7.655 khiếu nại về phần mềm tống tiền trong một năm: Phân tích nhóm, ngành và quốc gia
7,655 Ransomware Claims in One Year: Group, Sector, and Country Breakdown
Từ tháng 3 năm 2025 đến tháng 3 năm 2026, các nhóm ransomware đã công bố thông tin về 7.655 nạn nhân, trung bình 20 nạn nhân mỗi ngày. Năm nhóm hàng đầu, bao gồm cả Qilin và Akira, chiếm 40% tổng số vụ việc. Các ngành bị nhắm mục tiêu nhiều nhất là sản xuất (890 vụ) và công nghệ (843 vụ) trên toàn cầu, với Mỹ là quốc gia chịu ảnh hưởng nặng nề nhất. Các developer Việt Nam cần nhận thức rằng các hoạt động ransomware rất đa dạng và có quy mô rộng khắp, với nhiều nhóm nhỏ cũng đóng góp đáng kể vào bức tranh chung. Điều này nhấn mạnh tầm quan trọng của một chiến lược phòng thủ đa diện, thay vì chỉ tập trung vào một vài mối đe dọa lớn, để bảo vệ hiệu quả hệ thống và dữ liệu.
7.655 khiếu nại của nạn nhân ransomware từ 129 nhóm trên 141 quốc gia, tháng 3 năm 2025 đến tháng 3 năm 2026 Từ tháng 3 năm 2025 đến tháng 3 năm 2026, các nhóm ransomware đã đăng 7.655 khiếu nại của nạn nhân lên các trang web rò rỉ công khai trên 376...
7.655 khiếu nại của nạn nhân Ransomware từ 129 nhóm trên 141 quốc gia, từ tháng 3 năm 2025 đến tháng 3 năm 2026
Từ tháng 3 năm 2025 đến tháng 3 năm 2026, các nhóm ransomware đã đăng 7.655 khiếu nại của nạn nhân lên các trang web rò rỉ công khai trong hơn 376 ngày. Đó là khoảng 20 người mỗi ngày, hoặc một tổ chức mới được đặt tên cứ sau 71 phút.
Bài viết này phân tích những nhóm nào hoạt động tích cực nhất, những lĩnh vực mà họ nhắm mục tiêu, vị trí của nạn nhân và khối lượng yêu cầu bồi thường đã thay đổi như thế nào trong thời gian quan sát. Tất cả các số liệu đều dựa trên các bài đăng trang web bị rò rỉ được CipherCue nhập thông qua API ransomware.live. Số lượng yêu cầu bồi thường không được xác nhận là vi phạm. Chúng đại diện cho những gì các tác nhân đe dọa đã tuyên bố công khai.
Một nhóm đã đăng 1.179 yêu cầu bồi thường. Năm nhóm chiếm 40%.
Trong số 129 nhóm hoạt động, năm nhóm hàng đầu đã đăng 3.027 trong số 7.655 tuyên bố (40%). Sự sụt giảm từ đó là dần dần: nhóm thứ 6 đã đăng 261 yêu cầu (3,4%) và nhóm thứ 10 đăng 191 (2,5%).
| Nhóm | Yêu cầu bảo HỘ | Chia sẻ | Quốc gia |
|---|---|---|---|
| Qilin | 1.179 | 15.4% | 74 |
| Akira | 706 | 9.2% | 42 |
| BAO GỒM tiền chuộc | 415 | 5.4% | 60 |
| Phát | 386 | 5.0% | 21 |
| Safepay | 341 | 4.5% | 31 |
| Sinobi | 261 | 3.4% | 21 |
| DragonForce | 251 | 3.3% | 36 |
| Clop | 248 | 3.2% | 36 |
| TheG gentlemen | 192 | 2,5% | 55 |
| Linh miêu | 191 | 2,5% | 28 |
Chỉ riêng Qilin đã đưa ra 1.179 yêu cầu, khoảng 3,1 yêu cầu mỗi ngày. Dấu chân địa lý của nó trải dài trên 74 quốc gia, rộng nhất trong số các nhóm. Các mục tiêu hàng đầu của Qilin theo quốc gia: Mỹ (438), Pháp (55), Canada (48), Tây Ban Nha (41), Anh (36). Đây không phải là một nhóm chọn một khu vực địa lý và ở lại đó.
