Rok 2025 przynosi nową falę zagrożeń w świecie cyfrowym, wymuszając na organizacjach rewizję dotychczasowych strategii obronnych. Przedstawiamy pięć tendencji, które powinny znaleźć się na radarze każdego zespołu ds. bezpieczeństwa IT.
Dynamiczny wzrost incydentów ransomware (+126% r/r), dominacja phishingu jako wektora początkowego dostępu (50% wszystkich przypadków), a także rosnące wykorzystanie AI do skalowania ataków i unikania ich wykrycia, sygnalizują zmianę paradygmatu w krajobrazie zagrożeń. Dodatkowo coraz większą powierzchnię ataku stanowią zależności w łańcuchach dostaw oraz podatności środowisk chmurowych na ataki typu kryptojacking.
TREND 1: Ransomware
Jedną z najpopularniejszych form cyberprzestępczości nadal jest ransomware. Przewiduje się, że ataki tego typu wzrosną o 57% rok do roku, a spowodowane przez nie globalne szkody sięgną 265 miliardów dolarów rocznie do 2031 roku – wskazuje Global Cybercrime Report 2025, autorstwa Proxyrack. Średnie żądanie okupu wzrosło z 5 milionów dolarów w 2020 roku do 8 milionów dolarów w roku 2023, co wynika z faktu, że cyberprzestępcy stosują coraz bardziej agresywne taktyki. Eksperci wskazują, że podwójne techniki wymuszenia, w których atakujący eksfiltrują poufne dane przed zaszyfrowaniem systemów, stały się już normą.
Tylko w I kwartale 2025 roku ujawniono niemal 2300 skutecznych ataków ransomware. To nawet 126% więcej niż rok temu – alarmuje Check Point Research. Warto uzmysłowić sobie, że co miesiąc ofiarami ransomware zostaje ponad 650 firm (w roku 2024 tylko 450), a na rynku działają co najmniej 74 grupy, wyspecjalizowane w zastraszaniu i żądaniu okupu – to rekord wszech czasów. Według portalu Ransomware.Live, polskie firmy atakowało co najmniej 10 grup specjalizujących się w ransomware. Ofiarami miały w ostatnim czasie być takie firmy i instytucje jak m.in. Smyk, Asseco, Powiatowy Urząd Pracy w Żorach, Hydro-Vacuum S.A., Suder&Suder czy CD Projekt.
Tylko w I kwartale 2025 roku ujawniono niemal 2300 skutecznych ataków ransomware. To nawet 126% więcej niż rok temu – alarmuje Check Point Research.
Jak wskazują specjaliści Cisco Talos, w I kwartale 2025 roku incydenty związane z ransomware i pre-ransomware odpowiadały za ponad 50% wszystkich działań – w porównaniu z poprzednim kwartałem stanowiły one niecałe 30%. W ponad 60% ataków ransomware kluczową rolę odegrała złożona kampania vishingowa. Ataki rozpoczynały się od masowego spamu, po czym przestępcy kontaktowali się z ofiarami przez Microsoft Teams, przekonując ich do uruchomienia Microsoft Quick Assist. Następnie instalowano narzędzia zbierające dane systemowe i ustanawiano mechanizmy trwałej obecności. Z kolei 75% incydentów związanych z ransomware we wspomnianym okresie dotyczyło tzw. fazy pre-ransomware – czyli etapu, w którym atakujący uzyskali już dostęp do środowiska ofiary, ale nie zdążyli jeszcze uruchomić właściwego oprogramowania szyfrującego. Ten moment stanowi kluczowe „okno czasowe”, w którym możliwe jest wykrycie i przerwanie ataku, zanim wyrządzi on realne szkody.
Również w I kwartale br. zespół Cisco Talos po raz pierwszy odnotował wzmożoną aktywność grupy Crytox z wykorzystaniem narzędzia HRSword, służącego do wyłączania ochrony EDR (endpoint detection and response). Crytox szyfruje dyski lokalne i sieciowe, zostawiając ofiarom notkę z żądaniem okupu i pięciodniowym ultimatum. Wiadomo również, że afilianci grupy korzystają z komunikatora uTox do kontaktu z ofiarami.
