2025年のランサムウェア情勢は、かつてない規模と高度化を遂げている。85のランサムウェアグループが同時に活動し、世界的な被害額は570億ドルに達すると予測される中、組織は技術的深さと戦略的明確さの両方を要求される脅威環境に直面している。本ガイドは、セキュリティ専門家向けに、ランサムウェアの動作原理、最大の脅威となる攻撃者グループ、そして実際に被害リスクを低減する防御策に関する最新情報を提供する。
検知能力の構築、インシデント対応手順の改善、組織リスクに関する経営陣への報告のいずれにおいても、ここに掲載されている情報は、FBI、CISA、MITRE ATT&CKなどの権威ある情報源による最新の脅威調査と防御のベストプラクティスを反映しています。
ランサムウェアは、被害者のデバイスやネットワーク上のファイルを暗号化し、アクセスを回復するために身代金(通常は仮想通貨)の支払いを要求する悪意のあるソフトウェアの一種である。 FBIによれば、ランサムウェアは支払いが完了するまでコンピュータファイル、システム、またはネットワークへのアクセスを妨げます。
CISAはランサムウェアを「絶えず進化を続ける形態の マルウェア であり、デバイス上のファイルを暗号化し、あらゆるファイルとそれらに依存するシステムを使用不能にするように設計されている」と定義している。この定義は、セキュリティチームが直面する運用上の現実を捉えている。ランサムウェアは単にデータをロックするだけでなく、そのデータに依存するビジネスプロセスを混乱させるのである。
2025年のランサムウェアによる経済的影響は甚大である。サイバーセキュリティ・ベンチャーズによれば、今年の全世界におけるランサムウェア被害額は570億ドル(約1日あたり1億5600万ドル)に達した。これらのコストは身代金支払いをはるかに超え、業務中断、復旧費用、評判の毀損、規制上の罰金などを含む。
ランサムウェアが特に懸念される理由は、単なる迷惑行為から洗練された犯罪組織へと進化した点にある。現代のランサムウェア運用者は、暗号化を展開する前に偵察活動を行い、永続性を確立し、機密データを外部へ流出させる。これにより、各ランサムウェア被害は潜在的なデータ侵害へと変貌し、影響を受けた組織に長期的な影響をもたらす。
ランサムウェアは、より広範なカテゴリーである マルウェア — コンピュータシステムやそのユーザーに損害を与えるように設計された悪意のあるソフトウェア。しかし、ランサムウェアは他のマルウェアとは異なる独自の特性を有している。 マルウェア タイプから区別される独自の特性を持っています。
ウイルスが拡散してファイルを破壊したり、トロイの木馬がバックドアアクセスを提供したり、スパイウェアが密かに情報を流出させたりするのとは異なり、ランサムウェアは自らを明らかにする。身代金要求のメッセージを通じて、このサイバー攻撃は被害者に可視化される。この可視性は攻撃者の金銭的動機に資する:被害者は、発生した事実を知らなければ身代金を支払うことができないからだ。
金銭的動機もまた、ランサムウェアの急速な進化を促進している。攻撃者は支払い率を最大化し検知を最小化するため、絶えず手法を洗練させており、攻撃側の革新と防御能力の間で軍拡競争が生まれている。
現代のランサムウェア攻撃は予測可能な手順で進行するため、防御側は複数の段階でこれを阻止できる。この攻撃チェーンを理解することで、セキュリティチームは多層防御を実装し、暗号化が行われる前に検知 可能となる。
典型的なランサムウェア攻撃は、以下の5段階で進行する:
各段階には検知と妨害の機会が存在する。初期アクセス防止のみに注力する組織は、侵害から暗号化までの長い期間に攻撃者を捕捉する機会を逃している。
ランサムウェア攻撃者が利用する侵入経路は大きく変化している。HIPAA Journalによれば、2025年第3四半期のランサムウェア攻撃の48%がVPN認証情報の侵害によるもので、第2四半期の38%から増加した。これは、以前の年における フィッシング が初期アクセスを支配していた状況から根本的な変化を示している。
資格情報に基づく初期アクセスの増加傾向は、犯罪マーケットプレイスにおける盗まれた資格情報の広範な流通と、システムを侵害してランサムウェア運用者へのアクセス権を販売する専門家である初期アクセスブローカーの有効性の両方を反映している。これらのブローカーは、大規模な資格情報の収集に情報窃取型マルウェアを頻繁に利用する。
外部サービスの悪用は依然として深刻であり、最近の攻撃キャンペーンではVPNアプライアンス(SonicWallのCVE-2024-40766)、Citrix NetScalerデバイス(CVE-2025-5777)、およびOracle E-Business Suite(CVE-2025-61882)などのエンタープライズソフトウェアの脆弱性が標的とされている。
