Ransomware 2025: Luki w zabezpieczeniach, mniej szyfrowania i więcej szantaży

Z raportu Sophos wynika, że ataki ransomware coraz rzadziej polegają na szyfrowaniu danych – cyberprzestępcy częściej grożą ujawnieniem wykradzionych informacji. Firmy nadal zbyt rzadko sięgają po kopie zapasowe, a największym problemem pozostaje brak specjalistycznej wiedzy i kadry w obszarze cyberbezpieczeństwa.

Już trzeci rok z rzędu głównym źródłem skutecznych ataków ransomware są podatności w systemach IT, wynika z raportu „State of Ransomware 2025” firmy Sophos. Nawet 65% firm, które padły ofiarą cyberataku, jako główną przyczynę incydentu wskazały luki w zabezpieczeniach – zarówno znane, jak i wcześniej nieujawnione. Tyle samo organizacji przyznało się do braków kadrowych i sprzętowych w obszarze bezpieczeństwa. Z kolei 40% firm nie posiadało wystarczającej wiedzy, aby odpowiednio zareagować, a taki sam odsetek dowiedział się o słabościach systemu dopiero po ataku.

Nowa taktyka: mniej szyfrowania, więcej szantażu

Odsetek ataków z szyfrowaniem danych spadł do 50%, co jest najniższym wynikiem od sześciu lat. Rośnie natomiast udział tzw. czystego szantażu – sytuacji, w których dane są kradzione, ale nie szyfrowane. Już 6% wszystkich ataków przybrało taką formę (wzrost z 3% rok wcześniej).

Jednocześnie co ósma firma doświadczająca ransomware, była również ofiarą kradzieży danych. Duże przedsiębiorstwa są przy tym znacznie bardziej narażone na tego typu podwójny atak – nawet o 40% częściej niż mniejsze firmy.

Wciąż zbyt mało kopii zapasowych

Choć 97% firm odzyskało dane po ataku, tylko 54% wykorzystało do tego kopie zapasowe – to najniższy wynik od sześciu lat. Niemal połowa organizacji (49%) zdecydowała się zapłacić okup. Część firm sięgała także po publiczne narzędzia deszyfrujące.

Koszt odzyskania pełnej sprawności po ataku spadł do średnio 1,53 mln dolarów (to o 44% mniej niż rok wcześniej), a odsetek firm, które wróciły do działania w ciągu tygodnia, wzrósł do 53%

Negocjacje z przestępcami stają się normą

Jak się okazuje, cyberprzestępcy żądają obecnie mniej – mediana okupu spadła do 1,32 mln dolarów (o 34% r/r), a realne płatności do 1 mln (spadek o połowę). Co ciekawe, ponad połowie firm udało się wynegocjować niższy okup, choć niemal 30% zapłaciło pełną kwotę, a 18% – więcej, niż planowało.

„Spadająca wysokość okupów i coraz częstsze negocjowanie stawek to pozytywny sygnał. Cieszy szczególnie fakt, że największy spadek dotyczy realnie wypłacanych przestępcom kwot. Mimo to milion dolarów to wciąż ogromne obciążenie finansowe dla wielu przedsiębiorstw. Tym bardziej niepokoi, że tylko połowa ofiar ataków ransomware sięgnęła po kopie zapasowe, aby odzyskać swoje dane. Backup powinien być podstawowym elementem strategii ciągłości działania każdej firmy. Trzeba jednak pamiętać, że samo posiadanie kopii to za mało. Kluczowe jest ich regularne testowanie, by mieć pewność, że w krytycznym momencie naprawdę zadziałają” – podsumował Chester Wisniewski, CTO w Sophos.

Pełna treść raportu „State of Ransomware 2025” dostępna jest pod poniższym linkiem.