Ransomware 2025: Małe firmy na celowniku, ataki coraz bardziej wyrafinowane

Przeczytaj także: Cyberprzestępcy testują nową technikę FileFix. Ataki phishingowe bez użycia luk w oprogramowaniu.

W okresie styczeń–czerwiec 2025 na globalnym rynku cyberzagrożeń postępowało rozdrobnienie i niepewność co do dalszego kierunku rozwoju działalności grup ransomware. Sukcesy organów ścigania w zakresie zwalczania cyberprzestępczości na świecie doprowadziły w ostatnich latach do upadku wielu dużych grup hakerskich. Ich miejsce coraz częściej przejmują niezależni operatorzy, tzw. lone wolves, którzy posługują się prostszymi i trudniejszymi do rozpoznania metodami manipulacji.

Stopniowo traci na znaczeniu model usługowy Ransomware-as-a-Service (RaaS), czyli działalność bazująca na udostępnianiu gotowych narzędzi ransomware innym hakerom. Na jej osłabienie wpływają niższe zyski, rosnące ryzyko utraty anonimowości, a także konflikty wewnętrzne i oszustwa między partnerami.

Mniejsze firmy na celowniku

Dwa na trzy incydenty bezpieczeństwa w pierwszej połowie 2025 roku dotyczyły przedsiębiorstw liczących od 11 do 1000 pracowników. Porównując kwartał do kwartału, powoli rośnie także liczba cyberataków wymierzanych w mikroprzedsiębiorstwa zatrudniające do 10 osób – w drugim kwartale te podmioty stanowiły 4% ofiar.

Na drugim biegunie znalazły się największe korporacje, zatrudniające ponad 25 tys. osób, które były ofiarami 8% incydentów. Ten niski odsetek może wynikać z faktu, że duże organizacje dysponują bardziej dojrzałymi programami cyberbezpieczeństwa i większymi budżetami na ochronę. Jednak rosnące zaangażowanie grup przestępczych sponsorowanych przez państwa może odwrócić tę tendencję. Dla takich ugrupowań duże firmy są atrakcyjnym celem nie tylko ze względu na potencjalne korzyści finansowe, ale też strategiczne znaczenie danych i możliwość wywołania zakłóceń na skalę całego kraju.

Ransomware nie atakuje na oślep

Cyberprzestępcy dobierają cele nie tylko pod względem wielkości firmy, ale coraz częściej także branży, w jakiej działa. W pierwszej trójce najczęściej atakowanych w pierwszym półroczu 2025 roku znalazły się: branża usług profesjonalnych (17%), obejmująca m.in. kancelarie prawne oraz firmy księgowe i doradcze, jak również placówki ochrony zdrowia (15%) i administracja publiczna (11%).

Wspólnym mianownikiem podmiotów z tych branż jest fakt, że przetwarzają one dane wrażliwe i są często zobowiązane do działania w sposób nieprzerwany. Ryzyko nawet chwilowego zakłócenia ciągłości biznesowej i operacyjnej natychmiast przekłada się na presję, by ulec żądaniom przestępców.

Od szyfrowania do kradzieży danych

Szyfrowanie plików, choć obecne w blisko 90% analizowanych przez Coveware by Veeam ataków ransomware, coraz częściej pełni jedynie rolę dodatkowego środka nacisku na firmy, a nie głównego celu cyberprzestępców. W niemal trzech przypadkach na cztery podstawowym narzędziem szantażu była kradzież danych i groźba ich upublicznienia. Przejmowanie kolejnych elementów infrastruktury IT firm było obecne w 63% incydentów, a w co drugim ataku hakerzy podejmowali działania ukierunkowane na obejście zabezpieczeń: od wyłączania systemów ochronnych po maskowanie swojej obecności.

Coraz wyraźniej widać też nowe podejście: atakujący ingerują w procesy tworzenia kopii zapasowych – manipulują harmonogramami aktualizacji lub usuwają wybrane elementy backupu – tak, by problem z odtworzeniem danych ujawnił się dopiero w momencie, gdy firma próbuje wrócić do normalnej działalności.

Atak zaczyna się od niewinnego telefonu

Jednym z wyraźnych trendów w pierwszej połowie 2025 roku był wzrost ataków bazujących na inżynierii społecznej, czyli manipulowaniu pracownikami w celu uzyskania dostępu do systemów firmowych. Najczęściej obserwowane były dwa scenariusze: pierwszy zakładał podszywanie się pod pracownika i oszukiwanie działu wsparcia technicznego w celu wyłudzenia dostępu do konta lub otrzymania dodatkowych uprawnień. W drugim cyberprzestępcy udawali pracowników z działów IT i nakłaniali zatrudnionych do zainstalowania oprogramowania do zdalnej obsługi, aby przejąć kontrolę nad komputerem ofiary.

Dotąd takie metody były domeną grup anglojęzycznych, które dzięki biegłej znajomości języka mogły przekonująco prowadzić rozmowy z pracownikami. Dziś rozprzestrzeniają się globalnie i stają się jednym z kluczowych elementów w arsenale cyberprzestępców.

Edukacja i ćwiczenia z odporności

W obliczu rosnącej liczby cyberataków wymierzonych w ludzi, a nie w infrastrukturę IT, firmy muszą rozwijać odporność bazującą nie tylko na technologii, ale przede wszystkim na sprawdzonych procedurach i pogłębianiu świadomości pracowników.

Kluczowe znaczenie ma inwestycja w edukację: od szkoleń uczących rozpoznawania manipulacji po regularne „ćwiczenia z odporności” – na wzór ćwiczeń przeciwpożarowych, w których pracownicy uczą się reagować na potencjalny incydent. Równie ważne jest testowanie scenariuszy potencjalnych ataków, by w praktyce przygotować się na sytuacje kryzysowe.

Autor: Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam