W ostatnich latach w cyberbezpieczeństwie pojawił się nowy trend: zyski hakerów z ransomware spadają, ale liczba ataków rośnie. Podobnie jak wirus, grupy ransomware po prostu reagują na zmiany w środowisku cyberbezpieczeństwa i ewoluują odpowiednio do nich.
Większe organizacje decydują się w ogóle nie płacić okupów, więc hakerzy obierają za cel mniejsze firmy z mniejszymi okupami, aby zrekompensować niedobór. Samo oprogramowanie ransomware również ewoluuje, aby przełamywać silniejsze zabezpieczenia cybernetyczne.
Podczas gdy duże korporacje mogą faktycznie skorzystać na tych zmianach, małe i średnie firmy mogą wiele stracić. Jeśli prowadzisz MŚP, być może zauważyłeś już wzrost liczby prób wyłudzenia informacji lub innych podejrzanych działań na obrzeżach Twojej firmy. Najnowsze dane wyjaśniają dlaczego.
Jak działa ransomware
Ransomware to rodzaj złośliwego oprogramowania, którego hakerzy używają do blokowania dostępu do danych, systemów i sieci. Następnie żądają zapłaty okupu od właścicieli w zamian za odblokowanie dostępu. Jest zazwyczaj dystrybuowane przez załączniki do wiadomości e-mail, wiadomości tekstowe i strony internetowe, ale kreatywni hakerzy używali nawet rozmów o pracę(nowe okno) i propozycji via Signal(nowe okno), aby spróbować wdrożyć ransomware.
Rządy nie zalecają płacenia okupów i mogą wręcz karać firmy za robienie tego. Na przykład zarówno rząd Wielkiej Brytanii(nowe okno), jak i rząd USA(nowe okno) nakładają sankcje finansowe na atakujących ransomware, a płatności dokonywane na ich rzecz mogą skutkować grzywnami lub więzieniem.
Aby zobaczyć pełny krajobraz ransomware, musimy zrozumieć, jak organizacje różnej wielkości stają się celem. Jest to jeden z powodów, dla których uruchomiliśmy nasze Data Breach Observatory.
Firmy wszystkich rozmiarów są dotknięte przez ransomware, ale w ostatnich latach trendy pokazują, że grupy ransomware skupiają się mniej na celowaniu w duże organizacje dla dużych wypłat, a bardziej na mniejszych firmach dla mniejszych wypłat. Co zatem możemy wywnioskować z badań eksplorujących te trendy?
Stan ransomware w 2025 roku
Firma Sophos zajmująca się cyberbezpieczeństwem jako usługą publikuje coroczny raport badający rzeczywistość ransomware. Według raportu Sophos State of Ransomware 2025:
- Średnie (mediana) żądanie okupu spadło o jedną trzecią (34%) w ciągu ostatniego roku, wynosząc 1 324 439 dolarów w 2025 r. w porównaniu do 2 milionów dolarów w 2024 r.
- Średnia (mediana) płatność okupu spadła o 50% w ciągu ostatniego roku, z 2 milionów dolarów w 2024 r. do 1 miliona dolarów w 2025 r.
- Głównym czynnikiem stojącym za tym spadkiem jest zmniejszenie odsetka płatności okupu w wysokości 5 milionów dolarów lub więcej, z 31% płatności w 2024 r. do 20% w 2025 r.
- Trzeci rok z rzędu ofiary zidentyfikowały wykorzystane luki w cyberbezpieczeństwie jako najczęstszą techniczną przyczynę ataku, użytą w 32% incydentów.
Wartość indywidualnych płatności drastycznie spadła. Możemy to przypisać kilku czynnikom. Większe firmy inwestują więcej w cyberbezpieczeństwo organizacyjne i są bardziej świadome potencjalnych zagrożeń niż w przeszłości, co pomaga im unikać większej liczby ataków. Większe firmy są również bardziej świadome, że władze zalecają nie targować się z hakerami ani nie płacić okupów, i że może to być w rzeczywistości nielegalne. Szyfrowanie danych i kopie zapasowe stają się również bardziej powszechne dla organizacji wszystkich rozmiarów, zmniejszając ryzyko utraty danych i zmniejszając motywację do płacenia okupu.
Na przykład australijska linia lotnicza Qantas nie zapłaciła okupu ani nie negocjowała, gdy została zaatakowana przez kolektyw Scattered Lapsus$ Hunters, co doprowadziło do naruszenia danych dotyczącego 5,7 miliona klientów Qantas. Australijski rząd utrzymuje, że było to właściwe działanie i nie skomentował kwestii potencjalnej grzywny za naruszenie danych.
Aby nadrobić straty z nieudanych ataków, takich jak na Qantas, grupy ransomware częściej celują w małe firmy, ale żądają mniej. MŚP rzadziej mają odpowiednie zabezpieczenia i częściej kapitulują, ponieważ ich sytuacja finansowa bywa bardziej krucha. Jeden z raportów Verizon sugeruje, że ransomware stanowi 88% ataków cybernetycznych na MŚP, w porównaniu do zaledwie 39% dla dużych firm.
