- Οι επιθέσεις ransomware αυξήθηκαν κατά 52% το 2025, φτάνοντας τις 6.604 καταγραφές, με κορύφωση τις 731 επιθέσεις τον Δεκέμβριο.
- Οι ομάδες ransomware δήλωσαν πάνω από 2.000 επιθέσεις στο τελευταίο τρίμηνο του 2025, ενώ οι επιθέσεις supply chain σχεδόν διπλασιάστηκαν.
- Η ομάδα Qilin ηγήθηκε το 2025, στοχεύοντας συχνά κλάδους όπως κατασκευές, υπηρεσίες και μεταποίηση—και το 2026 ξεκινά με υψηλό ρυθμό.
Ομάδες Ransomware δήλωσαν 2.000 επιθέσεις σε μόλις τρεις μήνες
Οι επιθέσεις ransomware εκτοξεύθηκαν κατά 52% το 2025, ενώ οι παραβιάσεις της αλυσίδας εφοδιασμού (supply chain) σχεδόν διπλασιάστηκαν, καθώς οι ομάδες hacking όπως η Qilin ανεβάζουν δραματικά τα μηνιαία περιστατικά παγκοσμίως σε επίπεδα ρεκόρ.
Το ransomware μπορεί να μην κυριαρχεί πλέον στα καθημερινά πρωτοσέλιδα, όμως δεν έχει υποχωρήσει.
Ενώ η δημόσια προσοχή στράφηκε στη ραγδαία άνοδο της τεχνητής νοημοσύνης, οι ομάδες ransomware επιτάχυναν αθόρυβα τις επιχειρήσεις τους στο παρασκήνιο.
Οι αριθμοί το αποδεικνύουν: από τον Ιανουάριο του 2023, οι μηνιαίες επιθέσεις ransomware αυξήθηκαν από περίπου 200 σε σχεδόν 700—μια σταθερή και ανησυχητική κλιμάκωση.
Τα στοιχεία προέρχονται από την Annual Threat Landscape Report της Cyble, η οποία σκιαγραφεί ένα περιβάλλον απειλών που γίνεται πιο επιθετικό και πιο συντονισμένο.
Συνολικά, η Cyble κατέγραψε 6.604 επιθέσεις ransomware το 2025, αύξηση 52% σε σχέση με το 2024. Μόνο ο Δεκέμβριος είχε 731 επιθέσεις, από τα υψηλότερα μηνιαία σύνολα που έχουν καταγραφεί.
Τον Δεκέμβριο του 2025 καταγράφηκαν 731 επιθέσεις ransomware—ένα από τα υψηλότερα μηνιαία επίπεδα που έχουν εμφανιστεί.
«Οι επιθέσεις ransomware και supply chain εκτοξεύθηκαν το 2025 και τα σταθερά αυξημένα επίπεδα επιθέσεων δείχνουν ότι το τοπίο απειλών θα παραμείνει επικίνδυνο καθώς μπαίνουμε στο 2026», δήλωσε στο TechRepublic ο Paul Shread, ερευνητής κυβερνοασφάλειας στη Cyble. «Οι ομάδες ransomware δήλωσαν περισσότερες από 2.000 επιθέσεις στους τελευταίους τρεις μήνες του 2025 και ξεκινούν το 2026 με τον ίδιο αυξημένο ρυθμό».
Η εταιρεία του κατέγραψε 6.604 επιθέσεις ransomware το 2025, αυξημένες κατά 52% σε σχέση με το 2024. Η χρονιά έκλεισε με σχεδόν-ρεκόρ 731 επιθέσεις ransomware τον Δεκέμβριο του 2025.
Ίσως το πιο ανησυχητικό στοιχείο, πρόσθεσε, είναι ότι οι επιθέσεις supply chain σχεδόν διπλασιάστηκαν το 2025. Μία επίθεση σε συνεργάτη της αλυσίδας λογισμικού μπορεί δυνητικά να επηρεάσει εκατοντάδες ή και χιλιάδες πελάτες.
Ένα συμβάν supply chain μπορεί να «κλιμακωθεί» σε μαζική κρίση, επειδή επηρεάζει πολλούς οργανισμούς ταυτόχρονα μέσω ενός κοινού προμηθευτή.
Μια βιομηχανική εταιρεία στη βορειοανατολική περιοχή των ΗΠΑ, για παράδειγμα, είδε τα συστήματά της να κλείνουν πλήρως από ransomware στα τέλη Ιανουαρίου του 2026.
