Archiwa cyberatak

1 sierpnia 20259 lutego 2026

Raport Sophos 2025: ransomware uderza w dane i morale IT

Badanie „State of Ransomware 2025” firmy Sophos pokazuje, że skutki cyberataków ransomware wykraczają poza kwestie techniczne. Negatywnie wpływają na ludzi odpowiedzialnych za cyberbezpieczeństwo, powodując stres, nieobecności w pracy i rosnącą presję na zespoły IT.

Wzrost ataków socjotechnicznych

W ostatnich 12 miesiącach wzrosła liczba ataków ransomware wykorzystujących techniki socjotechniczne. Cyberprzestępcy stosują fałszywe wiadomości e-mail i manipulację użytkownikami, aby ominąć zabezpieczenia systemów.

W rezultacie skutki takich incydentów obejmują nie tylko koszty operacyjne czy czas potrzebny do przywrócenia sprawności systemów. Coraz częściej dotykają one ludzi – pracowników działów IT, którzy mierzą się z wysokim obciążeniem psychicznym.

Kradzież danych uwierzytelniających wciąż głównym wektorem ataków

Raport Sophos potwierdza, że przejęcie haseł i loginów pozostaje najczęściej wykorzystywaną metodą rozpoczęcia ataków ransomware:

23% wszystkich ataków w 2025 roku (spadek z 29% w 2024 r.).
30% ataków w firmach zatrudniających do 250 pracowników.

Ponadto popularne są:

złośliwe wiadomości e-mail – 19% incydentów,
phishing – 18% przypadków, wzrost o 7 punktów procentowych rok do roku.

Dlatego eksperci podkreślają, że czynnik ludzki jest najłatwiejszym celem cyberprzestępców, nawet przy rozbudowanych zabezpieczeniach technicznych.

Edukacja i wsparcie psychologiczne – kluczowe działania prewencyjne

Eksperci Sophos zwracają uwagę, że technologia nie wystarczy, aby skutecznie chronić się przed ransomware. Chester Wisniewski, dyrektor ds. technologii w Sophos, podkreśla:

„Jednym z najważniejszych działań prewencyjnych w firmach jest edukacja. Zespół powinien być dobrze przygotowany, znać potencjalne zagrożenia, umieć rozpoznawać sygnały ostrzegawcze oraz odpowiednio reagować. Jednak samo przygotowanie techniczne do walki z cyberatakami to dziś za mało. Ataki ransomware silnie uderzają w ludzi, którzy znajdują się w ich centrum, czyli przede wszystkim w zespoły ds. IT i cyberbezpieczeństwa. Firmy powinny uzupełniać szkolenia z cyberhigieny o rozwijanie umiejętności radzenia sobie ze stresem, a także rozważyć zapewnienie wsparcia psychologicznego dla swoich zespołów.”

Dlatego dobrze zaplanowane szkolenia z cyberbezpieczeństwa i dostęp do pomocy psychologicznej zwiększają odporność organizacji oraz pozwalają szybciej wracać do równowagi po poważnym incydencie.

Stres – ukryty koszt cyberataków ransomware

Zmęczony specjalista IT w słuchawkach, siedzący przy komputerze, odczuwający stres po cyberataku ransomware.

Raport pokazuje, że we wszystkich firmach, które doświadczyły zaszyfrowania danych, odnotowano skutki psychologiczne wśród pracowników IT:

41% respondentów odczuwało wzmożony stres i lęk przed kolejnymi cyberatakami,
1/3 z nich wskazała na poczucie winy z powodu niepowstrzymania incydentu,
31% zgłosiło nieobecności w pracy spowodowane stresem lub problemami psychicznymi.

Takie konsekwencje obniżają efektywność działań w obszarze bezpieczeństwa IT i zwiększają podatność firm na kolejne ataki.

Rosnąca presja na działy IT po cyberatakach

Po incydentach ransomware 40% firm zwiększa presję na zespoły IT, oczekując szybszych reakcji i zaostrzonej kontroli. Co czwarta organizacja decyduje się na wymianę lidera ds. bezpieczeństwa.

Jednak, jak podkreśla Chester Wisniewski:

„Warto pamiętać, że ludzki błąd czy luka w zabezpieczeniach nie zawsze wynikają z zaniedbania czy złych intencji pracownika. Często są skutkiem posiadania ograniczonych zasobów, niewystarczających zabezpieczeń czy zbyt dużej liczby równolegle wykonywanych zadań. W zarządzaniu sytuacją po incydencie kluczowa jest analiza jego źródłowych przyczyn i wspólne wyciąganie wniosków. Pozwoli to nie tylko zidentyfikować luki w zabezpieczeniach, ale również wypracować skuteczniejsze procedury cyberbezpieczeństwa oraz wzmocnić zaufanie w zespole.”

W rezultacie samo zwiększanie presji nie poprawia bezpieczeństwa – potrzebne są działania systemowe.

Ransomware testuje kulturę bezpieczeństwa w firmach

Eksperci Sophos podkreślają, że ransomware to nie tylko test dla zabezpieczeń IT. To także sprawdzian dla kultury organizacyjnej i strategii cyberbezpieczeństwa. Od reakcji na kryzys zależy reputacja przedsiębiorstwa oraz zdolność do zatrzymania doświadczonych specjalistów ds. bezpieczeństwa informacji.

Dlatego budowanie odporności wymaga połączenia:

technologii,
szkoleń i edukacji w obszarze bezpieczeństwa IT,
odpowiednich procedur,
a także wsparcia psychologicznego dla zespołów, które znajdują się na pierwszej linii obrony przed cyberatakami.

