Rekordowa fala ataków ransomware w I kwartale 2025

Przeczytaj także: Cyberzagrożenia w IV kw. 2024 według Cisco Talos

Z analiz Check Point Software Technologies wynika, że najgroźniejsza była grupa Cl0p, która po wykorzystaniu nieznanych wcześniej luk w systemach transferu plików Cleo (Harmony, VLTrader, LexiCom) ujawniła dane ponad niemal 400 ofiar. Niewiele mniej szkód (228 ofiar) wyrządziła RansomHub, błyskawicznie przejmując schedę po rozbitym w 2024 roku LockBicie. Powstała w lutym 2024 roku grupa wyróżniła się agresywną strategią rekrutacji partnerów (afiliantów), kładąc szczególny nacisk na korzystny model podziału zysków.

Co ciekawe, specjaliści Check Pointa alarmują, że coraz częściej mamy do czynienia z fałszywymi atakami. Grupy takie jak Babuk-Bjorka czy FunkSec wielokrotnie przypisują sobie stare lub spreparowane incydenty, aby zwiększyć swój rozgłos i zastraszyć potencjalne ofiary.

Wzrost liczby ataków ransomware o 126% to coś więcej niż tylko statystyka - to wyraźny sygnał. Oznacza on inteligentniejsze, szybsze i trudniejsze do wykrycia kampanie oraz działania grup, które próbują manipulować naszym sposobem myślenia. Narzędzia oparte na sztucznej inteligencji, fałszywe zgłoszenia ofiar oraz taktyki dostosowane do poszczególnych regionów sprawiają, że organizacje muszą wyjść poza reaktywne podejście do obrony i postawić na bezpieczeństwo oparte na prewencji i analizie wywiadowczej - uważa Sergey Shykevich, menedżer zespołu Threat Intelligence w Check Point Software.

Geograficzny rozkład ofiar ransomware w pierwszym kwartale 2025 roku nadal odzwierciedla utrwalone wzorce. Podobnie jak w poprzednich latach, w Stanach Zjednoczonych realizowana jest mniej więcej połowa ataków dla okupu.

W Polsce grupy ransomware również są coraz bardziej aktywne. Na początku 2025 roku grupa hakerska Funksec zaczęła publikować dane uzyskane w wyniku grudniowego ataku na sklepbaterie.pl. W tym samym czasie zaatakowana została firma EuroCert oraz Zakład Usług Komunalnych w Szczecinie, a także Powiatowy Urząd Pracy w Bartoszycach, który padł ofiarą grupy RansomHub. W marcu 2025 r. zaatakowany został szpital MSWiA w Krakowie. Choć zdrowie i życie pacjentów nie było zagrożone, to wstrzymane zostały przyjęcia na Oddział Neurologii, a większa część szpitala czasowo funkcjonowała bez cyfrowej administracji. Już w kwietniu dowiedzieliśmy się z kolei o ataku na sklepy SMYK. W wyniku cyberataku ucierpiały pliki zawierające dane osobowe klientów (głównie z procesów reklamacji i zwrotów), dane pracowników oraz informacje o kontrahentach i partnerach biznesowych.

Jednak większość publicznie ujawnionych ofiar nadal pochodzi z krajów zachodnich, gdzie organizacje są postrzegane jako posiadające większe zasoby finansowe i większą skłonność do płacenia okupu. Bliższe przyjrzenie się danym o ofiarach według kraju ujawnia, że niektóre grupy ransomware wykazują wyraźne preferencje geograficzne. Na przykład w Wielkiej Brytanii wyjątkowo aktywna jest grupa ransomware Medusa, która odpowiadała za ponad 9% zgłoszonych ofiar w tym kraju. Eksperci Check Pointa uważają, sugeruje to celową strategię ukierunkowania lub silniejszą obecność operacyjną w regionie.

Interesujące są również dane dla Niemiec, gdzie wyróżnia się ugrupowanie SafePay. Spośród 74 ofiar ransomware zgłoszonych w pierwszym kwartale 2025 roku, Safepay odpowiadała za 24% przypadków — najwyższy udział przypisany jednej grupie w tym kraju.

Zdaniem analityków Check Pointa, w obliczu tej nowej fali zagrożeń rośnie także znaczenie szybkiej reakcji firm - te, które niezwłocznie płacą okup, często nigdy nie pojawiają się na stronach z wyciekami danych, co z kolei fałszuje prawdziwą skalę problemu.