Ομοσπονδιακές αρχές, εκπρόσωποι ασφαλιστικών εταιρειών και ειδικοί κυβερνοασφάλειας εξακολουθούν να ξετυλίγουν το κουβάρι.
Βασικοί δείκτες ransomware (σύνοψη δεδομένων)
| Δείκτης | Περίοδος | Τιμή | Σημείωση |
|---|---|---|---|
| Μηνιαίες επιθέσεις ransomware | Ιαν. 2023 | < 200 | Αφετηρία της τάσης |
| Μηνιαίες επιθέσεις ransomware | Τελευταία περίοδος (αναφορά) | ~ 700 | Σταθερή κλιμάκωση |
| Σύνολο επιθέσεων ransomware | 2025 | 6.604 | +52% από το 2024 |
| Επιθέσεις ransomware (μήνας αιχμής) | Δεκ. 2025 | 731 | Από τα υψηλότερα μηνιαία σύνολα |
| Επιθέσεις που «δήλωσαν» ομάδες | Τελευταίο τρίμηνο 2025 | > 2.000 | Αυξημένος ρυθμός στο 2026 |
Κύριες ομάδες ransomware και οι αγαπημένοι τους στόχοι
Οι μεγαλύτεροι «κακοί» του ransomware το 2025 είναι γνωστοί ως Qilin.
Αυτή η ρωσική ομάδα κυβερνοεγκλήματος δραστηριοποιείται από το 2022 και έχει αποκτήσει φήμη για επιθέσεις υψηλού προφίλ και εξελιγμένες τακτικές.
Πρόσφατα θύματα περιλαμβάνουν μια μεγάλη ιαπωνική ζυθοποιία και την Covenant Health στις ΗΠΑ. Το μοντέλο ransomware-as-a-service (RaaS) της επιτρέπει να παρέχει σε ένα δίκτυο συνεργαζόμενων ομάδων και ατόμων εργαλεία και υποδομές για τη διεξαγωγή επιθέσεων.
Σε αντάλλαγμα, πληρώνει σε αυτές τις συνδεδεμένες οντότητες ένα μέρος από τα ποσά που εισπράττει.
Το RaaS λειτουργεί σαν «franchise»: ο πυρήνας παρέχει εργαλεία/υποδομή και συνεργάτες εκτελούν επιθέσεις, μοιράζοντας τα κέρδη.
Σύμφωνα με τη Cyble, η Qilin ηγήθηκε όλων των ομάδων ransomware το 2025. Κατέκτησε την πρώτη θέση τον Απρίλιο του 2025 και τη διατηρεί έκτοτε.
Για όλο το έτος, πραγματοποίησε 1.138 επιτυχημένες παραβιάσεις ransomware, συμπεριλαμβανομένων 190 θυμάτων μόνο τον Δεκέμβριο και άλλων 115 τον Ιανουάριο του 2026.
Qilin: Επιλεγμένα μεγέθη δραστηριότητας
| Μετρική | Τιμή | Περίοδος |
|---|---|---|
| Επιτυχημένες παραβιάσεις (σύνολο) | 1.138 | 2025 |
| Θύματα | 190 | Δεκ. 2025 |
| Θύματα | 115 | Ιαν. 2026 |
Καθώς το ransomware απαιτεί θύμα που μπορεί να πληρώσει, δεν αποτελεί έκπληξη ότι οι ΗΠΑ είναι ο κορυφαίος στόχος. Αντιπροσώπευσαν το 55% των επιθέσεων το 2025.
Άλλες «επικερδείς» περιοχές περιλαμβάνουν τον Καναδά, τη Γερμανία, το Ηνωμένο Βασίλειο, την Ιταλία, τη Γαλλία και την Αυστραλία.
Κορυφαίοι στόχοι ανά χώρα/περιοχή
| Χώρα/Περιοχή | Σχόλιο |
|---|---|
| ΗΠΑ | 55% των επιθέσεων το 2025 |
| Καναδάς | Υψηλή «ελκυστικότητα» λόγω αγοραστικής ισχύος/οικοσυστήματος επιχειρήσεων |
| Γερμανία | Σημαντική βιομηχανική βάση |
| Ηνωμένο Βασίλειο | Πολλές υπηρεσίες και κρίσιμες υποδομές |
| Ιταλία / Γαλλία / Αυστραλία | Αγορές με πολλούς δυνητικούς στόχους και πολυπλοκότητα προμηθευτών |
Οι ομάδες κυβερνοεγκλήματος δεν επικεντρώνονται σε έναν συγκεκριμένο κλάδο. Πηγαίνουν όπου μπορούν να εξασφαλίσουν τη μεγαλύτερη ανταμοιβή, σημείωσε ο Shread.
