Die Zahlen des Berichts zeigen eine stetige Zunahme von Doppelerpressungen. Verantwortlich für diese waren hauptsächlich kleine aber schnell wachsende Hackergruppen. Zudem sondierten die Sicherheitsforscher im vergangenen Quartal 85 Data Leak-Seiten. Dort veröffentlichten 47 Gruppen jeweils bis zu zehn Opfer. Das deutet darauf hin, dass eine wachsende Zahl von Akteuren sich nicht allein auf Ransomware-as-a-Service (RaaS)-Programme verlässt, sondern auch Angriffe unabhängig durchführt.
Diese Fragmentierung folgt auf Operationen von Strafverfolgungsbehörden gegen mehrerer großer RaaS-Anbieter im Laufe des Jahres, darunter RansomHub, 8Base, BianLian, Cactus und andere. Allein im dritten Quartal veröffentlichten jedoch 14 neue Gruppen Listen ihrer Opfer. Die Gesamtzahl der neu beobachteten Akteure im Jahr 2025 erhöhte sich damit auf 45.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, kommentiert die Ergebnisse wie folgt: „Im dritten Quartal 2025 hat sich gezeigt, dass Operationen von Strafverfolgungsbehörden gegen Ransomware-Gruppen leider nicht bedeuten, dass auch die Angriffe zurückgehen. Wir beobachten ein äußerst anpassungsfähiges Ökosystem, in dem Akteure frei zwischen verschiedenen RaaS-Anbietern wechseln, wöchentlich neue auftauchen und Daten-basierte Erpressung weiterhin die dominierende Strategie darstellt. Die Zukunft von Ransomware liegt in Automatisierung, Informationsaustausch und Agilität und das muss auch für die Strategien der Verteidiger gelten.“