TREND 2: Ataki phishingowe i socjotechniczne
Kolejnym z najbardziej rozpowszechnionych wektorów ataków jest phishing. W 2023 roku stanowił on 36% wszystkich naruszeń na świecie, a 83% organizacji zgłosiło, że doświadczyło prób phishingu. Wzrost liczby ataków spear-phishing, w których atakujący celują w określone osoby lub firmy – często wykorzystując oszustwa e-mailowe – doprowadził do strat biznesowych w wysokości ponad 1,8 miliarda dolarów. Z kolei platformy phishing-as-a-Service (PhaaS) ułatwiają atakującym uruchamianie kampanii na dużą skalę – podkreślają autorzy Global Cybercrime Report 2025. W pierwszych dwóch miesiącach br. odnotowano ponad milion ataków PhaaS, poinformowała niedawno Barracuda Networks, co świadczy o rosnącej profesjonalizacji cyberprzestępczości.
W I kwartale 2025 roku phishing stał się z kolei dominującą metodą uzyskiwania początkowego dostępu – odpowiadał za 50% analizowanych incydentów, czytamy w raporcie Cisco Talos. A to oznacza gwałtowny wzrost względem poprzedniego kwartału (kiedy wynosił poniżej 10%). Autorzy tej analizy, wskazują, że najczęstszą formą phishingu był vishing (voice phishing). Oszustwa telefoniczne, na których opiera się ta taktyka, stanowiły ponad 60% wszystkich przypadków phishingu. Ataki miały na celu nie tylko wyłudzenie danych, ale przede wszystkim przejęcie kont użytkowników i utrzymanie obecności w sieci ofiary. Odnotowano również wzrost ataków typu „quishing” (phishing z wykorzystaniem kodów QR) – w 2024 roku 12% wiadomości phishingowych zawierało złośliwe kody QR, co stanowi znaczący wzrost w porównaniu z poprzednimi latami, wskazał Egress.
W I kwartale 2025 roku phishing stał się dominującą metodą uzyskiwania początkowego dostępu – odpowiadał za 50% analizowanych incydentów, czytamy w raporcie Cisco Talos. A to oznacza gwałtowny wzrost względem poprzedniego kwartału (kiedy wynosił poniżej 10%).
Warto też podkreślić, że już 67,4% ataków phishingowych wykorzystuje AI, a kampanie phisingowe często skupiały się na znanych markach, takich jak Booking, Airbnb, TikTok czy Telegram. W Polsce, gdzie phishing też jest prawdziwą zmorą (ponad 40 tys. ataków w 2024 roku) w gronie marek, pod które najczęściej podszywają się cyberprzestępcy, znalazły się natomiast OLX, Allegro i Facebook – jak wskazują dane CERT Polska.
TREND 3: Cyberprzestępczość oparta na AI
W 2025 roku cyberataki wykorzystujące sztuczną inteligencję są już jednym z najpoważniejszych zagrożeń dla bezpieczeństwa cyfrowego na świecie. Według The Hacker News, stają się one coraz bardziej wyrafinowane, a hakerzy wykorzystują tę technologię m.in. do automatyzacji ataków, tworzenia zaawansowanych kampanii phishingowych oraz opracowywania trudnych do wykrycia złośliwych oprogramowań. Przykładowo, 42% ataków DDoS w 2024 roku było przeprowadzanych przez botnety sterowane przez AI. Raport KELA z 2025 roku odnotowuje aż 200% wzrost liczby wzmianek o złośliwych narzędziach AI na forach cyberprzestępczych. Dodatkowo – jak wskazuje analiza Netacea – 65% respondentów przewiduje wykorzystanie AI w większości cyberataków, a 93% oczekuje, że ataki z użyciem AI staną się codziennością jeszcze w tym roku.
