατηρείται και στη φύση. Τα είδη που ανταγωνίζονται μεταξύ τους πρέπει να προσαρμόζονται διαρκώς απλώς και μόνο για να διατηρήσουν τη θέση τους. Τα αρπακτικά γίνονται ταχύτερα, και τα θηράματα ακολουθούν. Τα θηράματα αναπτύσσουν καμουφλάζ, και τα αρπακτικά αποκτούν πιο οξεία όραση. Η βιολογία περιγράφει αυτό το φαινόμενο ως «φαινόμενο της Κόκκινης Βασίλισσας», από τον χαρακτήρα στο βιβλίο του Λιούις Κάρολ «Μέσα από τον Καθρέφτη», ο οποίος πρέπει να εξελίσσεται (τρέχει) συνεχώς μόνο και μόνο για να παραμένει στο ίδιο σημείο.
Οι επαγγελματίες της ασφάλειας αναγνωρίζουν εύκολα αυτή τη δυναμική, αν και οι πιο γνωστοί όροι – όπως «αγώνας εξοπλισμών» ή «παιχνίδι της γάτας με το ποντίκι», δεν την αποδίδουν πλήρως. Η «Κόκκινη Βασίλισσα» περιγράφει κάτι πιο συγκεκριμένο: μια διαρκή εξέλιξη που δεν αποφέρει καθαρό πλεονέκτημα, αφού και η αντίπαλη πλευρά εξελίσσεται σχεδόν ταυτόχρονα.
Η πιο χαρακτηριστική εκδήλωση αυτής της δυναμικής εντοπίζεται στο χώρο μεταξύ των εργαλείων άμυνας και των εργαλείων επίθεσης. Τα προϊόντα ανίχνευσης και απόκρισης τερματικών συσκευών (EDR), καθώς και τα εκτεταμένα συστήματα ανίχνευσης και απόκρισης (XDR), αποτελούν βασικά εργαλεία για τον εντοπισμό δραστηριοτήτων που πραγματοποιούν συνεργάτες ransomware σε παραβιασμένα δίκτυα. Καθώς τα εργαλεία αυτά βελτιώνονται, οι κυβερνοεγκληματίες ανταποκρίνονται αναπτύσσοντας μια υπόγεια αγορά εργαλείων που έχουν σχεδιαστεί ειδικά για να τα παρακάμπτουν ή να τα απενεργοποιούν.Και όπου υπάρχει ζήτηση, υπάρχει και προσφορά, συνήθως σε αφθονία.

Οι ερευνητές της ESET έχουν εντοπίσει σχεδόν 90 «EDR killers» που βρίσκονται σε ενεργή χρήση. Πενήντα τέσσερα από αυτά τα κακόβουλα εργαλεία αξιοποιούν την ίδια βασική τεχνική: φορτώνουν ένα νόμιμο αλλά ευάλωτο driver στο σύστημα-στόχο και τον χρησιμοποιούν για να αποκτήσουν δικαιώματα σε επίπεδο πυρήνα, τα οποία απαιτούνται για την απενεργοποίηση του προϊόντος ασφαλείας.
Η τεχνική αυτή ονομάζεται «Bring Your Own Vulnerable Driver» (BYOVD). Οι ευάλωτοι drivers λειτουργούν ως ένα είδος «εμπορεύματος»: ο ίδιος driver εμφανίζεται σε εργαλεία που δεν σχετίζονται μεταξύ τους, ενώ το ίδιο εργαλείο μπορεί να χρησιμοποιεί διαφορετικούς drivers σε ξεχωριστές εκστρατείες.

