Ataki ransomware oczywiście nie zniknęły, ale zmniejsza się grono ofiar, które płacą przestępcom. Owe zagrożenia nadal blokują systemy, kradną dane i potrafią sparaliżować całe organizacje. Coś jednak zmienia się w tym „biznesie”. Coraz mniej ofiar decyduje się zapłacić.
Co warto wiedzieć:
Jeszcze w 2024 roku ok. 28% ofiar ransomware płaciło okup. Trend był spadkowy, choć czasem „na chwilę” wspinał się w górę. W trzecim kwartale 2025 roku spadek osiągnął historyczne minimum: jedynie 23%. Właściciele infrastruktur zaczynają kalkulować, co jest rozsądniejsze.
Organy ścigania i prawnicy podkreślają, że wpłacony okup finansuje kolejne przestępstwa i uczy hakerów, że skoro ofiary chcą płacić, to ten biznes się opłaca. Ogółem, wpłata w ramach takiej infekcji, to wręcz przyznanie się do tego, że nie zdaliśmy egzaminu z cyberodporności.
Dane są walutą
Jeszcze kilka lat temu typowy atak ransomware wyglądał dość przewidywalnie. Szyfrowanie, groźba publikacji informacji, okup i negocjacje. Dziś dominują ataki, w których pierwszym celem jest kradzież danych, a dopiero ewentualnie blokowanie systemów.
Coveware wylicza, że w III. kwartale 2025 roku ponad 76% incydentów obejmowało wyciek danych, czyli tzw. podwójne wymuszenie. Jeśli gangom uda się wykraść dokumenty, nawet pełna kopia zapasowa nie rozwiązuje problemu. Stawką w tej sytuacji jest reputacja, którą bardzo łatwo stracić po ujawnieniu danych w Internecie.
Gdy przestępcy nie szyfrują systemów, a tylko kopiują dane i grożą ujawnieniem – odsetek płacących spada jeszcze mocniej. Tylko 19% ofiar decyduje się na zapłacenie okupu. To sygnał dla branży groźby ujawnienia wykradzionych informacji przestają działać. Dlaczego? Bo to zdarza się tak nagminnie, że branża zwyczajnie już nie obawia się tego typu incydentów. Istnieją procedury na to, by osoby niepowołane nie mogły wykorzystać ujawnionych informacji: firmy zdają sobie z tego sprawę.
Mniej łatwych pieniędzy
Spadek zainteresowania przelewami uderza po kieszeni gangów. Średni okup w III. kwartale 2025 roku to około 377 tys. dolarów, czyli mniej niż kwartał wcześniej. Mediana – 140 tys. – mówi jeszcze więcej o kurczących się wpływach.
Większe organizacje przestały traktować okup jak „normalny koszt w biznesie” i wolą (co jest bardzo mądre) inwestować w wzmocnienie bezpieczeństwa. Ofiary zwyczajnie kalkulują: jeżeli zapłacę raz, przyjdą do mnie po raz kolejny i znowu poproszą o okup. Po wzmocnieniu ochrony możemy dosłownie zapomnieć o takich incydentach.
Gangi zmieniają cel
Najgłośniejsze grupy: choćby Akira czy Qilin, odpowiadały za 44% analizowanych ataków w ostatnim kwartale. Zamiast polować na korporacje z cyberarmią na pokładzie, coraz częściej celują w średnie firmy.
Tutaj logika jest prosta i całkiem dobra. Mała firma nie zapłaci, bo nie ma kasy. Duża firma nie zapłaci, bo ma dobrych prawników i politykę antyokupową. Średnia? To często najlepszy kompromis: takie organizacje mają wystarczająco pieniędzy, ale zazwyczaj są nie wystarczająco chronione.
Najsłabsze ogniwo
Ataki coraz częściej zaczynają się od przejęcia zdalnych kont dostępowych, zwłaszcza słabo zabezpieczonych. Jednocześnie rośnie wykorzystanie luk w oprogramowaniu – tutaj odbywa się ciągły wyścig: kto pierwszy zdąży załatać, a kto pierwszy zaatakuje.
Im lepiej chronione są sieci dużych firm, tym chętniej cyberprzestępcy szukają ludzi podatnych na manipulację, albo… takich, których da się kupić. Rekrutacja „insiderów” z użyciem sporych łapówek to kierunek w działaniach przestępców, którego nie można ignorować.
Czytaj również: Technologia Apple kontra przestępcy. Nie uwierzysz, jak dali się złapać
Biznes szantażu krwawi
Spadek zapłaconych okupów to niewygodna prawda dla hakerów: model trzeba zmienić albo… znaleźć sobie w przyszłości inny mechanizm nacisku na ofiary. Ransomware będzie dalej ewoluować, co do tego nie mam wątpliwości. Ale czy organizacjom wystarczy tej twardej postawy wobec przestępstw tego typu? Trudno powiedzieć. Oby.
