Już trzeci rok z rzędu podatności w systemach IT są najczęstszą przyczyną powodzenia ataków ransomware na firmy na świecie – wynika z raportu „State of Ransomware 2025” firmy Sophos. Aż 40 proc. przedsiębiorstw, które w ciągu ostatniego roku padły ofiarą cyberataków, przyznało, że zabrakło im specjalistycznej wiedzy, aby skutecznie przeciwdziałać zagrożeniom. Tyle samo firm dowiedziało się o lukach w ochronie swoich systemów dopiero po ataku. Co więcej, 39 proc. badanych wskazało niedobory kadrowe w zespołach ds. bezpieczeństwa jako jedną z głównych przyczyn skuteczności ataków.
Tegoroczna edycja raportu po raz pierwszy analizowała wewnętrzne przyczyny podatności na ransomware w firmach. Respondenci wskazywali średnio 3 czynniki, które przyczyniły się do skutecznego ataku na ich zasoby. Analiza Sophos wskazuje, że nie ma jednego dominującego źródła ryzyka. Zagrożenia rozłożyły się niemal równomiernie między niewystarczającą ochronę zasobów IT (63 proc. firm), braki kadrowe i sprzętowe (63 proc. firm) oraz luki w zabezpieczeniach. Te ostatnie – zarówno znane, jak i nieuświadomione – wskazało aż 65 proc. firm.
Mniej szyfrowania, więcej szantażu – tak zmienia się oblicze ransomware
Odsetek ataków ransomware, w których dane zostały zaszyfrowane, wyniósł 50 proc. To nie tylko znaczny spadek w porównaniu z 2024 rokiem (70 proc.), ale również najniższy wynik od sześciu lat. Nie oznacza to jednak, że zagrożenie maleje – zmienia się tylko jego charakter. Cyberprzestępcy rekompensują szyfrowanie danych innymi formami nacisku na przedsiębiorstwa. Co ósma firma (14 proc.), która padła ofiarą ransomware, oraz niemal co trzecia, której dane zostały zaszyfrowane w tym roku, doświadczyła także kradzieży informacji.
Co istotne, większe przedsiębiorstwa, którym zaszyfrowano dane, są prawie o 40 proc. bardziej narażone na ich kradzież niż mniejsze podmioty. Jednocześnie podwaja się liczba ataków polegających wyłącznie na szantażu – czyli takich, w których przestępcy nie szyfrują danych, ale wykradają je i grożą ujawnieniem. Ich udział wzrósł rok do roku – z 3 do 6 proc.
– Skuteczna ochrona przed cyberzagrożeniami bazuje na kilku filarach: eliminowaniu luk w zabezpieczeniach poprzez regularne aktualizacje systemowe, ochronie urządzeń końcowych za pomocą rozwiązań zatrzymujących złośliwe oprogramowanie czy stałym monitorowaniu zagrożeń. Im szybciej uda się wykryć atak, tym łatwiej go powstrzymać. Dlatego warto posiadać własne centrum operacji bezpieczeństwa lub korzystać z zewnętrznych usług MDR, zapewniających monitoring i reagowanie na incydenty. Ostatnim filarem jest przygotowanie planu awaryjnego i procedur postępowania na wypadek ataku. Zapobieganie, ochrona, szybka reakcja oraz gotowość do odtworzenia sprawności systemów po ataku mogą znacznie obniżyć ryzyko i koszty incydentu – wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Co druga firma zapłaciła okup, aby odzyskać dane
Aż 97 proc. firm, którym przestępcy zaszyfrowali dane, odzyskało swoje pliki. Tylko 54 proc. wykorzystało do tego kopie zapasowe, co stanowi najniższy wynik od sześciu lat. Z kolei prawie połowa firm (49 proc.) zdecydowała się zapłacić okup. Co trzecia firma wykorzystała również alternatywne metody do odzyskania danych, takie jak publicznie dostępne klucze deszyfrujące.
Z danych Sophos wynika również, że w 2025 r. zmniejszyły się sumy żądane przez cyberprzestępców, a także rzeczywiście płaconych okupów. Mediana kwoty żądanej przez napastników wyniosła 1,32 mln dolarów (spadek o 34 proc. r/r), a mediana płatności – 1 mln dolarów (o połowę mniej niż w 2024 r.). W większości przypadków (53 proc.) zaatakowanym firmom udało się wynegocjować niższą stawkę okupu. Tymaczasem 29 proc. zapłaciło pełną żądaną kwotę, a 18 proc. wydało więcej niż zakładano na początku.
Średnio koszt pełnego przywrócenia działalności po ataku wyniósł w tym roku 1,53 mln dolarów i był aż o 44 proc. niższy niż rok temu. Jednocześnie do 53 proc. wzrósł odsetek firm, którym udało się wrócić do sprawności operacyjnej w ciągu tygodnia (jedynie 35 proc. w 2024 roku).
– Spadająca wysokość okupów i coraz częstsze negocjowanie stawek to pozytywny sygnał. Cieszy szczególnie fakt, że największy spadek dotyczy realnie wypłacanych przestępcom kwot. Mimo to milion dolarów to wciąż ogromne obciążenie finansowe dla wielu przedsiębiorstw. Tym bardziej niepokoi, że tylko połowa ofiar ataków ransomware sięgnęła po kopie zapasowe, aby odzyskać swoje dane. Backup powinien być podstawowym elementem strategii ciągłości działania każdej firmy. Trzeba jednak pamiętać, że samo posiadanie kopii to za mało. Kluczowe jest ich regularne testowanie, by mieć pewność, że w krytycznym momencie naprawdę zadziałają – podkreśla Chester Wisniewski.