Cyberprzestępcy wyraźnie zmieniają podejście do ataków na duże organizacje. Z raportu „The State of Ransomware in Enterprise 2025” przygotowanego przez Sophos wynika, że mediana żądanego okupu dla firm zatrudniających powyżej 1000 pracowników spadła z 2,75 mln do 1,2 mln dolarów – to największy roczny spadek w historii badania. Jednocześnie maleje także kwota faktycznie płaconych okupów oraz odsetek spełnianych żądań.
Zmiana ta nie oznacza jednak łagodniejszego podejścia atakujących. Przeciwnie, cyberprzestępcy coraz częściej dostosowują żądania do realnych możliwości ofiar, zwiększając szanse na ich skuteczne wyegzekwowanie. Jak podkreśla Chester Wisniewski, Global Field CISO w Sophos, to przejaw rosnącego pragmatyzmu, a nie spadku aktywności: „Zamiast maksymalizować wysokość pojedynczego okupu, atakujący częściej „celują” w kwoty, które ofiara jest w stanie realnie zapłacić”.
Jednocześnie poprawia się skuteczność firm w odpieraniu ataków. W 2025 roku mniej niż połowa incydentów (49%) zakończyła się zaszyfrowaniem danych, podczas gdy dwa lata wcześniej było to 75%. Aż 47% ataków zatrzymano na wcześniejszym etapie. To efekt lepszego przygotowania organizacji w zakresie wykrywania zagrożeń i reagowania na incydenty.
Nie oznacza to jednak mniejszej presji. Coraz większą rolę odgrywa tzw. model podwójnego wymuszenia – poza szyfrowaniem danych cyberprzestępcy próbują je również wykraść. Według raportu, kradzież informacji powiodła się w 30% przypadków, a wśród firm dotkniętych szyfrowaniem równie często dochodziło do wycieku danych. To istotnie podnosi ryzyko prawne i wizerunkowe.
Najczęstszą techniczną przyczyną skutecznych ataków pozostają luki w oprogramowaniu (29%). Istotną rolę odgrywają także phishing (21%) oraz przejęte dane logowania. Równolegle duże znaczenie mają czynniki organizacyjne – brak wykrytej wcześniej podatności wskazuje 40% firm, a niemal tyle samo zwraca uwagę na niedobory kadrowe i kompetencyjne.
Koszty usuwania skutków ataków również spadają – średnio o 41%, do 1,84 mln dolarów. Firmy szybciej wracają do działania: połowa odzyskuje sprawność w ciągu tygodnia, a 95% w ciągu trzech miesięcy. Jednocześnie 96% organizacji odzyskuje dane, choć rzadziej niż wcześniej wykorzystuje do tego kopie zapasowe, częściej decydując się na zapłatę okupu lub inne metody.
Dane te nie oddają jednak pełnego wpływu incydentów. Ataki ransomware wywierają silną presję na zespoły IT – rośnie obciążenie pracą, stres oraz oczekiwania zarządów, a w części organizacji dochodzi nawet do zmian kadrowych.
