2025 rokiem ransomware? Rekordowa fala cyberataków i nowa generacja gangów

Skala cyberataków dla okupu odnotowuje rekordowy wzrost: w I kwartale 2025 roku ujawniono niemal 2300 skutecznych ataków ransomware. To aż 126% więcej niż rok temu – alarmuje Check Point Research. Na rynku działa ponad 70 gangów, do najbardziej aktywnych należy „DragonForce”.

Wzrost ataków obejmuje praktycznie cały świat. Co miesiąc ofiarami ransomware zostaje ponad 650 firm (w 2024 tylko 450), a na rynku działają co najmniej 74 grupy, wyspecjalizowane w zastraszaniu i żądaniu okupu – to rekord wszech czasów uważają eksperci.

„Krajobraz ataków ransomware w 2025 roku odzwierciedla dynamiczne i coraz bardziej złożone środowisko zagrożeń. Na świecie działa wiele grup, specjalizujących się w tego typu działalności. Wysiłki na rzecz zwalczania ataków są utrudnione przez brak międzynarodowej współpracy, ponieważ są kraje – jak Rosja, Korea Północna i Iran które albo tolerują, albo aktywnie wspierają takie działania” – komentuje Wojciech Głażewski, dyrektor firmy Check Point w Polsce.

„DragonForce” i reszta

Do najbardziej aktywnych i skutecznych grup należy DragonForce. Początkowo gang ten luźno powiązany był z grupą aktywistów – być może z Malezji – wrzucających memy i atakujących symboliczne cele. Jeszcze dwa lata temu nikt nie traktował tej grupy poważnie. Jednak dziś to jedna z najgroźniejszych organizacji cyberprzestępczych świata, z własną platformą Ransomware-as-a-Service (RaaS) i armią freelancerów, która destabilizuje cały sektor bezpieczeństwa IT. Ich darknetowy portal „DragonLeaks” – będący mrocznym repozytorium ofiar – działa jak cyfrowy odpowiednik tablicy hańby. Dla wielu firm stał się znakiem, że właśnie zostały zaatakowane.

Polska zajmuje 3. miejsce w Europie i 9. na świecie pod względem narażenia na ataki ze strony organizacji cyberprzestępczych wspieranych przez obce państwa, głównie Rosję – wynika z najnowszego raportu Microsoft Digital Defense Report. Według portalu Ransomware.Live, polskie firmy atakowało co najmniej 10 grup specjalizujących się w ransomware. Ofiarami miały w ostatnim czasie być m.in. Smyk, Asseco, Powiatowy Urząd Pracy w Żorach, Hydro-Vacuum S.A., Suder&Suder czy CD Projekt.

Ransomware w modelu gig economy

Analitycy Check Point Research zwracają uwagę na nowy trend na rynku ransomware. Gangi wyłudzające haracze, działają jak profesjonalne firmy i „outsourcują” usługi. W tym świecie tzw. modelu gig economy, doskonale odnajduje się „DragonForce”. Ugrupowanie przyciąga byłych członków upadłych grup takich jak LockBit czy ALPHV, oferując im naprawdę dogodne warunki: nalicza tylko 20% prowizji – mniej niż standard na czarnym rynku. Ponadto oferuje gotowe narzędzia, infrastrukturę i wsparcie obejmujące szyfrowanie, negocjacje oraz platformę wycieku danych „RansomBay”. W końcu umożliwia swobodę działań, dzięki czemu każdy z „afiliantów” może stworzyć własną markę ransomware, zmieniać notatki okupu oraz rozszerzenia plików.

Specjaliści zauważają, że „DragonForce” wyróżnia się jednak czymś jeszcze: precyzją wyboru celów. W kwietniu i maju 2025 roku zaatakowali grupę największych firm sprzedaży detalicznej w Wielkiej Brytanii.  Według informacji ujawnionych przez BBC, gang zaatakował takich potentatów jak Marks & Spencer oraz słynny Harrods, kradnąc i blokując (w zamian za okup) dane wielu klientów. Paraliż e-commerce, programów lojalnościowych i operacji wewnętrznych pokazał, że nie chodzi już tylko o okup. Chodzi o dane – masowe, osobowe, a przede wszystkim wartościowe.

Najgroźniejszą cechą ransomware w 2025 roku nie jest kod, tylko jego automatyzacja. Grupy jak FunkSec już używają LLM-ów do generowania złośliwego oprogramowania, deepfake’ów i botów wykradających hasła SMS-em. „DragonForce” i ich rywale używają GenAI do tworzenia phishingów w różnych językach, ataków BEC (Business Email Compromise), a nawet generowania fałszywych głosów. Najbardziej niepokojące jest jednak to, że ransomware stał się produktem gotowym do wdrożenia przez każdego, kto zna podstawy obsługi komputera.