Akira đứng thứ hai với 706 tuyên bố trên 42 quốc gia, nhưng với mức độ tập trung cao hơn ở Mỹ: 403 trong số 706 tuyên bố (57%) nhắm vào các tổ chức Mỹ. Đức (34), Canada (31) và Ý (20) theo sau.
Play tập trung nhiều nhất ở Hoa Kỳ trong số năm quốc gia hàng đầu. 249 trong số 386 tuyên bố (64%) nhắm mục tiêu đến Hoa Kỳ, tiếp theo là Canada (27). Chỉ có 21 quốc gia xuất hiện trong danh sách yêu sách của mình, so với 74 của Qilin.
Đuôi dài cũng quan trọng như các nhà lãnh đạo: 124 nhóm còn lại đã đăng tổng cộng 4.628 tuyên bố. Điều này cho thấy rằng việc phá vỡ bất kỳ nhóm đơn lẻ nào không có khả năng làm giảm tổng số tổng thể một cách đáng kể.
Sản xuất đã được tuyên bố 890 lần. Công nghệ đang tụt lại phía sau ở mức 843.
Trong số 7.655 tuyên bố, 4.970 có một lĩnh vực dễ nhận biết do siêu dữ liệu ransomware.live. 2.685 người còn lại (35%) không có dữ liệu ngành hoặc được đánh dấu "Không tìm thấy".
| Lĩnh vực | Yêu cầu bảo HỘ | Các nhóm hàng đầu trong lĩnh vực này |
|---|---|---|
| Sản xuất | 890 | Qilin (150), Akira (144), Play (81), Sinobi (36), SafePay (34) |
| Công nghệ | 843 | Qilin (107), Clop (60), INC Ransom (52), Akira (47), Play (42) |
| Chăm sóc sức khỏe | 537 | Qilin (85), INC Ransom (39), Sinobi (34), Thế giới (21), SafePay (21) |
| Xây dựng | 375 | Akira (61), Qilin (57), Play (50), DragonForce (24), Sinobi (23) |
| Dịch vụ tài chính | 362 | Qilin (67), Akira (35) |
| Dịch vụ kinh doanh | 339 | Akira (50), Qilin (47), SilentRansomGroup (21), INC Ransom (20) |
| Giáo dục | 260 | Qilin (50), INC Ransom (28), SafePay (20), Interlock (20) |
| Dịch vụ người tiêu dùng | 260 | Qilin (33), Akira (22), Play (21), INC Ransom (20) |
| Khu vực công | 256 | Qilin (41), Babuk2 (35), INC Ransom (22) |
| Vận chuyển/Hậu cần | 237 | Qilin (39), Akira (23) |
10 lĩnh vực hàng đầu chiếm 4.359 trong số 4.970 khiếu nại thuộc lĩnh vực này. 611 còn lại bao gồm Nông nghiệp và Sản xuất Thực phẩm (171), Khách sạn và Du lịch (168), Năng lượng (160) và Viễn thông (106). Số dư của 6 yêu cầu bảo hộ nằm trong các nhãn lĩnh vực biến thể hoặc không nhất quán trong dữ liệu nguồn.
Mối quan hệ nhóm ngành có vẻ không ngẫu nhiên. Qilin dẫn đầu trong 9 trong số 10 lĩnh vực hàng đầu, nhưng Akira dẫn đầu cụ thể trong xây dựng (61 tuyên bố) và dịch vụ kinh doanh (50 tuyên bố). Tập trung công nghệ của CLOP (60 tuyên bố, lĩnh vực hàng đầu của nó) phù hợp với trọng tâm được báo cáo của nhóm về chuyển tập tin và các lỗ hổng của nhà cung cấp dịch vụ được quản lý. Phát triển mạnh mẽ trong lĩnh vực sản xuất (81) và xây dựng (50), những lĩnh vực mà thời gian ngừng hoạt động có thể tạo ra áp lực thanh toán lớn hơn.