Podczas gdy 66% organizacji spodziewa się, że AI będzie miała największy wpływ na cyberbezpieczeństwo w tym roku, tylko 37% zgłasza, że ma wdrożone procesy oceny bezpieczeństwa narzędzi AI przed implementacją – ujawnia wspomniany już raport World Economic Forum. Wskazuje to na paradoks występowania luki między rozpoznaniem zagrożeń cyberbezpieczeństwa związanych z AI, a szybką implementacją AI bez niezbędnych zabezpieczeń zapewniających cyberodporność.
Problem z rosnącym wpływem AI na cyberbepieczeństwo potwierdzają też dane z raportu Darktrace, w których 78% specjalistów ds. cyberbezpieczeństwa przyznaje, że obecnie cyberzagrożenia oparte na AI mają znaczący wpływ na ich organizację. Jednocześnie 45% CISO nie czuje się przygotowanych na realia zagrożeń związanych z AI, choć aż 95% z nich zgadza się, że rozwiązania oparte na AI znacząco poprawiają szybkość i efektywność działań prewencyjnych, detekcyjnych, reakcyjnych oraz naprawczych.
Podczas gdy 66% organizacji spodziewa się, że AI będzie miała największy wpływ na cyberbezpieczeństwo w tym roku, tylko 37% zgłasza, że ma wdrożone procesy oceny bezpieczeństwa narzędzi AI przed implementacją – ujawnia raport World Economic Forum.
Ciekawe dane dotyczące już wyłącznie Polski przynosi najnowszy Cisco Cybersecurity Readiness Index 2025. Według tej analizy 86% krajowych organizacji wykorzystuje AI do lepszego zrozumienia zagrożeń i do ich wykrywania, a 60% do reagowania na zagrożenia. Co podkreśla kluczową rolę AI w strategiach bezpieczeństwa. Analiza ta wskazuje również na obawy dotyczące „Shadow AI” – 63% polskich firm nie ma pewności, że potrafi wykrywać nieautoryzowane wdrożenia AI, co stwarza poważne ryzyko dla bezpieczeństwa i prywatności danych. Szczególne niebezpieczeństwo związane jest z wdrażaniem narzędzi GenAI. Są one bowiem coraz powszechniej używane – 46% polskich pracowników korzysta już z zatwierdzonych narzędzi zewnętrznych. Z drugiej strony, 26% zatrudnionych w polskich firmach dysponuje nieograniczonym dostępem do publicznej GenAI, a 63% zespołów IT w naszym kraju nie ma wiedzy o interakcjach pracowników z GenAI, co ujawnia istotne braki nadzoru.
Na ten sam problem zwraca uwagę Data Breach Investigations Report przygotowany przez Verizon Business. Podkreśla on, że pojawiającym się zagrożeniem ze strony AI jest potencjalny wyciek poufnych danych korporacyjnych na same platformy GenAI, ponieważ 15% pracowników rutynowo uzyskiwało dostęp do systemów GenAI na swoich urządzeniach korporacyjnych (przynajmniej raz na 15 dni). Co jeszcze bardziej niepokojące, duża liczba z nich korzystała z urządzeń niekorporacyjnych. Do tego dodajmy potencjalne zagrożenie płynące ze strony tzw. agentów AI. Badanie przeprowadzone przez Dimensional Research i SailPoint wykazało, że 23% specjalistów IT doświadczyło sytuacji, w których autonomiczni agenci AI zostali oszukani i ujawnili dane uwierzytelniające.
TREND 4: Ataki na łańcuchy dostaw
Cyberataki w łańcuchach dostaw bazują na ukrytym zaufaniu między firmami a ich dostawcami, wykorzystując jedno podatne na ataki ogniwo do infiltracji wielu organizacji. Już w latach 2021-2023 liczba tego typu ataków wzrosła o 431% – jak wskazał raport dotyczący ryzyka cybernetycznego opracowany przez firmę Cowbell. W kolejnych latach luki w zabezpieczeniach łańcucha dostaw stały się jeszcze poważniejszym problemem. Jak podkreśla Dark Reading, w samym 2023 roku ataki na łańcuchy dostaw oprogramowania wzrosły o 300%, a takie incydenty jak głośne naruszenie bezpieczeństwa amerykańskiej firmy Kaseya dotknęły ponad 1500 organizacji. Otóż przy pomocy ransomware cyberprzestępcy wykorzystują luki w zabezpieczeniach oprogramowania i dostawców usług innych firm, aby infiltrować cele o wysokiej wartości.