ネットワーク内部に侵入すると、ランサムウェアの攻撃者は迅速に動き出す。Vectra 横方向移動に関する調査によれば、平均的なラテラルムーブは初期侵害から48分以内に発生する。観測された最速の事例では、攻撃者がわずか18分でネットワーク全体への拡散を達成している。
この速度は検知とレスポンスの時間を狭くする。攻撃者は正当な管理ツールと認証情報を利用して横方向に移動するため、振る舞い ではその活動を通常のネットワーク運用と区別することが困難である。
データ窃取はランサムウェア攻撃においてほぼ普遍的な手法となっている。Deepstrikeによれば、2025年のランサムウェア攻撃の76%で、暗号化前にデータ窃取が行われた。これにより二重恐喝が可能となる——被害者がバックアップから復元しても、攻撃者は盗んだデータを公開すると脅すのだ。
情報漏洩フェーズで観察される一般的なツールには以下が含まれる:
について MITRE ATT&CK フレームワークは、ランサムウェアの手法を記述するための標準化された用語体系を提供する。ランサムウェアの主要な手法は T1486 - データはインパクトのために暗号化されていますインパクト戦術に分類される。
ATT&CKフレームワークは、70以上のランサムウェアファミリーとその関連技術を文書化しています。セキュリティチームはこのマッピングを活用し、検知範囲の検証や、積極的な脅威ハンティングを通じて防御能力のギャップを特定できます。
ランサムウェアは単純な暗号化ツールから、洗練された多面的な脅威へと進化した。主要な亜種を理解することで、防御側は攻撃パターンを予測し、適切な対応策を準備できる。
ランサムウェアの種類における根本的な区別は、暗号化型ランサムウェアとロック型ランサムウェアの間にある。
暗号化ランサムウェア(暗号化型ランサムウェアとも呼ばれる)は、感染したデバイス上の個々のファイルやデータを暗号化します。Keeper Securityによれば、被害者はデバイス自体は使用できますが、復号鍵なしでは暗号化されたファイルにアクセスできません。現代の暗号化ランサムウェアは、AES-256、ChaCha20、RSA-2048といった強力な暗号化アルゴリズムを使用しており、計算上解読は不可能です。
ロッカー型ランサムウェア(スクリーンロッカー)は異なる手法を取る——個々のファイルを暗号化するのではなく、ユーザーをシステム全体から締め出す。チェック・ポイントによれば、ロッカーの亜種は支払いが完了するまでデバイスへのアクセスを一切遮断する。ランサムウェアの初期段階ではロッカー型が主流だったが、現在では暗号化型ランサムウェアが支配的である。その理由は、暗号化型の方が影響が大きく、復旧が困難だからだ。
現代のランサムウェアは、単純な暗号化を超えて多層的な恐喝スキームへと進化している。
二重恐喝型ランサムウェアは、データ暗号化とデータ窃取を組み合わせた手法である。攻撃者はまず機密情報を外部に流出させ、その後システムを暗号化する。被害者が身代金を支払わずにバックアップから復元した場合、攻撃者は盗んだデータを公開または販売すると脅迫する。Arctic Wolfによれば、2025年のランサムウェアインシデント対応事例の96%でデータ流出が確認されており、二重恐喝が例外ではなく標準的手法となっている。
三重恐喝型ランサムウェアは、暗号化やデータ窃盗に加え、さらなる圧力戦術を加えます。これには以下が含まれる場合があります:
この進化により、ランサムウェア攻撃は現在、複数の重複する損害を生み出す——暗号化による業務中断、データ流出に伴う通知義務、そして公開漏洩の脅威による評判の毀損である。
ランサムウェアの産業化は、これを技術的犯罪から誰でも参入可能なビジネスモデルへと変貌させた。IBMによれば、ランサムウェア・アズ・ア・サービス(RaaS)とは、ランサムウェア開発者がmalware 販売またはリースしmalware 実際の攻撃を実行するビジネスモデルである。
RaaS事業者は提携先に以下を提供します:
その見返りとして、アフィリエイトは身代金収入をRaaSオペレーターと分け合う。Flashpointによれば、典型的なアフィリエイトの収益分配率は身代金支払額の70~85%であり、キリンは業界トップの85%の分配率を提供してアフィリエイトを誘致している。
このモデルは参入障壁を劇的に低下させる。技術的に未熟な犯罪者でもプロ仕様のツールを用いて高度な攻撃を実行可能となり、脅威の広がりを拡大し攻撃の規模を増加させる。
