W 1. połowie 2025 roku średnia wartość okupu w atakach ransomware na świecie sięgnęła 841 tys. dolarów – wynika z danych Coveware by Veeam, które przedstawił Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w firmie Veeam. Mediana płatności w tym czasie podwoiła się kwartał do kwartału.
W pierwszej trójce najczęściej atakowanych w pierwszym półroczu 2025 roku znalazły się: branża usług profesjonalnych (17 proc.), obejmująca m.in. kancelarie prawne oraz firmy księgowe i doradcze, jak również placówki ochrony zdrowia (15 proc.) i administracja publiczna (11 proc.). Wspólnym mianownikiem podmiotów z tych branż jest fakt, że przetwarzają one dane wrażliwe i są często zobowiązane do działania w sposób nieprzerwany.
Dwa na trzy incydenty bezpieczeństwa w 1. połowie 2025 r. dotyczyły przedsiębiorstw liczących od 11 do 1000 pracowników. Porównując kwartał do kwartału, powoli rośnie także liczba cyberataków wymierzanych w mikroprzedsiębiorstwa zatrudniające do 10 osób – w 2. kwartale te podmioty stanowiły 4 proc. ofiar. Na drugim biegunie znalazły się największe korporacje, zatrudniające ponad 25 tys. osób, które były ofiarami 8 proc. incydentów.
Ekspert Veeam uważa, że duże korporacje – choć lepiej zabezpieczone – mogą w przyszłości częściej stawać się ofiarami, zwłaszcza w przypadku działań sponsorowanych przez państwa.
Zmienia się także charakter samych ataków. Szyfrowanie plików, choć obecne w blisko 90 proc. analizowanych przez Coveware by Veeam ataków ransomware, coraz częściej pełni jedynie rolę dodatkowego środka nacisku na firmy, a nie głównego celu cyberprzestępców. W niemal trzech przypadkach na cztery podstawowym narzędziem szantażu była kradzież danych i groźba ich upublicznienia. Przejmowanie kolejnych elementów infrastruktury IT firm było obecne w 63 proc. incydentów, a w co drugim ataku hakerzy podejmowali działania ukierunkowane na obejście zabezpieczeń: od wyłączania systemów ochronnych po maskowanie swojej obecności. Coraz wyraźniej widać też nowe podejście: atakujący ingerują w procesy tworzenia kopii zapasowych – manipulują harmonogramami aktualizacji lub usuwają wybrane elementy backupu – tak, by problem z odtworzeniem danych ujawnił się dopiero w momencie, gdy firma próbuje wrócić do normalnej działalności.
Jednym z wyraźnych trendów w 1. połowie 2025 r. był wzrost ataków opartych na inżynierii społecznej, czyli manipulowaniu pracownikami w celu uzyskania dostępu do systemów firmowych. Najczęściej obserwowane były dwa scenariusze: pierwszy zakładał podszywanie się pod pracownika i oszukiwanie działu wsparcia technicznego w celu wyłudzenia dostępu do konta lub otrzymania dodatkowych uprawnień. W drugim cyberprzestępcy udawali pracowników z działów IT i nakłaniali zatrudnionych do zainstalowania oprogramowania do zdalnej obsługi, aby przejąć kontrolę nad komputerem ofiary.
Miejsce dużych grup hakerskich coraz częściej przejmują niezależni operatorzy, tzw. lone wolves, którzy posługują się prostszymi i trudniejszymi do rozpoznania metodami manipulacji. Stopniowo traci na znaczeniu model usługowy RaaS (Ransomware-as-a-Service), czyli działalność oparta na udostępnianiu gotowych narzędzi ransomware innym hakerom. Na jej osłabienie wpływają niższe zyski, rosnące ryzyko utraty anonimowości, a także konflikty wewnętrzne i oszustwa między partnerami.
Rosnące znaczenie zyskuje inżynieria społeczna – podszywanie się pod pracowników lub dział IT w celu uzyskania dostępu do systemów. To trend, który z grup anglojęzycznych rozprzestrzenił się globalnie.
Zdaniem eksperta Veeam firmy powinny inwestować nie tylko w technologie ochronne, ale też w szkolenia i ćwiczenia podnoszące odporność organizacyjną i świadomość pracowników wobec manipulacji i potencjalnych incydentów.