Niepokojące jest to, że – wedle prognoz Juniper Research – cyberataki na łańcuch dostaw oprogramowania będą kosztować gospodarkę światową 80,6 mld dolarów rocznie już do 2026 roku.
Zgodnie z IT Risk and Compliance Benchmark Report, autorstwa Hyperproof, w 2024 roku już 62% firm doświadczyło zakłóceń w cyberbezpieczeństwie swoich łańcuchów dostaw. A jak wskazuje raport Global Cybersecurity Outlook 2025, 54% dużych organizacji uznało rosnącą złożoność łańcuchów dostaw, w połączeniu z brakiem widoczności i nadzoru nad poziomami bezpieczeństwa dostawców, za największą barierę w osiągnięciu cyberodporności. Kluczowe obawy obejmują wspomniane już luki w zabezpieczeniach oprogramowania wprowadzane przez osoby trzecie oraz rozprzestrzenianie się cyberataków w całym ekosystemie. Niepokojące jest to, że – wedle prognoz Juniper Research – cyberataki na łańcuch dostaw oprogramowania będą kosztować gospodarkę światową 80,6 mld dolarów rocznie już do 2026 roku.
TREND 5: Kryptojacking
W miarę rozwoju cyfrowego świata cyberprzestępcy dostosowali nowe metody ataku, wykorzystując trendy takie jak kryptowaluty i adopcja chmury. Mowa o kryptojackingu, który stał się preferowaną metodą ataku już w 2023 roku, a polega na tym, że hakerzy potajemnie wykorzystują zasoby obliczeniowe ofiary do wydobywania kryptowaluty. Według raportu SonicWall Cyber Threat Report, rok 2023 był rekordowy dla cryptojackerów, z prawie 399% wzrostem tylko w ciągu pierwszych sześciu miesięcy. Oznacza to 332 miliony zarejestrowanych przypadków – więcej niż łączny wolumen z ostatnich trzech lat. 89,4% złośliwego oprogramowania kryptojackingowego opierało się na XMRig, popularnym narzędziu do wydobywania kryptowalut.
VPNRanks przewiduje, że do końca 2025 roku liczba ataków kryptojackingowych może osiągnąć liczbę ok. 21,5 mld, a do 2026 roku nawet 96,6 mld.
Ataki kryptojackingu wymierzane są coraz częściej w infrastruktury chmurowe ze względu na niewystarczające środki bezpieczeństwa. VPNRanks przewiduje, że do końca 2025 roku liczba ataków kryptojackingowych może osiągnąć liczbę ok. 21,5 miliarda, a do 2026 roku nawet 96,6 miliarda. W Polsce, póki co, brak jest konkretnych danych dotyczących liczby przeprowadzonych ataków kryptojackingowych.
Cyberzagrożenia w 2025 roku stają się bardziej zaawansowane, zautomatyzowane i kosztowne. Ransomware i phishing pozostają dominującymi wektorami ataku – coraz częściej wspieranymi przez narzędzia AI. Organizacje muszą także uważać na luki w łańcuchach dostaw oraz nieautoryzowane wykorzystanie GenAI. Z kolei dynamiczny wzrost ataków typu kryptojacking pokazuje, że również infrastruktura chmurowa staje się nowym celem cyberprzestępców. Kluczem do cyberodporności w nadchodzących miesiącach powinno więc być proaktywne podejście, lepsza widoczność zagrożeń oraz kontrola nad wykorzystaniem AI w środowisku firmowym.