Αυτή τη στιγμή, οι κατασκευές, οι επαγγελματικές υπηρεσίες και η μεταποίηση συγκαταλέγονται στους κορυφαίους κλάδους που πλήττονται από ransomware. Πιθανόν η έλλειψη ωριμότητας σε IT και κυβερνοασφάλεια να είναι μέρος της αιτίας.
Ωστόσο, ο κλάδος του IT παραμένει συχνός στόχος, επειδή μια μόλυνση μπορεί να λειτουργήσει ως «εφαλτήριο» προς πολλούς άλλους πιθανούς στόχους.
Κλάδοι που πλήττονται συχνά
| Κλάδος | Γιατί είναι ελκυστικός στόχος (ενδεικτικά) |
|---|---|
| Κατασκευές | Πιθανή χαμηλότερη ωριμότητα ασφάλειας, υψηλό κόστος διακοπής έργων |
| Επαγγελματικές υπηρεσίες | Πρόσβαση σε ευαίσθητα δεδομένα πελατών, πίεση χρόνου |
| Μεταποίηση | Κρίσιμες λειτουργίες/παραγωγή, υψηλή επίπτωση downtime |
| IT | Δυνατότητα «άλματος» σε πελάτες/περιβάλλοντα μέσω εργαλείων και πρόσβασης |
Το 2026 ίσως είναι μια δύσκολη χρονιά για τα θύματα ransomware
Τα κακά νέα είναι ότι το 2026 έχει ήδη καταγράψει αρκετά περιστατικά ransomware υψηλού προφίλ. Έτσι, η πρόβλεψη για τη χρονιά μόνο θετική δεν είναι.
Μια ομάδα ransomware που διείσδυσε στο Oracle E-Business Suite στο δεύτερο μισό του 2025 συνεχίζει να εκμεταλλεύεται τα ίδια κενά για να εξαπολύει νέες καμπάνιες.
Η αναφορά της Cyble ανέφερε 11 εταιρείες με έδρα την Αυστραλία, στους κλάδους IT, τραπεζικών και χρηματοοικονομικών υπηρεσιών, κατασκευών, φιλοξενίας, επαγγελματικών υπηρεσιών και υγείας, ως πληττόμενες.
Επιπλέον, τα ίδια σφάλματα στοχεύτηκαν για να μολύνουν μια εταιρεία IT services και στελέχωσης στις ΗΠΑ, μια παγκόσμια ξενοδοχειακή εταιρεία, έναν μεγάλο όμιλο μέσων ενημέρωσης, μια βρετανική εταιρεία επεξεργασίας πληρωμών και μια καναδική μεταλλευτική εταιρεία.
Όμως αυτές οι επιθέσεις είναι μόνο μερικές από τις πολλές παραβιάσεις που έχουν ήδη καταγραφεί μέσα σε λίγες εβδομάδες από την αλλαγή του έτους.
Τι πρέπει να κάνουν οι οργανισμοί τώρα
Συνιστάται σε οργανισμούς κάθε είδους να δώσουν σοβαρή προσοχή στην περίμετρο κυβερνοασφάλειάς τους.
Αυτό περιλαμβάνει ταχεία επιδιόρθωση (patching) ή αποκατάσταση γνωστών ευπαθειών, με προτεραιοποίηση βάσει κινδύνου. Πρέπει να επανεξετάσουν και να αναβαθμίσουν τις προστασίες των web-facing assets, να τμηματοποιήσουν τα δίκτυα και τα κρίσιμα assets, να σκληρύνουν (harden) τα endpoints και να επανεξετάσουν/υλοποιήσουν ισχυρούς ελέγχους πρόσβασης.
Αυτές και πολλές άλλες βέλτιστες πρακτικές χρειάζονται ανανεωμένη έμφαση μέσα στη νέα χρονιά.
- Άμεσο patching και αποκατάσταση ευπαθειών με βάση τον κίνδυνο.
- Αναβάθμιση προστασίας για εκτεθειμένα στο internet συστήματα και εφαρμογές.
- Network segmentation για περιορισμό πλευρικής κίνησης (lateral movement).
- Endpoint hardening και ισχυρή παρακολούθηση συμβάντων.
- Ισχυροί έλεγχοι πρόσβασης (MFA, least privilege, ανασκοπήσεις δικαιωμάτων).
