Drie prominente ransomware -groepen Dragonforce, Lockbit en Qilin hebben een nieuwe strategische ransomware -alliantie aangekondigd, zodra de voortdurende verschuivingen in het landschap van de cyberdreiging worden onderstreept.
De coalitie wordt gezien als een poging van de financieel gemotiveerde dreigingsactoren om effectievere ransomware -aanvallen uit te voeren, zei Reliaquest in een rapport dat wordt gedeeld met het Hacker News.
“Aangekondigd kort na het terugkeren van Lockbit, zal de samenwerking naar verwachting het delen van technieken, middelen en infrastructuur vergemakkelijken, de operationele mogelijkheden van elke groep versterken,” merkte het bedrijf op in zijn ransomware -rapport voor Q3 2025.
“Deze alliantie zou kunnen helpen de reputatie van Lockbit bij gelieerde ondernemingen na de takedown van vorig jaar te herstellen, mogelijk een toename van een toename van de aanvallen op kritieke infrastructuur en het uitbreiden van de bedreiging voor sectoren die eerder als een laag risico beschouwden, uitbreiden.”
Het partnerschap met Qilin is geen verrassing, aangezien het de afgelopen maanden de meest actieve ransomware -groep is geworden en alleen al in het Q3 2025 iets meer dan 200 slachtoffers claimt.
“In Q3 2025 richtten Qilin zich onevenredig gericht op de in Noord-Amerika gevestigde organisaties,” zei Zerofox in het Q3 2025 Ransomware Wrap-Up-rapport. “Het operationele tempo van Qilin begon aanzienlijk te stijgen in Q4 2024, toen het collectief ten minste 46 aanvallen uitvoerde.”
De ontwikkeling valt samen met de opkomst van Lockbit 5.0, die is uitgerust met doelwindows, Linux en ESXI -systemen. De nieuwste iteratie werd voor het eerst geadverteerd op 3 september 2025 op het Ramp Darknet Forum op de zesde verjaardag van het Affiliate -programma.
Lockbit kreeg begin 2024 een enorme klap na een wetshandhavingsoperatie genaamd Cronos die zijn infrastructuur in beslag nam en leidde tot de arrestatie van sommige van zijn leden. Op zijn hoogtepunt wordt naar schatting de groep gericht op meer dan 2500 slachtoffers wereldwijd en heeft ze meer dan $ 500 miljoen aan losgeld ontvangen.
“Als de groep erin slaagt zijn vertrouwen onder gelieerde ondernemingen opnieuw op te bouwen, zou het opnieuw kunnen ontstaan als een dominante ransomware -dreiging, gedreven door financiële motieven en door een verlangen naar wraak tegen wetshandhavingsuitval,” zei Reliaquest.
De terugkeer van Lockbit en zijn alliantie komt als de dreigingsacteur die bekend staat als Scattered Spider lijkt zich op te zetten om zijn eigen ransomware-as-a-service (RAAS) -programma te lanceren genaamd Shinysp1D3R, waardoor het de eerste dergelijke service is van een Engelstalige afpersingsploeg.
Reliaquest zei dat het in totaal 81 data -leksites volgt, een aanzienlijke sprong van 51 gemeld in begin 2024. Bedrijven in de sector Professionele, wetenschappelijke en technische diensten zijn goed voor het grootste aantal slachtoffers gedurende de periode, overtroffen 375.
Productie, bouw, gezondheidszorg, financiën en verzekeringen, detailhandel, accommodatie en foodservices, onderwijs, kunst en entertainment, informatie en onroerend goed zijn enkele van de andere vaak getroffen sectoren.
Een andere opmerkelijke trend is de piek in ransomware -aanvallen gericht op landen zoals Egypte, Thailand en Colombia, wat aangeeft dat dreigingsactoren zich uitbreiden verder dan “traditionele hotspots” zoals Europa en de VS om wetshandhavingsonderzoek te ontwijken. De overgrote meerderheid van de slachtoffers die op data -leklocaties worden genoteerd, zijn gevestigd in de VS, Duitsland, het VK, Canada en Italië.
According to data from ZeroFox, there have been a total of at least 1,429 separate ransomware and digital extortion (R&DE) incidents in Q3 2025, down from 1,961 incidents observed in Q1 2025. Qilin, Akira, INC Ransom, Play, and SafePay have been found to be responsible for approximately 47 percent of all global R&DE attacks in Q2 and Q3 2025.
“De onevenredige targeting van in Noord-Amerika gevestigde entiteiten kan gedeeltelijk worden toegeschreven aan de geopolitieke motivaties en ideologische overtuigingen van financieel gemotiveerde dreigingscollectieven die worden gevoed door oppositie tegen ‘westerse’ politieke en sociale verhalen,” zei het bedrijf.
“Noord-Amerika organiseert een breed scala aan robuuste industrieën die substantiële en snelgroeiende digitale aanvalsoppervlakken omvatten. De wijdverbreide integratie van technologieën zoals cloud-netwerkdiensten en internet der dingen draagt bij aan de toegankelijkheid van Noord-Amerikaanse activa.”