Jak chronić swoją małą firmę przed ransomware
Ochrona przed ransomware nie musi być droga dla MŚP — dzięki odpowiednim narzędziom i właściwym przygotowaniom każda firma może skutecznie się chronić.
Bądź przygotowany
Żadna firma nie jest zbyt mała, by być interesującą dla cyberprzestępców. Nawet jeśli Twoja firma ma czterech klientów i dwóch pracowników, wciąż generujesz wrażliwe dane, które są cenne dla hakerów. Jest mało prawdopodobne, aby MŚP miały zasoby na pełnoetatowego eksperta ds. cyberbezpieczeństwa, więc edukacja każdego pracownika pomaga uczynić cyberbezpieczeństwo organizacji wysiłkiem zespołowym. Niektóre z Twoich najlepszych narzędzi przeciwko staniu się ofiarą grupy ransomware to:
- Edukacja członków zespołu na temat ataków ransomware, aby wyeliminować ryzyka, takie jak klikanie w podejrzane linki w wiadomościach e-mail lub nieumiejętność rozpoznania sfałszowanej wiadomości e-mail (spoofing).
- Stworzenie planu reagowania na incydenty pomaga Twojej organizacji dokładnie zrozumieć, jakie dane posiadasz, gdzie są przechowywane i jakie środki bezpieczeństwa wdrażasz, aby je chronić.
- Tworzenie kultury przejrzystości i otwartości. Członkowie zespołu powinni czuć się komfortowo, zadając pytania dotyczące cyberbezpieczeństwa i zgłaszając potencjalne zagrożenia.
- Stosowanie wykrywania zagrożeń i monitoringu sieci dla Twojej sieci firmowej w celu identyfikacji podejrzanych prób logowania oraz upewnienie się, że włączone jest uwierzytelnianie dwustopniowe.
Znajdź odpowiednie narzędzia
Może być trudno dostrzec wartość w proaktywnych środkach przeciwko ransomware, zwłaszcza jeśli chodzi o zwrot z inwestycji (ROI), ale pamiętaj: Zapobieganie jest tańsze niż płacenie za odzyskiwanie danych po naruszeniu. Bezpieczne codzienne narzędzia mogą być opłacalne, jednocześnie chroniąc Twoją firmę:
- Bezpieczny menadżer haseł utrzymuje hasła Twojej firmy zaszyfrowane, zapewniając, że nie mogą zostać wykradzione przez hakerów. Pozwala również na bezpieczne udostępnianie haseł w razie potrzeby bez narażania bezpieczeństwa.
- Solidna ochrona antyphishingowa i antymalware dla Twojego dostawcy poczty e-mail może zapobiec nawet otrzymaniu przez członków Twojego zespołu niebezpiecznych wiadomości e-mail.
- Zaszyfrowany dysk to najbezpieczniejsze miejsce dla wszystkich danych Twojej firmy. Wybór łatwego w użyciu rozwiązania, z którego członkowie zespołu mogą bezpiecznie korzystać z dowolnego urządzenia i lokalizacji, znacznie zmniejsza ryzyko nieautoryzowanego dostępu. Możesz również użyć zaszyfrowanej przestrzeni dyskowej w chmurze na kopie zapasowe, czyniąc ataki ransomware bezsilnymi.
- Wymaganie od członków zespołu korzystania z VPN w celu uzyskania dostępu do sieci firmowej znacznie poprawia kontrolę dostępu i chroni przed złośliwym oprogramowaniem oraz atakami typu man-in-the-middle.
Spodziewaj się ataków ransomware
Jako MŚP możesz zakładać, że Twoja organizacja jest zbyt mała(nowe okno), aby być interesującą dla ataku ransomware. W rzeczywistości jest bardzo prawdopodobne, że staniesz się celem, ponieważ jesteś MŚP. Nawet jeśli hakerzy otrzymają mniejszą wypłatę, brak infrastruktury i zasobów sprawia, że atak ma znacznie większe szanse powodzenia. Aby zmaksymalizować szanse Twojej firmy na przetrwanie ataku ransomware, musisz mieć wdrożone odpowiednie plany awaryjne. Bezpieczniej jest robić plany na atak, który się nie wydarzy, niż nie zaplanować udanego ataku.
- Regularnie twórz kopie zapasowe kluczowych systemów i przestrzeni dyskowej. W przypadku utraty dostępu odzyskanie danych z kopii zapasowej znacznie skraca czas przestoju.
- Segmentacja sieci pomaga szybciej odciąć dostęp, jeśli haker zdoła naruszyć Twoją sieć.
- Stosuj zasady zero-trust, aby upewnić się, że każdy członek zespołu ma dostęp tylko do tych danych, których potrzebuje, i nic więcej.
- Utrzymuj aplikacje zaktualizowane, aby uniknąć wykorzystania luk typu zero-day.
