המערכת האקולוגית של כנופיות הכופרה ממשיכה להתפצל, עם ריבוי כנופיות חדשות בעקבות פעולות אכיפת החוק אשר חיסלו כנופיות כופרה גדולות והביאו למיתוג מחדש של פושעי הסייבר. MalwareBytes עקבה אחר 41 כנופיות כופרה חדשות בין יולי 2024 ליוני 2025, כאשר למעלה מ- 60 כנופיות כופרה פעלו בו זמנית בפעם הראשונה מאז החל המחקר. חוקרי סייבר בחברה ייחסו עלייה בסך מתקפות הכופרה לגידול במספר הכנופיות הפעילות, שהוכפל בשלוש השנים האחרונות: "בין אם זה משקף יותר משתתפים או גודל קבוצות קטן יותר, זה מצביע על כך שמשהו – אולי שילוב של ניסיון בתחום, נוזקות שהתמסחרו ובינה מלאכותית בשפע – מוריד את מחסום הכניסה עבור פושעי סייבר חדשים", אמרה החברה והדגישה: "הצמיחה המתמדת הזו של כנופיות כופרה פעילות הונעה על ידי דפוסים עקביים של היווצרות, סגירה ופעילות שוטפת. במהלך שלוש השנים האחרונות הופיעו מדי שנה כ- 50 כנופיות כופרה חדשות, כ- 30 פרשו וניכר כי כנופיית כופרה אופיינית תקפה כחמש מטרות בחודש."
סוכנויות אכיפת החוק בארה"ב ובאירופה הצליחו לחסל כנופיות כופרה גדולות כמו LockBit, BlackCat/AlphV ו- Hive. הפעולות הצליחו להרוס את התשתית בה השתמשו כנופיות אלו, אך התקשו בביצוע מעצרים, מה שאיפשר לפושעי סייבר רבים פשוט להקים כנופיות חדשות.
ג'ון פוקר – ראש מודיעין איומי סייבר ב- Trellix, אמר כי היבט חשוב נוסף של מגמת הפיצול הוא חוסר האמון בין כנופיות מסונפות לבין חברים מרכזיים בכנופיות כופרה גדולות. הדרך שבה חדרו סוכני אכיפת חוק בריטיים לכנופיית הכופרה LockBit וה- FBI לתוך כנופיית הכופרה Hive, שחקקה את האמון בעולם פושעי הסייבר וגרמה לסכסוכים פנימיים ולחשדנות כלפי כל חבר חדש. פוקר – קצין משטרה לשעבר מהולנד, השווה את המצב לעימות מקסיקני – שבו חברי כנופיית כופרה מכוונים אקדחים זה לזה. תוצר לוואי שלילי אחד של חוסר האמון הזה, הינו עלייה בהונאות יציאה ובכנופיות כופרה מסונפות המציעות מידע גנוב באתרי הדלפת מידע. הוא השתמש במתקפת הכופרה על Change Healthcare כדוגמה: ההאקר הזה פתח במתקפת סייבר הרסנית כחלק מכנופיית הכופרה AlphV/BlackCat, אך לאחר שהקבוצה הזו קרסה עקב פעולות אכיפת החוק, הציע ההאקר את הנתונים הגנובים באמצעות RansomHub. כשנה לאחר מכן, סולק אותו האקר מ- RansomHub, מה שממחיש עד כמה שבירים הקשרים בין חלק מההאקרים לכנופיות אליהן הם מצטרפים. כנופיות כופרה גם תוקפות זו את זו וחושפות מידע, מה שמראה שמאמצי אכיפת החוק יצרו חוסר אמון.
"ימי ההיררכיה של קבוצות גדולות, לדעתי, הסתיימו – וזו אבולוציה נורמלית, כי אם מסתכלים על איך פועלת כנופיית כופרה, הרבה אנשים הם יזמים", הסביר פוקר. לדבריו, כנופיות כופרה העסיקו בדרך כלל אנשים שהתמחו במשימות מסוימות. חלק מהחברים היו טובים בהלבנת הון, אחרים היו טובים בכתיבת קוד או בתקיפת שירותי VPN. ככל שקבוצות כמו REvil ו- Conti גדלו בגודלן ובבולטותן, היה קשה יותר ויותר לשלוט בכנופיות בנות, שרבות מהן הרגישו שהן לא מקבלות מספיק תשלום: "אז חבורה של אנשים אומרת 'לעזאזל עם זה, אני עושה את זה בעצמי'".