2025年のランサムウェア生態系は、断片化、高度化、そして記録的な攻撃量によって特徴づけられる。セキュリティチームは、防御策を効果的に優先順位付けするために、活動中の脅威アクターとその戦術に関する最新のインテリジェンスを必要としている。
チェック・ポイント・リサーチによると、2025年第3四半期には過去最多となる85のランサムウェアグループが同時に活動していた。この細分化は、主要グループの摘発に伴う分裂に起因し、RaaSインフラを活用した新規グループの立ち上げが容易であることを反映している。
攻撃件数は大幅に増加し、2025年1月から9月にかけて世界で4,701件のランサムウェア被害が記録され、2024年同期比で46%増加した。
麒麟は2025年に支配的なランサムウェアグループとして台頭し、第3四半期までに月間75件以上の被害者処理を達成した。同グループの提携収益分配率85%(競合他社を上回る水準)は、解散した組織から熟練した提携者を惹きつけている。特筆すべきは、北朝鮮の脅威アクターが2025年3月に麒麟ペイロードを展開したことで、国家主体の組織と犯罪的ランサムウェア活動との連携を示唆している。
CISAの勧告によると、アキラは2025年9月下旬時点で2億4417万ドルの収益を蓄積した。同グループは製造業、教育、IT、医療、金融サービス分野における中小企業(SMB)および重要インフラを標的としている。
ロックビットは、クロノス作戦を含む法執行機関の強力な圧力にもかかわらず、2025年9月にバージョン5.0で再登場した。ピーク時からは勢いを失っているものの、このグループの持続性は、確立されたRaaS(Ransomware-as-a-Service)オペレーションの回復力を示している。
チェンジ・ヘルスケア(2024–2025年):ALPHV/BlackCatによるチェンジ・ヘルスケアへの攻撃は、米国史上最大の医療データ侵害事件である。AHA(米国病院協会)によれば、約1億9270万人が影響を受け、総被害額は30億ドルと推定される。根本原因は、多要素認証(MFA)が設定されていないシトリックスサーバーの認証情報が漏洩したこと——基本的なセキュリティ対策の失敗が壊滅的な結果を招いた。
麒麟「韓国リーク」キャンペーン(2025年9月): The Hacker Newsによれば、麒麟は単一のマネージドサービスプロバイダー(GJTec)を侵害し、そのアクセス権を利用して28の下流組織(うち24は韓国の金融セクター)を攻撃した。100万以上のファイルと2TBのデータが流出。このサプライチェーン攻撃は、MSP侵害がランサムウェアの影響を指数関数的に増幅させる実例を示している。
Clop Oracle EBS キャンペーン(2025年11月): Z2Dataによれば、ClopランサムウェアグループはOracle E-Business SuiteのCVE-2025-61882(CVSS 9.8)を悪用し、ブロードコム、エスティローダー、マツダ、キヤノン、アリアンツUK、ワシントンポストを含む100社以上を侵害した。このキャンペーンは、2023年のMOVEit攻撃と同様に、Clopによる大規模悪用の継続的なパターンを示している。
ランサムウェアの標的は業種によって大きく異なる。Industrial Cyberによれば、重要インフラ部門は2025年の全ランサムウェア攻撃の半数を占めた。
中小企業は不釣り合いな影響に直面している。ベライゾンDBIR分析によれば、中小企業のデータ侵害の88%がランサムウェア関連(大企業では39%)であり、攻撃を受けた中小企業の60%は6ヶ月以内に廃業する。専任のセキュリティリソースとインシデント対応能力の不足が、小規模組織を特に脆弱にしている。
効果的なランサムウェア防御には、予防、検知、対応を網羅した多層的な制御が必要です。予防が最も費用対効果の高いアプローチである一方、組織は進行中の検知 、防御が失敗した際に効果的に対応する準備も整えなければなりません。
CISAの#StopRansomwareガイドは、セキュリティチームが基本対策として実施すべき権威ある予防ガイダンスを提供します:
優先行動(直ちに実施):
追加の技術的制御:
2025年の攻撃の48%が侵害されたVPN認証情報を利用していたことを踏まえ、組織はVPN設定の監査を実施し、すべてのリモートアクセスに多要素認証を導入するとともに、ゼロトラストネットワークアクセス代替案を検討すべきである。
Veeamが詳細に説明する現代的な3-2-1-1-0バックアップルールは、ランサムウェア耐性のあるデータ保護を提供します:
