Mediana żądanego okupu wobec przedsiębiorstw zatrudniających powyżej 1000 pracowników spadła w ciągu roku z 2,75 mln do 1,2 mln dolarów, wynika z raportu The State of Ransomware in Enterprise 2025 przygotowanego przez Sophos. To największy roczny spadek od początku prowadzenia badania. Jak podkreślają autorzy, nie oznacza to jednak, że ransomware staje się mniej groźny – zmieniła się raczej jego ekonomia i sposób wywierania presji.
Firmy coraz skuteczniej zatrzymują ataki zanim dojdzie do szyfrowania danych. W 2025 r. udało się to w 47 proc. przypadków, podczas gdy dwa lata wcześniej odsetek ten wynosił 22 proc.. Po raz pierwszy od pięciu lat mniej niż połowa ataków zakończyła się zaszyfrowaniem danych (49 proc.). Jednocześnie cyberprzestępcy częściej sięgają po kradzież informacji (udaną w 30 proc. incydentów), aby zwiększyć presję na ofiary.
Według Sophos, spadła również mediana faktycznie zapłaconego okupu: z 1,26 mln do 1 mln dolarów. Firmy płacą też mniejszy odsetek pierwotnie żądanej kwoty (86 proc. wobec 95 proc. rok wcześniej), a ponad połowie z nich udaje się wynegocjować niższą sumę. – Zamiast maksymalizować wysokość pojedynczego okupu, atakujący częściej celują w kwoty, które ofiara jest w stanie realnie zapłacić – komentuje cytowany w komunikacie Chester Wisniewski, Director, Global Field CISO w Sophos.
Model podwójnego wymuszenia – łączenie szyfrowania z groźbą ujawnienia danych – pozostaje kluczowym narzędziem szantażu. Nawet jeśli organizacja jest w stanie odtworzyć środowisko z kopii zapasowych, ryzyko wycieku informacji generuje poważne konsekwencje prawne i reputacyjne. Wśród firm, które doświadczyły szyfrowania, 30 proc. równolegle padło ofiarą kradzieży danych.
Najczęstszą techniczną przyczyną powodzenia ataków pozostają luki w oprogramowaniu (29 proc.), a tuż za nimi phishing (21 proc.) oraz wykorzystanie skompromitowanych danych logowania (również 21 proc.). Wśród czynników organizacyjnych dominują nieznane wcześniej luki (40 proc.) oraz braki kadrowe i kompetencyjne (po 39 proc.).
Średni koszt usunięcia skutków ataku – bez uwzględnienia okupu – spadł o 41 proc., do 1,84 mln dolarów, najniżej od trzech lat. Firmy szybciej wracają do normalnego działania: połowa z nich w ciągu tygodnia, a 95 proc. w ciągu trzech miesięcy. Dane udaje się odzyskać w 96 proc. przypadków, choć coraz rzadziej wyłącznie z kopii zapasowych.
Statystyki te nie oddają jednak wpływu incydentów na pracowników. We wszystkich firmach, w których doszło do zaszyfrowania danych, wystąpiły negatywne konsekwencje dla zespołów IT i cyberbezpieczeństwa, wskazuje raport. Najczęściej są to zwiększona presja zarządu (40 proc.), przeciążenie pracą i stres (39 proc.), absencje związane ze zdrowiem psychicznym (31 proc.) oraz wymiana lidera zespołu (27 proc.).
Sophos podkreśla, że obserwowane trendy nie świadczą o słabnięciu ransomware, lecz o jego ewolucji. Ataki są częściej wykrywane i blokowane, ale rośnie znaczenie kradzieży danych, która może być dla firm bardziej dotkliwa niż samo szyfrowanie.
