Raport Sophos „Stan Ransomware 2025” ujawnia, że choć firmy zabezpieczają się coraz lepiej przed atakami ransomware, to wciąż płacą miliony za powrót do pełnej funkcjonalności po ataku cyberprzestępców.
Spadek szyfrowania danych, ale wzrost wymuszeń
Jednym z najbardziej znaczących spostrzeżeń w tym roku jest spadek odsetka ataków ransomware, które faktycznie skutkują zaszyfrowaniem danych. W 2025 roku tylko 50% ataków zakończyło się szyfrowaniem danych, co stanowi znaczny spadek w porównaniu z 70% w 2024 roku. Sugeruje to, że organizacje stają się skuteczniejsze w powstrzymywaniu ataków, zanim złośliwe oprogramowanie zostanie w pełni wdrożone.
Niemniej jednak, jednocześnie obserwuje się podwojenie liczby przypadków, w których dane nie zostały zaszyfrowane, ale organizacje zostały i tak objęte wymuszeniem (6% w 2025 r. w porównaniu do 3% w 2024 r.). Jest to szczególnie widoczne w przypadku mniejszych organizacji, gdzie 13% ofiar z firm z 100-250 pracownikami doświadczyło ataków wymuszających bez szyfrowania danych.
Kluczowe przyczyny ataków: luki w zabezpieczeniach i niedobory zasobów
Przez trzeci rok z rzędu, wykorzystane luki w zabezpieczeniach pozostają najczęstszą techniczną przyczyną ataków ransomware, odpowiadając za 32% incydentów. Z kolei niewystarczająca wiedza specjalistyczna (40,2%), nieznane luki w zabezpieczeniach (40,1%) oraz braki w personelu czy zasobach (39,4%) to najczęściej wymieniane czynniki operacyjne, które przyczyniły się do podatności organizacji na ataki.
Co ciekawe, najczęstsze przyczyny operacyjne różnią się w zależności od wielkości organizacji. Na przykład, w sektorze firm z 100-250 pracownikami, wykradzione dane uwierzytelniające były najczęstszą przyczyną techniczną (30%), podczas gdy w organizacjach liczących 501-1000 pracowników, 40% ataków rozpoczęło się od wykorzystanej luki w zabezpieczeniach.
Okupy coraz mniejsze, ale firmy wciąż płacą miliony
Średnia (mediana) kwota żądania okupu spadła o jedną trzecią (34%) w ciągu ostatniego roku, osiągając około 1,3 miliona USD w 2025 roku w porównaniu do 2 milionów USD w 2024 roku. Podobnie, średnia (mediana) kwota płatności okupu spadła o 50%, z 2 milionów USD w 2024 roku do 1 miliona USD w 2025 roku. Płatności najczęściej nie odpowiadały początkowym żądaniom – 53% ofiar zapłaciło mniej, 18% więcej, a tylko 29% zapłaciło dokładnie tyle, ile zażądano.
Warto zauważyć, że organizacje są coraz szybsze w odzyskiwaniu po atakach. Ponad połowa (53%) ofiar w pełni odzyskała dane w ciągu tygodnia, co stanowi znaczący wzrost w porównaniu z 35% w 2024 roku. Całkowity koszt odzyskiwania (bez uwzględnienia okupu) również spadł o 44%, do 1,53 miliona USD. To może sugerować, że inwestycje w przygotowanie i gotowość do reagowania na incydenty cybernetyczne zaczynają przynosić efekty.
Ludzki koszt ataków ransomware
Raport podkreśla również znaczące konsekwencje ataków ransomware dla zespołów IT/cyberbezpieczeństwa. Każda organizacja, która doświadczyła zaszyfrowania danych, odczuła bezpośrednie reperkusje dla swojego zespołu, wśród najczęściej wymienianych są:
- Zwiększony niepokój lub stres związany z przyszłymi atakami (41%).
- Zwiększona presja ze strony kierownictwa (40%).
- Poczucie winy, że atak nie został zatrzymany na czas (34%).
- Absencja personelu z powodu stresu/problemów ze zdrowiem psychicznym (31%).
Co więcej, w jednej czwartej przypadków, kierownictwo zespołu zostało zastąpione w wyniku ataku.
Kluczowe rekomendacje
Sophos podkreśla cztery kluczowe obszary, na których organizacje powinny się skupić, aby wzmocnić swoją obronę:
- Zapobieganie, czyli eliminowanie technicznych i operacyjnych przyczyn ataków.
- Ochrona – wzmocnienie podstawowych zabezpieczeń, zwłaszcza punktów końcowych, z dedykowaną ochroną antywirusową.
- Wykrywanie i reagowanie – ciągłe monitorowanie zagrożeń, a w razie potrzeby współpraca z dostawcą usług Managed Detection and Response (MDR).
- Planowanie i przygotowanie – posiadanie i regularne ćwiczenie planu reagowania na incydenty oraz tworzenie wysokiej jakości kopii zapasowych i testowanie ich przywracania.
Sytuacja związana z ransomware w 2025 roku pokazuje, że choć cyberprzestępcy wciąż stanowią poważne zagrożenie, organizacje stają się bardziej odporne. Kluczem do dalszego sukcesu jest ciągła adaptacja i wzmacnianie strategii obronnych w obliczu ewoluujących taktyk cyberprzestępców.
