В марте 2026 года всего три группировки операторов программ-вымогателей — Qilin, Akira и DragonForce — взяли на себя почти 40% всех публично зафиксированных атак этого типа. Такие данные привела Check Point Research в ежемесячном отчёте по киберугрозам.
По оценке исследователей, за март в мире было зарегистрировано 672 атаки с использованием программ-вымогателей. Это на 7% больше, чем в феврале, хотя в годовом сравнении показатель оказался на 8% ниже. Лидером стала группировка Qilin: на неё пришлось 20% опубликованных инцидентов. Ещё 12% отнесли к Akira, а 8% — к DragonForce. В сумме эти три игрока дали 40% всех случаев, попавших в выборку Check Point.
Конечно, речь не идёт обо всех атаках в мире, а лишь о публично раскрытых эпизодах, которые исследователи отслеживают по так называемым «сайтам позора» — ресурсам, где группировки двойного вымогательства публикуют данные о жертвах. Но такая статистика все равно помогает увидеть динамику и распределение активности между группировками.
Qilin, которая возглавила мартовскую статистику, работает по модели RaaS — ransomware-as-a-service, то есть «вымогательство как услуга». Это схема, при которой ядро преступной платформы создаёт и обслуживает инструменты атаки, а аффилированные участники проводят сами взломы и делят прибыль с операторами. По данным Check Point, Qilin активна с 2022 года, а с начала 2025 года заметно усилила набор партнёров и расширила объём публикаций о жертвах.
Akira, занявшая второе место, впервые была замечена в 2023 году. Исследователи отмечают, что эта группировка атакует системы на Windows, Linux и ESXi — платформу виртуализации VMware, которую часто используют в корпоративной инфраструктуре. Akira всё активнее бьёт по сектору бизнес-услуг и промышленному производству.
Третьим по активности стал DragonForce. Эта группировка использует модель «white-label cartel», которую можно перевести как «картель с белой маркировкой»: партнёры могут действовать под своими брендами, но на общей инфраструктуре. В марте активность DragonForce выросла на фоне притока бывших аффилированных участников других вымогательских проектов и заметных кампаний с элементами социальной инженерии против крупных британских ритейлеров.
Северная Америка осталась главным регионом по числу таких инцидентов: на неё пришлось 55% всех зарегистрированных случаев. На втором месте оказалась Европа с долей 24%, на третьем — Азиатско-Тихоокеанский регион с 12%. При этом доля Европы выросла по сравнению с февралём, когда она составляла 17%, что может говорить о смещении интереса злоумышленников в сторону европейских компаний.
Если смотреть по отраслям, чаще всего в марте страдали компании из сектора бизнес-услуг — на них пришлось 34,5% жертв. Далее шли потребительские товары и услуги с долей 14% и промышленное производство с 13%. Вместе эти три сектора дали 61% всех случаев, попавших в мартовскую выборку. Это логично: вымогатели по-прежнему предпочитают компании, где простой быстро превращается в прямые денежные потери и давление на руководство.
В разрезе стран больше половины атак, 51,8%, пришлись на США. Далее в мартовской статистике Check Point шли Германия с 4,8%, Франция с 4,5%, Великобритания с 3,7% и Канада с 3,6%. То есть география остаётся глобальной, но центр тяжести по-прежнему находится в Северной Америке и Западной Европе.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