Hoa Kỳ chiếm 40% tổng số nạn nhân được tuyên bố. 141 quốc gia xuất hiện trong tổng số.
3.101 trong số 7.655 khiếu nại có tên là một tổ chức có trụ sở tại Hoa Kỳ. 1.077 khiếu nại không có phân bổ quốc gia. Sau Hoa Kỳ, việc phân phối trải rộng trên 140 quốc gia khác.
| Quốc gia | Yêu cầu bảo HỘ | Nhóm hàng đầu |
|---|---|---|
| Hoa Kỳ | 3.101 | Qilin (438), Akira (403), Play (249), INC Ransom (217) |
| Đức | 315 | SafePay (72), Akira (34), Qilin (34) |
| Canada | 311 | Qilin (48), INC Ransom (33), Akira (31), Play (27) |
| Vương quốc Anh | 232 | Qilin (36), SafePay (20), INC Ransom (13) |
| Pháp | 177 | Qilin (55) |
| Ý | 169 | Qilin (32), Akira (20) |
| Tây Ban Nha | 157 | Qilin (41), Akira (12) |
| Brazil | 132 | BAO GỒM tiền chuộc (8) |
| Ấn Độ | 129 | Qilin (7) |
| Nhật Bản | 112 | Qilin (25) |
Vị trí thứ hai của Đức là đáng chú ý. Chỉ riêng SafePay đã đưa ra 72 tuyên bố nhắm vào các tổ chức của Đức, khiến nó trở thành mối đe dọa lớn nhất đối với quốc gia này. Sự tập trung này có thể phản ánh các chi nhánh nói tiếng Đức hoặc một chiến dịch nhắm mục tiêu có chủ ý, mặc dù chỉ riêng dữ liệu không thể xác nhận một trong hai lời giải thích.
Canada và Vương quốc Anh cho thấy sự lan rộng hơn của các nhóm, không có nhóm nào chiếm hơn một phần năm tổng số của một trong hai quốc gia.
Khối lượng tăng 40% trong nửa sau của giai đoạn quan sát
| Tháng | Yêu cầu bảo HỘ |
|---|---|
| Tháng 3 năm 2025 | 594 |
| Tháng 4 năm 2025 | 495 |
| Tháng 5 năm 2025 | 492 |
| Tháng 6 năm 2025 | 488 |
| Tháng 7 năm 2025 | 538 |
| Tháng 8 năm 2025 | 519 |
| Tháng 9 năm 2025 | 566 |
| Tháng 10/2025 | 814 |
| Tháng 11/2025 | 708 |
| Tháng 12 năm 2025 | 861 |
| Tháng 1 năm 2026 | 674 |
| Tháng 2/2026 | 767 |
| Tháng 3/2026 (11 ngày) | 139 |
Sáu tháng đầu tiên (tháng 3 đến tháng 8 năm 2025) trung bình có 521 yêu cầu bồi thường mỗi tháng. Sáu tháng tiếp theo (tháng 9 năm 2025 đến tháng 2 năm 2026) trung bình 732 tháng. Đó là mức tăng 40%.
Tháng 12 năm 2025 là tháng cao nhất với 861 yêu cầu. Tháng 10 năm 2025 đứng thứ hai ở mức 814. Cho dù điều này phản ánh hoạt động ransomware thực sự ngày càng tăng, nhiều nhóm chấp nhận các trang web bị rò rỉ hoặc những thay đổi trong phạm vi nuốt phải ransomware.live không thể xác định chỉ từ dữ liệu khiếu nại. Dữ liệu cho thấy đường cơ sở đã dịch chuyển lên trên và không trở lại mức nửa đầu năm.
