Возвращение Cl0p приводит к рекордному росту вымогательских атак в 2025 году

Согласно новому исследованию компании NordStellar, атаки ransomware увеличились на 81% по сравнению с прошлым годом. Этот рост в значительной степени можно приписать группе ransomware Cl0p, которая заявила о своей ответственности за 385 атак в первые недели 2025 года. В результате февраль 2025 года стал месяцем с наибольшим количеством атак ransomware в истории, когда было зарегистрировано 980 известных атак всего за 28 дней - в среднем по 35 атак в день.

Группа Cl0p ворвалась на сцену ransomware примерно в 2019 году, предлагая ransomware-as-a-service (RaaS), где группа киберпреступников сдает в аренду свой ransomware другим лицам для совершения собственных атак или продает доступ к сети и системам организации другим лицам для шифрования и шантажа. Пик известности группы пришелся на период после успешного взлома MOVEit Managed File Transfer, в результате которого более 600 организаций лишились своих конфиденциальных данных, что затронуло более 40 миллионов человек.

В 2025 году американские организации составили 844 из 2040 жертв, и Вакарис Норейка (Vakaris Noreika), эксперт по кибербезопасности из NordStellar, приписывает это тому факту, что американские компании часто являются прибыльными целями для групп ransomware благодаря своим богатствам и страхованию от киберрисков, а также своей высокой взаимосвязанности сетей - с каждым пользователем, устройством и подключением, потенциально служащим точкой входа для злоумышленника.

“Всплеск атак ransomware беспрецедентен, что доказывает, что угроза становится более неумолимой, чем когда-либо прежде”, - говорит Норейка (Noreika). “Рост обусловлен сочетанием факторов – хакеры быстрее, чем когда-либо, используют уязвимости нулевого дня, рост ransomware как услуги (RaaS) снижает порог входа, а организации по-прежнему сталкиваются с проблемами непатченных систем и слабой безопасностью учетных данных.”

“Возвращение Cl0p может быть тесно связано с прошлыми действиями группы, например, с использованием уязвимостей нулевого дня в программном обеспечении Cleo для передачи файлов, что привело к компрометации сотен организаций по всему миру”, - говорит Норейка (Noreika). “Этот инцидент, подобный аналогичному инциденту MOVEit Transfer в 2023 году, подчеркивает критическое значение своевременного устранения уязвимостей в решениях для передачи файлов с управлением, чтобы защититься от сложных киберугроз.”

Чтобы смягчить потенциальную угрозу атаки ransomware, NordStellar рекомендует организациям внедрять многоуровневые стратегии кибербезопасности, а также использовать регулярное резервное копирование данных, которые можно восстановить в случае атаки. Многофакторная аутентификация также может помочь защитить от несанкционированного доступа и перемещения по боковой поверхности, а инструменты мониторинга даркнета могут дать раннее предупреждение о нарушении учетных данных или украденных данных. Организации также могут проводить обучение сотрудников в области кибербезопасности и внедрять системы защиты конечных точек как способ обнаружения возможных вторжений в сеть.