Ataki ransomware wyraźnie zmieniają taktykę wobec dużych przedsiębiorstw. Raport The State of Ransomware in Enterprise 2025 pokazuje, że mediana żądanego okupu dla firm zatrudniających ponad 1000 pracowników spadła z 2,75 mln do 1,2 mln dolarów. To największy roczny spadek w historii badania. Firmy coraz skuteczniej zatrzymują ataki, zanim dojdzie do zaszyfrowania danych. Nie oznacza to jednak, że zagrożenie słabnie. Zmienia się jego ekonomia i sposób wywierania presji.
Wyniki badania pokazują, że cyberprzestępcy dopasowują żądania do możliwości finansowych ofiar. Przedsiębiorstwa jednocześnie wzmacniają zdolności reagowania na incydenty. Ransomware pozostaje zagrożeniem systemowym. Może generować mniejsze straty finansowe niż rok temu, ale nadal poważnie wpływa na operacje i zespoły IT.
Spadła nie tylko mediana żądań, ale też faktycznie zapłaconych kwot. Firmy zapłaciły średnio 1 mln dolarów wobec 1,26 mln rok wcześniej. Rzadziej pojawiały się żądania przekraczające 5 mln dolarów. Organizacje płacą dziś mniejszy procent pierwotnej kwoty. W 2025 roku było to średnio 86%, podczas gdy rok wcześniej 95%. Ponad połowa firm wynegocjowała niższy okup niż początkowo oczekiwany.
Zaobserwowana zmiana nie oznacza jednak łagodniejszego podejścia atakujących. Raczej świadczy o większym pragmatyzmie, bowiem zamiast maksymalizować wysokość pojedynczego okupu, częściej „celują” w kwoty, które ofiara jest w stanie realnie zapłacić.
Chester Wisniewski, Director, Global Field CISO w Sophos
Ataki ransomware: mniej szyfrowania, ta sama presja
Analitycy Sophos wskazują, że po raz pierwszy od pięciu lat mniej niż połowa ataków zakończyła się szyfrowaniem danych. W 2025 roku było to 49% przypadków. Dwa lata wcześniej wskaźnik sięgał 75%. Firmy zatrzymały 47% ataków przed zaszyfrowaniem danych. W 2023 roku odsetek ten wynosił 22%. Dane potwierdzają poprawę w wykrywaniu zagrożeń i reagowaniu na incydenty.
Cyberprzestępcy nie ograniczają się dziś do szyfrowania danych. Wiedzą, że firmy mogą odtworzyć system z kopii zapasowych. Dlatego równolegle kradną informacje. Według raportu skutecznie wykradli dane w 30% przypadków. Wśród firm, które doświadczyły szyfrowania, 30% odnotowało także kradzież danych.
Model podwójnego wymuszenia – szyfrowanie połączone z groźbą ujawnienia danych – nadal jest istotnym elementem presji i szantażu spowodowania kryzysu wizerunkowego lub odpowiedzialności prawnej. Nawet jeśli firma jest w stanie przywrócić środowisko IT do pracy z kopii zapasowych, ryzyko wycieku informacji wprowadziło konsekwencje ataków ransomware na zupełnie nowy poziom.
Chester Wisniewski, Director, Global Field CISO w Sophos
Najczęstszą techniczną przyczyną powodzenia ataków pozostają wykorzystywane przez cyberprzestępców luki w oprogramowaniu na komputerze ofiary – odpowiadały za 29% incydentów. Na drugim miejscu znalazły się skutecznie przeprowadzone kampanie phishingowe (21%), których udział niemal podwoił się rok do roku. Tyle samo przypadków wiązało się z użyciem skompromitowanych danych logowania ofiary.
Jednak obok czynników technicznych równie istotne są kwestie organizacyjne. W tym obszarze najczęściej wskazywanym powodem skuteczności ataku była nieznana wcześniej luka w zabezpieczeniach (40% odpowiedzi). Niewiele rzadziej wymieniano braki kadrowe (39%) oraz brak odpowiednich kwalifikacji wśród personelu (również 39%).
Przywrócenie środowiska pracy jest szybsze, ale kosztowne
Średni koszt usunięcia skutków ataku (bez uwzględnienia wartości okupu) spadł o 41%, do najniższego poziomu od trzech lat (z 3,12 mln do 1,84 mln dolarów). Firmy szybciej wracają też do normalnego funkcjonowania. W 2025 r. połowa przedsiębiorstw odzyskała sprawność w ciągu tygodnia, podczas gdy rok wcześniej było to tylko 36%. Łącznie 95% podmiotów deklaruje pełne odtworzenie działalności w ciągu trzech miesięcy.
Jednocześnie 96% firm, których dane zostały zaszyfrowane, zdołało je odzyskać. Co istotne, spadł odsetek podmiotów korzystających z kopii zapasowych (53% wobec 73% rok wcześniej), a 48% zdecydowało się zapłacić okup. Coraz częściej stosowane są też inne metody przywracania danych.
Statystyki dotyczące powrotu do działalności nie oddają jednak w pełni wpływu incydentów na pracowników. We wszystkich firmach, w których doszło do zaszyfrowania danych, wystąpiły negatywne konsekwencje dla zespołów IT i cyberbezpieczeństwa. 40% wskazało na zwiększoną presję ze strony zarządu, 39% na wzrost obciążenia pracą i stres, 31% na absencje związane ze zdrowiem psychicznym, a w 27% przypadków doszło do wymiany lidera zespołu.
Zaobserwowany w badaniu Sophos spadek mediany okupów i kosztów odbudowy może sugerować poprawę sytuacji, jednak dane pokazują raczej ewolucję zagrożenia, jakim jest ransomware, niż jego osłabienie. Częściej udaje się wykrywać ataki, zanim doprowadzą one do zaszyfrowania danych, ale nadal skutkują one kradzieżą informacji, co – jak pokazuje doświadczenie, którym dzielą się ofiary – bywa znacznie bardziej dotkliwe ze względu na utratę zaufania klientów oraz ryzyko poważnych konsekwencji prawnych.
Potrzebujesz oferty? Skontaktuj się ze swoim opiekunem handlowym w FEN albo napisz do nas na security@fen.pl.