不変ストレージはバックアップを書き込み一回・読み取り多数(WORM)形式に変換し、完全な認証権限を持つ管理者であっても上書き・変更・削除が不可能となります。これにより、バックアップシステムを標的とするランサムウェアから保護します。
定期的なバックアップテストは極めて重要です。組織は少なくとも四半期ごとに復元手順を検証し、実際のテスト結果に基づいて現実的な復旧時間目標を文書化すべきです。
ランサムウェア攻撃の全プロセスにおいて検知の機会が存在します。ネットワーク検知とレスポンスソリューションは、エンドポイントツールでは見逃される可能性のある攻撃者の行動を可視化します。
前駆体 マルウェア 監視対象:
ランサムウェア活動のネットワーク指標:
振る舞い 異常の検出を可能にします。ユーザーやシステムが確立されたパターンから逸脱した場合——通常とは異なるリソースへのアクセス、通常とは異なる時間帯での認証、通常とは異なるデータ量の転送など——これらの逸脱は調査を必要とします。
組織がランサムウェアの被害に遭った場合、CISAは即時の対応ガイダンスを提供します:
インシデント対応計画を早期に発動することで、結果が改善されます。検証済みの対応手順を持つ組織は、より迅速に復旧し、被害を最小限に抑えます。
復旧時間は大幅に改善されました。ソフォスによると、2025年には56%の組織が1週間以内に復旧したのに対し、2024年は33%でした。この改善は、業界全体でバックアップ手法が向上し、インシデント対応能力が成熟したことを反映しています。
FBIとCISAは身代金の支払いを推奨していません。データはこの立場を支持しています:
被害者の行動はこの指針を反映している。ソフォスによれば、2025年にはランサムウェア被害者の63%が支払いを拒否し、2024年の59%から増加した。一方、97%の組織がバックアップやその他の手段でデータの復旧に成功しており、復旧に支払いが必ずしも必要ではないことを示している。
支払いをご検討の場合、いかなる決定に先立ち、法律顧問および法執行機関の関与が必要です。一部の支払いは制裁規制に違反する可能性があり、当局は特定の脅威アクターに関する情報を有しており、それが判断に影響を与える場合があります。
規制枠組みはランサムウェアに特化した対策と報告要件をますます義務付けている。セキュリティチームはコンプライアンス義務を理解し、既存の対策を枠組みの要件に照らし合わせて対応する必要がある。
NIST IR 8374 - ランサムウェアリスク管理プロファイル: このNIST刊行物は、サイバーセキュリティフレームワークの5つの中核機能(特定、保護、検知、対応、復旧)をランサムウェアリスクに特化して適用する。 2025年1月にCSF 2.0向けに更新され、ISO/IEC 27001:2013およびNIST SP 800-53 Rev. 5に準拠した実践的なガイダンスを提供します。
MITRE ATT&CK : ATT&CKバージョン18(2025年10月)は、70以上のランサムウェアファミリーとその手法を文書化しています。組織はATT&CKを活用し、既知のランサムウェアの挙動に対する検知範囲を検証し、能力のギャップを特定できます。
NIS2指令(EU): NIS2指令は、18の重要分野にわたる重要・重要事業体に対し、ランサムウェア対策に特化した管理措置の実施を義務付けています。主な要件には、重大なインシデントに対する24時間以内の早期通報義務、および違反に対する最大1,000万ユーロまたは全世界売上高の2%に相当する罰則が含まれます。
ランサムウェアはサイバー保険市場に重大な影響を与えている。Resilienceの調査によると、2025年のランサムウェア保険請求の平均額は118万ドルに達し、前年比17%増加した。請求件数の56%を占めるにもかかわらず、発生損失の76%をランサムウェアが占めている。
補償範囲に関する課題が増加している。HIPAA Journalによれば、2024年にはサイバー保険の請求の約40%が拒否され、その多くは「セキュリティ維持義務違反」条項によるものだった。保険会社は請求審査において、脆弱性管理の実践状況、多要素認証(MFA)の導入状況、バックアップ手順を厳しく精査している。
新たな懸念事項:インターロックランサムウェアグループが被害者からサイバー保険証券を窃取し、補償限度額を基準に身代金要求額を設定していることが確認された。この情報に基づく身代金価格設定手法により、適切な補償範囲がセキュリティ強化を伴わない潜在的なリスク要因となり得る。