Điều này có ý nghĩa gì đối với các nhóm rủi ro và bảo mật
- Nhà cung cấp và rủi ro chuỗi cung ứng: Sản xuất (890) và công nghệ (843) cùng nhau chiếm 1.733 trong số 4.970 tuyên bố thuộc lĩnh vực (35%). Nếu chuỗi cung ứng của bạn phụ thuộc vào các nhà sản xuất tầm trung hoặc nhà cung cấp công nghệ, nguy cơ bị nhiễm mã độc tống tiền là rủi ro hoạt động của bạn. Một nhà cung cấp xuất hiện trên một trang web rò rỉ, ngay cả khi chưa được xác nhận, nên kích hoạt đánh giá thẩm định.
- Khối lượng đang có xu hướng tăng, không giảm. Mức trung bình hàng tháng tăng 40% từ nửa đầu đến nửa cuối của giai đoạn quan sát này. Nếu tỷ lệ nửa sau duy trì, hệ sinh thái đang trên đà phát triển với hơn 8.700 yêu cầu bồi thường mỗi năm.
- Sự phân mảnh nhóm cho thấy một hệ sinh thái có khả năng phục hồi. Với 129 nhóm hoạt động, không có hành động thực thi pháp luật đơn lẻ nào có thể làm giảm đáng kể khối lượng tổng thể. Nhóm đứng đầu (Qilin) chỉ chiếm 15% số yêu cầu. Ngay cả việc loại bỏ nó hoàn toàn vẫn sẽ để lại 6.476 khiếu nại từ 128 nhóm khác.
- Sự lan truyền địa lý là chính xác. 141 quốc gia xuất hiện trong tập dữ liệu. Các tổ chức của Hoa Kỳ là mục tiêu thường xuyên nhất ở mức 40%, nhưng 60% còn lại trải dài trên sáu lục địa. Các công ty con ở châu Âu, các hoạt động của APAC và các văn phòng ở châu Mỹ Latinh đều có đại diện.
Ghi chú về phương pháp
Nguồn dữ liệu: ransomware.live API, được nhập vào CipherCue. Tập dữ liệu chứa 7.655 tuyên bố về địa điểm bị rò rỉ với ngày được phát hiện từ ngày 1 tháng 3 năm 2025 đến ngày 11 tháng 3 năm 2026 (376 ngày). Khiếu nại đại diện cho các bài đăng của tác nhân đe dọa, không phải các vi phạm đã được xác nhận. Phân bổ ngành và quốc gia được lấy từ siêu dữ liệu ransomware.live nếu có. 2.685 xác nhận quyền sở hữu (35%) không có dữ liệu ngành hoặc được đánh dấu "Không tìm thấy". 1.077 xác nhận quyền sở hữu (14%) không có dữ liệu quốc gia. Bảng ngành cho thấy 10 trong số 14 loại ngành; 611 tuyên bố còn lại bao gồm Nông nghiệp và Sản xuất Thực phẩm (171), Khách sạn và Du lịch (168), Năng lượng (160), Viễn thông (106) và 6 tuyên bố có nhãn ngành thay đổi hoặc không nhất quán. Số lượng quốc gia nhóm và khu vực nhóm được hiển thị trong các bảng dựa trên các yêu cầu bảo hiểm mà cả hai trường đều được điền. Tổng số hàng tháng có thể thay đổi khi ransomware.live cập nhật dữ liệu lịch sử. Tháng 3 năm 2026 là một phần của tháng (11 ngày tại thời điểm phân tích). Tên nạn nhân được đăng bởi các tác nhân đe dọa và có thể bao gồm các bản sao trong đó các nhóm đăng lại hoặc xác nhận cùng một nạn nhân dưới các tên khác nhau.
Chúng tôi đã xây dựng CipherCue để biến dữ liệu khiếu nại ransomware thành hành động cho các nhóm bán hàng và rủi ro. Nếu bạn muốn theo dõi tài khoản và khách hàng tiềm năng nào của mình xuất hiện trên các trang web bị rò rỉ trong thời gian thực, hãy yêu cầu bản demo.
Tác giả: adulion