W pierwszym półroczu 2025 średnia wartość okupu w atakach ransomware na świecie wyniosła 841 tys. dolarów – wynika z danych Coveware by Veeam. Cyberprzestępcy najczęściej obierali za cel firmy z branży usług profesjonalnych (m.in. doradztwo prawne i księgowe), a także instytucje ochrony zdrowia oraz administracji publicznej.
Dane przygotowane przez Coveware by Veeam, do 2024 roku niezależnej firmy specjalizującej się w usługach reagowania na incydenty związane między innymi z ransomware i cyberwymuszeniami, obecnie wchodzącej w skład Veeam, dostarczają ciekawych informacji na temat zmieniającego się krajobrazu cyberprzestepczości.
Sukcesy organów ścigania w zakresie zwalczania cyberprzestępczości na świecie doprowadziły w ostatnich latach do upadku wielu dużych grup hakerskich.
Życie nie znosi próżni, ich miejsce coraz częściej przejmują niezależni operatorzy, tzw. lone wolves, którzy posługują się prostszymi i trudniejszymi do rozpoznania metodami manipulacji. Stopniowo traci na znaczeniu model usługowy Ransomware-as-a-Service (RaaS), czyli działalność bazująca na udostępnianiu gotowych narzędzi ransomware innym hakerom. Na jej osłabienie wpływają niższe zyski, rosnące ryzyko utraty anonimowości, a także konflikty wewnętrzne i oszustwa między partnerami.
Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią, Veeam:
Dwa na trzy incydenty bezpieczeństwa w pierwszej połowie 2025 roku dotyczyły przedsiębiorstw liczących od 11 do 1000 pracowników. Porównując kwartał do kwartału, powoli rośnie także liczba cyberataków wymierzanych w mikroprzedsiębiorstwa zatrudniające do 10 osób – w drugim kwartale te podmioty stanowiły 4% ofiar. Na drugim biegunie znalazły się największe korporacje, zatrudniające ponad 25 tys. osób, które były ofiarami 8% incydentów. Ten niski odsetek może wynikać z faktu, że duże organizacje dysponują bardziej dojrzałymi programami cyberbezpieczeństwa i większymi budżetami na ochronę. Jednak rosnące zaangażowanie grup przestępczych sponsorowanych przez państwa może odwrócić tę tendencję. Dla takich ugrupowań duże firmy są atrakcyjnym celem nie tylko ze względu na potencjalne korzyści finansowe, ale też strategiczne znaczenie danych i możliwość wywołania zakłóceń na skalę całego kraju
W pierwszej trójce najczęściej atakowanych w pierwszym półroczu 2025 roku znalazły się: branża usług profesjonalnych (17%), obejmująca m.in. kancelarie prawne oraz firmy księgowe i doradcze, jak również placówki ochrony zdrowia (15%) i administracja publiczna (11%). Wspólnym mianownikiem podmiotów z tych branż jest fakt, że przetwarzają one dane wrażliwe i są często zobowiązane do działania w sposób nieprzerwany. Ryzyko nawet chwilowego zakłócenia ciągłości biznesowej i operacyjnej natychmiast przekłada się na presję, by ulec żądaniom przestępców.
Szyfrowanie plików, choć obecne w blisko 90% analizowanych przez Coveware by Veeam ataków ransomware, coraz częściej pełni jedynie rolę dodatkowego środka nacisku na firmy, a nie głównego celu cyberprzestępców. W niemal trzech przypadkach na cztery podstawowym narzędziem szantażu była kradzież danych i groźba ich upublicznienia. Przejmowanie kolejnych elementów infrastruktury IT firm było obecne w 63% incydentów, a w co drugim ataku hakerzy podejmowali działania ukierunkowane na obejście zabezpieczeń: od wyłączania systemów ochronnych po maskowanie swojej obecności. Coraz wyraźniej widać też nowe podejście: atakujący ingerują w procesy tworzenia kopii zapasowych – manipulują harmonogramami aktualizacji lub usuwają wybrane elementy backupu – tak, by problem z odtworzeniem danych ujawnił się dopiero w momencie, gdy firma próbuje wrócić do normalnej działalności.
Jednym z wyraźnych trendów w pierwszej połowie 2025 roku był wzrost ataków bazujących na inżynierii społecznej, czyli manipulowaniu pracownikami w celu uzyskania dostępu do systemów firmowych. Najczęściej obserwowane były dwa scenariusze: pierwszy zakładał podszywanie się pod pracownika i oszukiwanie działu wsparcia technicznego w celu wyłudzenia dostępu do konta lub otrzymania dodatkowych uprawnień. W drugim cyberprzestępcy udawali pracowników z działów IT i nakłaniali zatrudnionych do zainstalowania oprogramowania do zdalnej obsługi, aby przejąć kontrolę nad komputerem ofiary. Dotąd takie metody były domeną grup anglojęzycznych, które dzięki biegłej znajomości języka mogły przekonująco prowadzić rozmowy z pracownikami. Dziś rozprzestrzeniają się globalnie i stają się jednym z kluczowych elementów w arsenale cyberprzestępców.