Źródło: Raport „State of Ransomware 2025” dostępny na stronie: www.s

9 czerwca 2022

Nawet do 7 tygodni nielegalnego dostępu do firmowych danych. Cyberprzestępcy korzystają z luk w popularnych aplikacjach – raport Sophos

Duże, dobrze prosperujące przedsiębiorstwa to niejedyne cele cyberprzestępców. Z raportu Sophos wynika, że im mniejsza firma, tym dłużej atakujący są w stanie penetrować jej zasoby – nawet do 51 dni. Badanie wskazuje też, że do szkodliwej działalności najczęściej wykorzystywane są luki w Microsoft Exchange.

Każda godzina na wagę złota

W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36% – z 11 dni w 2020 r. do 15 dni w 2021 r. Wskazuje to, że techniki wykorzystywane przez intruzów są coraz bardziej wyrafinowane. Co więcej, zazwyczaj zostają oni zauważeni dopiero w momencie, gdy oprogramowanie ransomware, którym zainfekowany jest system, zacznie swoją szkodliwą działalność. Ten rodzaj ataku stanowił aż 73% wszystkich analizowanych w raporcie przypadków.

Mała firma, wielkie kłopoty

Według raportu Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników, atakujący są aktywni nawet 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.

Luki w powszechnie wykorzystywanym oprogramowaniu

Autorzy raportu zwracają szczególną uwagę na niezałatane luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty elektronicznej Microsoft Exchange. Cyberprzestępcy wykorzystali je w blisko połowie badanych w 2021 r. przypadków. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających.

W swoim badaniu eksperci Sophos wyróżnili grupy IAB (Initial Access Brokers), zajmujące się wyłącznie pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym ataki ransomware jako usługę (Ransomware as a Service, RaaS). Wraz ze wzrostem aktywności takich grup rośnie także poziom trudności wykrywania ataków. IAB bezwzględnie wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach.

Nie zawsze udaje się ustalić, którędy atakujący uzyskali dostęp do danych. Dlatego specjaliści do spraw cyberbezpieczeństwa powinni zachować czujność i na bieżąco łatać luki, zwłaszcza w powszechnie używanym oprogramowaniu. Nie mniej istotne jest zabezpieczanie usług zdalnego dostępu.

29 kwietnia 2022

3 na 4 polskie firmy padły ofiarą ataku ransomware w 2021 roku – raport Sophos

W 2021 roku gwałtownie wzrosła skala ataków ransomware na średnie i duże firmy w Polsce. Według badania Sophos aż 77% z nich doświadczyło tego zagrożenia – w roku 2020 było to zaledwie 13%. Całkowite straty spowodowane przez ransomware wzrosły pięciokrotnie. Połowa przedsiębiorstw, których dane zostały zaszyfrowane, płaci okup przestępcom.

Okupy coraz wyższe i częściej płacone

Odsetek firm zatrudniających ponad 100 osób, które zostały dotknięte atakami ransomware, wzrósł na całym świecie – z 37% w 2020 roku do 66% w 2021. Średni płacony okup był prawie pięciokrotnie wyższy niż rok wcześniej i wyniósł 812 tys. dolarów. Trzykrotnie wzrósł też odsetek przedsiębiorstw, które zapłaciły przestępcom co najmniej milion dolarów. Firmy są coraz bardziej skłonne przesłać atakującym okup – w 2021 roku zrobiło to aż 46% (w 2020 roku było to 32%).W Polsce 8 na 10 ataków kończyło się zaszyfrowaniem firmowych danych. Aż połowa przedsiębiorstw, których dotknął ten problem, zapłaciła przestępcom, nawet jeśli dysponowały one innymi sposobami odzyskiwania informacji, takimi jak kopie zapasowe. Firmy płaciły przestępcom średnio 670 tys. zł.Miliony na przywrócenie sprawności

22% polskich firm w wyniku ataku ransomware poniosło koszt od 2,8 mln do nawet 5,8 mln złotych. Co dziesiąta zanotowała straty rzędu 5,8-29 mln zł. Wydatki te związane były z przestojami w działalności, straconymi możliwościami biznesowymi, kosztami operacyjnymi oraz koniecznością opłacenia okupu – średnio było to 7,6 mln zł. To znaczny wzrost w porównaniu z 2020 rokiem, gdy średni koszt wynosił 1,49 mln zł.

Jedynie 5% polskich firm nie odczuło negatywnego wpływu ataku na codzienną działalność. 62% przyznało, że ransomware miał poważne skutki dla działania biznesu. Połowa przedsiębiorstw znacząco odczuła utratę szans biznesowych i przychodów. W porównaniu ze średnią światową, w Polsce przedsiębiorstwa dłużej neutralizują skutki ataku. Tylko 39% firm udało się to w mniej niż tydzień (globalnie było to 53%). Co czwarta firma przywracała normalną działalność do miesiąca, a 31% – od 1 do nawet 3 miesięcy.

Dostępność Cloud Workload Protection

Rozwiązanie jest już dostępne w pakiecie z produktami Sophos Intercept X Advanced dla serwerów, XDR oraz usługą Sophos Managed Threat Response. Można nim zarządzać w ramach chmurowej platformy Sophos Central. Cloud Workload Protection może być też wdrożony jako odrębne rozwiązanie, np. dla zespołów odpowiedzialnych za bezpieczeństwo IT.

Sophos Cloud Workload Protection wkrótce będzie również dostępny jako aplikacja dla systemu Linux, przeznaczona m.in. dla zespołów DevSecOps i Security Operations Center (SOC), które potrzebują pełnego wglądu w środowiska IT o krytycznym znaczeniu, z zagwarantowanym minimalnym wpływem na ich wydajność. Aplikacja zapewni integrację interfejsu API z istniejącymi rozwiązaniami do automatyzacji, orkiestracji, zarządzania logami i reagowania na incydenty.