در فصل سوم سال ۲۰۲۵، پژوهشگران Check Point به مهلک ترین دوره پراکندگی در اکوسیستم باجافزار رسیدهاند؛ جایی که ۸۵ گروه فعال باجافزار و اخاذی — بیشترین میزان ثبتشده تاکنون — شناسایی شدهاند. بازاری که زمانی تحت سلطه چند غول RaaS بود، اکنون به دهها عملیات کوچک، با عُمرهای کوتاه و مستقل تقسیم شده است.
این موج پراکندگی عمدتاً نتیجه فشارهای قانونی و فروپاشی گروههایی مانند RansomHub، 8Base و BianLian است؛ اما نکته مهمتر این است که بسیاری از اعضای این گروههای منحل، حالا بهصورت مستقل کار میکنند و ساختار سابق بازار را کاملاً تغییر دادهاند.
۸۵ گروه فعال؛ رکورد جدید
در سهماهه سوم ۲۰۲۵، در بیش از ۸۵ سایت نشت اطلات داده شده:
اطلاعات ۱,۵۹۲ قربانی منتشر شده است
میانگین ۵۳۵ افشا در ماه
سهم ۱۰ گروه برتر از کل قربانیان به ۵۶٪ کاهش یافت (کمترین سهم در سال جاری)
این وضعیت نشان میدهد که بسیاری از گروههای جدید کمتر از ۱۰ قربانی ثبت کردهاند؛ موضوعی که با رشد گروههای مستقل و بدون ساختار RaaS مطابقت دارد. تنها در همین فصل، ۱۴ برند جدید باجافزار راهاندازی شده است.
پراکندگی فعلی ردیابی تهدید را برای تیمهای SOC و تحلیلگران بسیار پیچیدهتر کرده است. زمانی که چند برند بزرگ بازار را کنترل میکردند، رفتار و زیرساختهایشان قابلپیشبینی بود. اما اکنون دهها سایت ناپایدار و با عُمر کوتاه، هرگونه تحلیل مبتنی بر شهرت و سابقه را ضعیف کردهاند.
اثر محدود عملیاتهای قانونی
با وجود چندین عملیات بزرگ مقابله با باجافزار، ازجمله علیه RansomHub و 8Base، حجم حملات کاهش نیافته است. دلیل اصلی ساده است:
نیروهای عملیاتی دستگیر نمیشوند — فقط زیرساخت از بین میرود.
در نتیجه، مهاجمان تنها جابهجا یا ریبرند میشوند و فعالیتها ادامه دارد. این ساختار پراکنده همچنین باعث میشود:
اعتبار بازار کاهش یابد
احتمال دریافت کلید رمزگشایی کمتر شود
نرخ پرداخت نیز به ۲۵–۴۰٪ سقوط کند
بازگشت LockBit 5.0 — آغاز یک چرخه بازمرکزگرایی؟
در سپتامبر ۲۰۲۵، LockBit 5.0 منتشر شد و بازگشت یکی از بزرگترین برندهای تاریخ باجافزار را رقم زد. ویژگیهای نسخه جدید:
نسخههای Windows، Linux و ESXi
سرعت رمزگذاری بیشتر
پویشگری و فرار بهتر
پرتال مذاکره اختصاصی برای هر قربانی
تنها در ماه اول، دستکم ۱۲ قربانی ثبت شد.
اگر LockBit بتواند مهاجمان پراکنده را دور خود جمع کند، احتمال دارد فاز جدیدی از تمرکز در بازار باجافزار شکل بگیرد. این تمرکز دو پیامد اصلی دارد:
۱) پیشبینیپذیری بیشتر برای تحلیلگران
۲) توان اجرای حملات بزرگتر و هماهنگتر برای مهاجمان
DragonForce و قدرت برندینگ در باجافزار
گروه DragonForce نمونهای از تلاش برای ایجاد تمایز برند است. این گروه با ادعای اتحاد با LockBit و Qilin — بدون شواهد فنی — سعی در تقویت تصویر عمومی خود دارد.
این گروه از تاکتیکهای جدیدی برای دیدهشدن استفاده میکند:
اعلام همکاری با گروهها
ارائه سرویسهای تحلیل داده سرقتشده
فعالیتهای روابط عمومی برای افزایش اعتبار
تحلیل جغرافیایی و صنعتی
در Q3 2025:
آمریکا همچنان نیمی از قربانیان را تشکیل میدهد
کره جنوبی برای اولین بار در ۱۰ کشور برتر قرار گرفت (بیشتر توسط Qilin)
آلمان و بریتانیا همچنان هدف گروههایی مثل Safepay و INC Ransom هستند
از نظر صنعتی:
تولید و خدمات تجاری: هر کدام حدود ۱۰٪
سلامت: حدود ۸٪ (سهم مراقبتهای بهداشتی روی ۸ درصد ثابت ماند، هرچند برخی گروهها مانند Play برای کاهش بررسی دقیق، از این بخش اجتناب میکنند.)
جمعبندی
فصل سوم ۲۰۲۵ نشان داد که باجافزار، از لحاظ ساختاری مقاومتر شده است. پراکندگی زیاد، ردیابی را سختتر کرده و هر عملیات قانونی تنها باعث جابهجایی و رشد مجدد شبکههای جدید شده است.
بازگشت LockBit این سؤال را ایجاد میکند که آیا بازار وارد چرخه جدید تمرکز خواهد شد یا خیر.
اما پیام نهایی برای تیمهای امنیتی روشن است:
تنها بررسی نام گروهها کافی نیست. باید رفتار مهاجمان، جابهجایی اعضا، زیرساختها و محرکهای اقتصادی را تحلیل کرد.