ランサムウェアの脅威環境は、防御戦略の継続的な進化を要求している。攻撃者が新たな手法——EDRキラー、CodefingerのAWS SSE-C悪用のようなクラウドセキュリティ脅威、国家レベルの連携——を開発するにつれ、防御側は検知とレスポンス能力をそれに応じて適応させねばならない。
攻撃者がエンドポイント制御を回避するケースが増加する中、ネットワークベースの検知が極めて重要となっている。NDRソリューションは、エンドポイントツールでは検知できないラテラルムーブ、データ流出、コマンド&コントロール通信を可視化する。
拡張型検知・対応(XDR)プラットフォームは、エンドポイント、ネットワーク、クラウド、およびIDデータソースにまたがるシグナルを相関分析します。このクロスレイヤー可視化により、環境全体で関連するアクティビティを結びつけることで、誤検知を減らし調査を加速します。
境界ベースのセキュリティでは認証情報ベースの攻撃から保護できないことを組織が認識するにつれ、ゼロトラスト・アーキテクチャの採用は拡大し続けています。ランサムウェアインシデントの48%が認証情報の漏洩から始まることを考えると、ネットワークが既に侵害されていると想定し、すべてのアクセス要求を検証することが不可欠になります。
Vectra Attack Signal Intelligence を通じてランサムウェア防御にアプローチしますAttack Signal Intelligence シグネチャや既知の指標のみに依存するのではなくAttack Signal Intelligence 攻撃チェーン全体にわたる攻撃者の行動の検知に焦点を当てていますAttack Signal Intelligence ネットワークトラフィック、クラウド活動、およびアイデンティティシグナルを分析することで、プラットフォームはランサムウェア展開に先行するラテラルムーブ、特権昇格、データ流出のパターンを特定します。
「侵害を前提とする」という考え方では、執念深い攻撃者は最終的に予防策を突破すると認識している。重要な能力は、初期アクセスから暗号化までの時間枠(わずか18分程度の場合もあるが、通常は振る舞い ベースの脅威検知が不正活動を特定するのに十分な長さ)において攻撃者を発見することである。
AIセキュリティ機能により、特定の亜種に関する事前知識がなくても、新たなランサムウェアの挙動を検知できます。攻撃者が新たな回避技術を開発しても、振る舞い 攻撃の根底にあるパターン——認証情報の悪用、異常なデータアクセス、横方向の接続試行——を特定し続けます。これらのパターンは攻撃キャンペーン全体で一貫して見られます。
2025年のランサムウェアは、成熟し洗練され、かつ高度に分断された脅威であり、いかなる組織も無視できない。活動中のグループは85、世界的な被害額は570億ドル、暗号化とデータ窃取を常套手段とする攻撃が横行する中、その危険性はかつてないほど高まっている。
データは、予防策と準備が効果的であることを示している。多要素認証(MFA)を導入し、テスト済みの不変バックアップを維持し、ネットワークをセグメント化する組織は、復旧が早く身代金の支払いを回避できる。検知能力、特にネットワークベースの振る舞い 投資する組織は、暗号化が始まる前に攻撃者を捕捉する。
今後の道筋には継続的な進化が不可欠である。ランサムウェア攻撃者が新たな手法を開発し新たな脆弱性を悪用するにつれ、防御側も適応せねばならない。MITRE ATT&CK に基づく検知範囲の定期的な検証、継続的なセキュリティ意識向上トレーニング、四半期ごとのバックアップ復元テストが、強靭な運用基盤を構築する。
ランサムウェア防御の強化を目指す組織にとって、Vectra AI の Attack Signal Intelligence アプローチは、攻撃チェーン全体にわたる検出を提供し、特定のマルウェアの亜種や回避手法に関係なく、ランサムウェアの展開に先立つ動作を識別します。
ランサムウェアは、ファイルを暗号化してロックし、復号化の見返りとして(通常は仮想通貨での)支払いを要求する悪意のあるソフトウェアです。FBIによれば、これは最も経済的損害が大きいサイバー攻撃の一種であり、2025年には組織あたり1件の被害で平均550万~600万ドルの損失が発生すると予測されています。攻撃者は支払い方法と期限を記載した身代金要求書を提供します。 支払えば復号鍵を提供すると主張しますが、復旧は保証されません。現代のランサムウェアは暗号化前にデータを窃取し、バックアップからの復元後も支払わなければ機密情報を公開すると脅迫します。