Όπως σημείωσε ο Shread: «Ο αριθμός των απειλών supply chain και ransomware που αντιμετωπίζουν οι ομάδες ασφαλείας το 2026 απαιτεί ανανεωμένη εστίαση σε βέλτιστες πρακτικές κυβερνοασφάλειας που μπορούν να βοηθήσουν στην προστασία από ένα ευρύ φάσμα κυβερνοαπειλών».
Πρακτικές συμβουλές για άμυνα απέναντι στο ransomware (2026)
Η ένταση των επιθέσεων δείχνει ότι δεν αρκεί μια «λίστα ελέγχου» ασφάλειας που εφαρμόζεται μία φορά τον χρόνο.
Η αποτελεσματική άμυνα απέναντι στο ransomware απαιτεί συνδυασμό τεχνικών μέτρων, διαδικασιών και ετοιμότητας επιχειρησιακής συνέχειας.
Στην πράξη, οι πιο επιτυχημένες ομάδες άμυνας μειώνουν τον χρόνο έκθεσης (exposure time) και περιορίζουν το blast radius όταν συμβεί παραβίαση.
1. Δώστε προτεραιότητα σε ό,τι «κόβει» την αλυσίδα επίθεσης
Πολλά περιστατικά ransomware ακολουθούν επαναλαμβανόμενο μοτίβο: αρχική πρόσβαση (phishing/κλεμμένα credentials/ευπάθεια), κλιμάκωση προνομίων, πλευρική κίνηση, εξαγωγή δεδομένων και κρυπτογράφηση. Εστιάστε σε ελέγχους που διακόπτουν τα κρίσιμα στάδια:
- MFA παντού (ιδίως VPN, email, RDP, διαχειριστικοί λογαριασμοί) και απενεργοποίηση legacy authentication όπου γίνεται.
- Least privilege με τακτικές ανασκοπήσεις δικαιωμάτων και απομάκρυνση «μόνιμων» admin δικαιωμάτων.
- Απομόνωση διαχειριστικών εργαλείων (jump servers, separate admin accounts, restricted admin workstations).
2. Backups που πραγματικά αντέχουν σε ransomware
Τα «υπάρχουν backups» δεν σημαίνει ότι θα σώσουν την επιχείρηση. Στοχεύστε σε αντίγραφα που δεν μπορούν να αλλοιωθούν:
- 3-2-1 (3 αντίγραφα, 2 διαφορετικά μέσα, 1 εκτός δικτύου/εκτός χώρου).
- Immutable ή WORM backups όπου είναι διαθέσιμα.
- Τακτικά restore tests με μετρήσεις RTO/RPO ώστε να ξέρετε πόσο γρήγορα επανέρχεστε.
3. Μειώστε τον κίνδυνο supply chain με πρακτικά βήματα
Αφού οι επιθέσεις supply chain κλιμακώνονται, χαρτογραφήστε τους κρίσιμους προμηθευτές και απαιτήστε βασικές εγγυήσεις:
| Περιοχή ελέγχου | Τι να ζητήσετε από προμηθευτή | Γιατί έχει σημασία |
|---|---|---|
| Πρόσβαση | MFA, least privilege, καταγραφή admin ενεργειών | Μειώνει τον κίνδυνο κατάχρησης λογαριασμών |
| Ενημερώσεις | SLA για patching κρίσιμων ευπαθειών και κοινοποίηση συμβάντων | Περιορίζει χρόνο έκθεσης |
| Ανίχνευση/Απόκριση | EDR/MDR κάλυψη, διαδικασία incident response, χρόνο ειδοποίησης | Επιταχύνει containment και μειώνει ζημιά |
4. Ετοιμότητα απόκρισης: μειώνει κόστος και χάος
Ένα ώριμο σχέδιο Incident Response για ransomware πρέπει να είναι «εκτελέσιμο» σε πραγματικές συνθήκες. Ελάχιστα σημεία που αξίζουν άμεση δράση:
- Σαφείς ρόλοι (IT, ασφάλεια, νομικό, επικοινωνία, διοίκηση) και 24/7 στοιχεία επικοινωνίας.
- Runbooks για απομόνωση (τερματισμός sessions, μπλοκάρισμα lateral movement, απενεργοποίηση tokens/keys).
- Προσυμφωνημένη συνεργασία με εξωτερικούς (DFIR, ασφαλιστική, νομικούς) πριν συμβεί το συμβάν.
Με αυτά τα βήματα, ακόμη κι αν υπάρξει παραβίαση, αυξάνετε δραστικά την πιθανότητα να περιορίσετε την επίπτωση, να ανακάμψετε γρηγορότερα και να μειώσετε τον επιχειρησιακό κίνδυνο το 2026.
