Четыре группировки взяли под контроль почти половину всех атак с шифрованием данных.
Вымогатели снова делят рынок между крупными игроками. После двух лет хаоса и появления десятков мелких группировок киберпреступный мир быстро возвращается к старой модели, где основную долю атак контролируют несколько крупных операторов. За первый квартал 2026 года десять крупнейших группировок взяли на себя 71% всех опубликованных атак с шифрованием данных.
Специалисты Check Point Research подсчитали, что с января по март 2026 года на сайтах утечек появились данные о 2122 жертвах программ-вымогателей. Показатель оказался ниже рекордного четвёртого квартала 2025 года, когда злоумышленники заявили о 2416 атаках, однако нынешний результат стал вторым по величине первым кварталом за всю историю наблюдений.
Самой активной группировкой третий квартал подряд остаётся Qilin. За первые три месяца года операторы опубликовали данные о 338 жертвах. На втором месте оказалась Akira, а главным открытием квартала стала группировка The Gentlemen. Осенью 2025 года о ней почти никто не слышал, а теперь операторы вышли на третье место в мире, увеличив число атак с 40 до 166 всего за один квартал.
Отдельное внимание аналитики уделили возвращению LockBit. После того как инфраструктуру группировки разгромили в 2024 году, многие считали проект мёртвым, однако новая версия платформы LockBit 5.0 быстро восстановила позиции. За квартал операторы заявили о 163 жертвах и поднялись на четвёртое место среди самых активных вымогателей.
Мы в MAX. Простите.
Одним из главных изменений 2026 года стало сокращение числа активных группировок. Если в третьем квартале 2025 года специалисты насчитывали 85 действующих операторов, то теперь осталось 71. Четырнадцать групп полностью исчезли, а большинство новичков не смогли набрать даже десяти жертв. Освободившееся место быстро заняли крупнейшие игроки, которые начали переманивать партнёров и инфраструктуру ослабленных конкурентов.
Авторы отчёта считают, что давление правоохранительных органов только усиливает концентрацию рынка. После арестов и закрытия инфраструктуры часть участников уходит с рынка, а оставшиеся крупные проекты поглощают партнёров и расширяют влияние. Именно так укрепились Qilin, Akira, The Gentlemen и LockBit, на долю которых пришлась почти половина всех атак квартала.
The Gentlemen специалисты называют самой заметной новой группировкой последних месяцев. Проект создал бывший партнёр Qilin под псевдонимом Hastalamuerte после конфликта из-за невыплаченного вознаграждения примерно на 48 тысяч долларов. Благодаря опыту работы с Qilin, Embargo, LockBit и Medusa операторы получили готовые инструменты и уже с первых недель начали проводить масштабные атаки.
Ключевым преимуществом The Gentlemen оказался огромный запас ранее взломанных устройств FortiGate. По данным отчёта, группировка контролирует около 14,7 тысячи устройств, взломанных через уязвимость CVE-2024-55591 в FortiOS и FortiProxy, а также почти тысячу действующих учётных записей для подключения через VPN FortiGate. Такой объём заранее подготовленного доступа позволяет атаковать компании значительно быстрее обычных партнёров программ-вымогателей.
The Gentlemen также выделяется необычной географией атак. Если почти половина всех жертв вымогателей в мире приходится на США, то у новой группировки доля американских компаний составила лишь 13,3%. Среди наиболее атакуемых стран оказались Таиланд, Бразилия и Индия. Специалисты связывают такую картину с расположением уязвимых устройств FortiGate, к которым злоумышленники получили доступ заранее.
LockBit тоже изменил подход к выбору целей. До того как инфраструктуру разгромили, более половины жертв группировки находились в США, однако в 2026 году показатель упал до 21%. Вместо американских компаний операторы начали чаще атаковать организации в Италии, Бразилии и Турции. Авторы отчёта предполагают, что группировка пытается снизить риск нового давления со стороны американских правоохранительных органов.
Среди наиболее атакуемых стран по-прежнему лидируют США, на которые пришлось почти 50% всех случаев. Однако впервые в десятку вошёл Таиланд, где более половины атак связаны именно с деятельностью The Gentlemen. В некоторых странах статистику практически полностью формирует одна группировка. Например, в Мексике доминирует LockBit, а в Австралии большую часть атак обеспечила Cl0p благодаря массовой эксплуатации уязвимости в Oracle EBS.
По отраслям сильнее всего пострадали промышленность, потребительский сектор и сфера услуг. При этом разные группировки придерживаются собственных стратегий. Akira активно атакует производственные компании и поставщиков товаров, поскольку простой таких организаций обходится особенно дорого и повышает вероятность выплаты выкупа. Anubis, напротив, чаще других выбирает медицинские организации и объекты критической инфраструктуры.
Авторы отчёта считают, что рынок программ-вымогателей вступил в новый этап. Крупные операторы становятся технологически сильнее, активнее работают по всему миру и лучше переживают удары правоохранительных органов. Одновременно доходность атак снижается, а выплаты выкупа падают до исторических минимумов. На этом фоне мелким группировкам становится всё сложнее конкурировать с крупнейшими игроками рынка.