ランサムウェアは通常、いくつかの一般的な経路から侵入します。HIPAA Journalによれば、2025年第3四半期には、侵害されたVPN認証情報がランサムウェア攻撃の48%を占めました。 フィッシング 悪意のある添付ファイルやリンクを含むメールは依然として主要な侵入経路である。インターネットに接続されたシステム(特にVPNアプライアンス、Citrixデバイス、企業向けソフトウェア)の未修正脆弱性の悪用も別の侵入経路となる。マネージドサービスプロバイダーやソフトウェアベンダーを介したサプライチェーン攻撃は、複数の組織を同時に侵害する可能性がある。攻撃者が初期アクセスを獲得すると、通常は数日から数週間かけてネットワーク内を移動しデータを窃取した後、暗号化を展開する。
FBIとCISAは身代金の支払いを推奨していません。統計はこの指針を裏付けています:身代金を支払った組織のうちデータを回復できたのはわずか46%であり、支払った組織の80%がその後も攻撃を受けています。 2025年には、ランサムウェア被害者の63%が支払いを拒否し、97%の組織がバックアップやその他の手段でデータを回復しました。身代金の支払いは犯罪組織への資金提供となり、将来の攻撃を助長します。支払いを検討している場合は、まず法律顧問に相談し、法執行機関と連携してください。一部の支払いは制裁規制に違反する可能性があり、当局が意思決定に影響を与える情報を保有している場合があります。
影響を受けたシステムは直ちにネットワークから切り離し、拡散を防止してください。システムの再起動や再起動は行わないでください。さらなる被害を引き起こしたり、フォレンジック証拠を破壊する可能性があります。バックアップシステムを保護するため、安全を確保しネットワークから切り離してください。身代金要求メッセージのスクリーンショットを撮影し、システム状態を保存するなど、あらゆる情報を記録してください。攻撃の範囲を評価し、どのシステムが影響を受けたかを把握してください。 FBI、CISA、または地元の法執行機関に連絡してください。支払いを検討する前に、No More Ransom Projectで無料復号ツールを確認してください。100以上のランサムウェアファミリーに対応した復号ツールが提供されています。
重要な保護対策は、すべての外部向けサービスとリモートアクセスポイントでフィッシング耐性のある多要素認証(MFA)を有効にすることから始まります。 Veeamが詳述する3-2-1-1-0ルールに従い、オフラインで変更不可能なバックアップを維持してください。既知の悪用された脆弱性には速やかにパッチを適用し、CISAの既知の悪用脆弱性カタログのエントリを優先してください。ネットワークセグメンテーションを実装して、ラテラルムーブメントを制限してください。リアルタイム検出機能を備えたEDR、NDR、またはXDRソリューションを導入してください。管理アカウントと日常的に使用するアカウントを分離し、パスワードは15文字以上にしてください。VPN認証情報の侵害が攻撃の48%を占めていることを踏まえ、従来のVPNの代替としてゼロトラストネットワークアクセスを検討してください。
二重恐喝型ランサムウェアは、従来のファイル暗号化とデータ窃取を組み合わせた手法です。攻撃者はまずネットワークから機密データを窃取し、その後システムを暗号化して身代金を要求します。被害者が支払わずにバックアップから復元すると、攻撃者は盗んだデータをリークサイトに公開または販売すると脅迫します。Arctic Wolfによれば、2025年のランサムウェアインシデント対応事例の96%でデータ流出が確認されており、二重恐喝が標準的な手口となっている。この進化により、優れたバックアップ体制を整えている組織でさえ、データ流出が規制上の罰則、評判の毀損、競争上の損害を招く可能性があるため、支払いを迫られる重大な圧力に直面している。
現代のランサムウェアは、主にランサムウェア・アズ・ア・サービス(RaaS)プラットフォームを運営する組織化されたサイバー犯罪グループによって実行されている。チェック・ポイント・リサーチによれば、2025年第3四半期には85の異なるランサムウェアグループが活動していた。 最も活発なグループには、Qilin(月間75件以上の被害、収益の85%をアフィリエイトに分配)、Akira(収益額2億4400万ドル)、Medusa 重要インフラで300件以上の被害)、DragonForce(低収益分配要件により台頭中)が含まれる。 一部組織は国家と結びついている——北朝鮮ハッカーが2025年3月にキリンランサムウェアを展開した事例は、国家主体と犯罪組織の連携を示唆している。初期アクセスブローカーはシステム侵入を専門とし、ランサムウェア運用者にアクセス権を販売することで、このエコシステムをさらに産業化している。