Η αγορά των EDR killers αντικατοπτρίζει την οικονομία του ransomware που εξυπηρετεί. Τα εργαλεία αυτά συνοδεύονται συχνά από υπηρεσίες συσκότισης βάσει συνδρομής, οι οποίες ενημερώνονται τακτικά ώστε να παραμένουν ένα βήμα μπροστά από τους μηχανισμούς ανίχνευσης. Συνήθως, οι συνεργάτες, και όχι οι ίδιοι οι χειριστές του ransomware, επιλέγουν ποιο «killer» θα αναπτύξουν, με την απόφαση αγοράς να λαμβάνεται σε επίπεδο franchise. Όταν το αμυντικό προϊόν ενημερώνεται, ακολουθεί και η αντίστοιχη υπηρεσία συσκότισης. Η Κόκκινη Βασίλισσα, και πάλι.
Η εκτεταμένη επένδυση στα EDR killers αποτελεί, κατά κάποιον τρόπο, το πιο σαφές μέτρο της αποτελεσματικότητας των εργαλείων ανίχνευσης απέναντι στο εγκληματικό μοντέλο επιχειρήσεων. Σε τελική ανάλυση, δεν δημιουργείς μια ολόκληρη κατηγορία προϊόντων για να εξουδετερώσεις κάτι που δεν επηρεάζει τα κέρδη σου.

Τα κακόβουλα εργαλεία αυτά ενδέχεται να εξαπλωθούν ακόμη περισσότερο, καθώς η τεχνητή νοημοσύνη καθιστά την αγορά – και, ευρύτερα, την οικονομία του κυβερνοεγκλήματος- πιο προσιτή. Οι ερευνητές της ESET εκτιμούν ότι η τεχνητή νοημοσύνη έχει ήδη συμβάλει στην ανάπτυξη ορισμένων EDR killers, με τα προϊόντα της συμμορίας Warlock να αποτελούν ένα χαρακτηριστικό παράδειγμα.
Παράλληλα, άλλοι ερευνητές έχουν τεκμηριώσει το φαινόμενο που αποκαλούν «vibeware»: κακόβουλο λογισμικό που δημιουργείται μαζικά με τη βοήθεια της τεχνητής νοημοσύνης και έχει στόχο να κατακλύσει το περιβάλλον-στόχο με κώδικα μίας χρήσης, αυξάνοντας την πιθανότητα κάποια εκδοχή να περάσει απαρατήρητη.
Το εμπόδιο για τη δημιουργία κακόβουλου λογισμικού έχει μειωθεί σε τέτοιο βαθμό, ώστε ο βασικός περιοριστικός παράγοντας να είναι πλέον η πρόθεση και όχι οι εξειδικευμένες δεξιότητες, μια εξέλιξη που αντικατοπτρίζει ευρύτερες τάσεις στον χώρο του κυβερνοεγκλήματος.

Ανάλυση της αγοράς

Αν θεωρήσουμε το ransomware απλώς ως μια επίθεση, δημιουργούμε άμυνες που στοχεύουν αποκλειστικά στην αντιμετώπιση επιθέσεων. Αν όμως το προσεγγίσουμε ως έναν ολόκληρο κλάδο, τότε αναδύονται διαφορετικές και πιο σύνθετες προτεραιότητες.
Πώς εξελίσσεται η δυναμική της «Κόκκινης Βασίλισσας» μεταξύ των αμυντικών προϊόντων και των εργαλείων επίθεσης; Ποια κακόβουλα εργαλεία, τεχνικές και διαδικασίες βρίσκονται αυτή τη στιγμή σε κυκλοφορία; Μπορεί το σύστημα ασφαλείας σας να αποκρούσει μια επίθεση BYOVD που αξιοποιεί τα διαθέσιμα σήμερα προγράμματα οδήγησης; Τι θα συμβεί στο περιβάλλον σας αν ένας MSP στην αλυσίδα εφοδιασμού σας παραβιαστεί; Ποιοι δράστες ransomware στοχεύουν ενεργά τον τομέα σας και ποια EDR killers χρησιμοποιούν;
Εάν δεν μπορείτε να απαντήσετε σε αυτά τα επείγοντα ερωτήματα, είναι πιθανό ότι, μέχρι να φτάσει σε εσάς το αποτέλεσμα αυτής της «βιομηχανίας», μεγάλο μέρος της αλυσίδας επίθεσης θα έχει ήδη εκτελεστεί. Δεν μπορείτε να προβλέψετε ποια ομάδα θα επιτεθεί, σε ποιο χρονικό σημείο ή μέσω ποιας διαδρομής. Μπορείτε, όμως, να διατηρείτε έναν ενημερωμένο χάρτη για το πού κατευθύνονται οι ενεργές ομάδες και να αξιολογείτε αν κάποια από αυτές τις διαδρομές θα μπορούσε να οδηγήσει στην πόρτα σας.