Ransomware 2026: Wymuszenia i Nowi Gracze
Rok 2025 zapisał się w historii cyberbezpieczeństwa (porównaj z raportem ENISA) jako okres bezprecedensowej aktywności grup przestępczych. Wymuszenia osiągnęły rekordowy poziom (oszacuj koszty w kalkulatorze naruszenia), a chociaż fundamenty modelu biznesowego ransomware pozostają nienaruszone, pod powierzchnią zaszła fundamentalna zmiana: napastnicy coraz częściej porzucają skomplikowane szyfrowanie sieci na rzecz bezpośredniej kradzieży danych i szantażu (więcej o anatomii wycieku danych).
Przygotowaliśmy dla Was analizę opartą na raporcie “Ransomware 2026” autorstwa amerykańskiej firmy Broadcom.
Statystyki, które zmieniają perspektywę
Tradycyjne postrzeganie ransomware jako ataku blokującego dostęp do plików staje się nieaktualne. Analiza danych z witryn typu leak site ujawnia nową rzeczywistość.
Kluczowe wnioski z 2025 roku:
- Szyfrowanie w stagnacji: Liczba klasycznych ataków ransomware z użyciem szyfratorów utrzymała się na poziomie około 4737 incydentów, co stanowi zaledwie 0,8% wzrostu względem roku 2024.
- Eksplozja wymuszeń bez szyfrowania: Po doliczeniu ataków opartych wyłącznie na kradzieży danych (encryptionless extortion), łączna liczba incydentów wyniosła 6182, co oznacza gwałtowny wzrost o 23% w skali roku.
- Sezonowość: Największą aktywność odnotowano w październiku 2025 roku (ponad 600 ataków), podczas gdy kwiecień przyniósł gwałtowny spadek spowodowany nagłym zamknięciem operacji RansomHub.
Przetasowania na szczycie: Nowi liderzy rynku RaaS
Rynek Ransomware-as-a-Service (RaaS) przeszedł w 2025 roku proces gwałtownej konsolidacji i restrukturyzacji po upadku gigantów takich jak LockBit i RansomHub. Nagłe zniknięcie RansomHub w kwietniu 2025 roku spowodowało jedynie chwilowy spadek aktywności, gdyż partnerzy tej grupy błyskawicznie przenieśli się do konkurencji.
Kluczowi gracze 2025 roku
| Grupa (Alias) | Udział w rynku | Charakterystyka |
|---|---|---|
| Akira (Darter) | 16% | Największa operacja pod koniec 2025 roku. Wykorzystuje luki w SonicWall i Veeam. |
| Qilin (Stinkbug) | 16% | Agresywny wzrost dzięki prowizjom dla partnerów sięgającym 80-85%. |
| Inc (Warble) | 6% | Znana z publicznego zastraszania klientów ofiary i drukowania notatek o okupie na drukarkach. |
| DragonForce (Hackledorb) | 5% | Nowy gracz, który wprowadził model „własnej marki” dla partnerów, udostępniając im jedynie infrastrukturę. |
Warlock: Gdy cyberprzestępczość spotyka szpiegostwo
Jednym z najbardziej niepokojących odkryć raportu jest aktywność grupy Warlock, operującej prawdopodobnie z Chin. Grupa ta zaciera granice między atakami motywowanymi finansowo a szpiegostwem państwowym.
- Geneza i powiązania: Narzędzia Warlocka (m.in. certyfikat „coolschool”) łączą tę grupę z chińskim aktorem APT znanym jako CamoFei (lub ChamelGang), aktywnym od co najmniej 2019 roku.
- Zaawansowany arsenał: Grupa korzysta z własnego frameworka C&C o nazwie
ak47c2oraz techniki DLL sideloading z użyciem legalnych aplikacji, takich jak 7zip. - Podwójna rola: Warlock może działać jako „kontraktor”, który realizuje zlecenia szpiegowskie, a ataki ransomware traktuje jako sposób na generowanie dodatkowego dochodu lub maskowanie włamań o charakterze wywiadowczym.
Ewolucja taktyk: Inżynieria społeczna i BYOVD
Współczesne ataki są coraz rzadziej oparte na złośliwym kodzie (malware), a częściej na nadużywaniu zaufanych mechanizmów.
Wyrafinowany Social Engineering
Grupa Scattered Spider, współpracująca z DragonForce, udowodniła skuteczność ataków psychologicznych:
- MFA Fatigue: Zasypywanie pracowników monitami o uwierzytelnienie, aż do momentu ich omyłkowej akceptacji.
- SIM-swapping: Przejmowanie kontroli nad numerami telefonów celów, aby omijać zabezpieczenia drugiego składnika (2FA).
- Vishing: Podszywanie się pod wsparcie IT w celu zmanipulowania pracowników do zainstalowania złośliwych aplikacji OAuth, co pozwala na masową kradzież danych z platform takich jak Salesforce.
Technika BYOVD (Bring Your Own Vulnerable Driver)
To obecnie najpopularniejsza metoda wyłączania systemów ochrony (antywirusów i EDR). Napastnicy instalują legalne, ale posiadające znane luki sterowniki (np. starsze sterowniki Baidu, Avira czy Intel), a następnie wykorzystują je do uzyskania uprawnień na poziomie jądra systemu (kernel mode), co pozwala na bezkarne zabijanie procesów bezpieczeństwa.
Living off the Land (LotL)
Aż 25% ataków wykorzystuje PowerShell, a 22% narzędzie PsExec. Napastnicy używają natywnych narzędzi Windows, aby „ukryć się w tłumie” legalnej aktywności administratorów.
Rekomendacje dla działów IT i Security
Raport Symantec i Carbon Black wskazuje na konieczność przejścia od ochrony opartej na sygnaturach do analizy behawioralnej.
- Ograniczenie RDP: Dopuszczanie połączeń tylko z konkretnych, znanych adresów IP i bezwzględne wymuszanie MFA.
- Blokowanie zrzutów pamięci LSASS: Narzędzia takie jak Adaptive Protection powinny automatycznie blokować próby dostępu nieznanych procesów do pamięci poświadczeń (technika stosowana przez Mimikatz i ProcDump).
- Kontrola narzędzi RMM: Należy monitorować instalacje legalnego oprogramowania do zdalnego zarządzania (AnyDesk, ScreenConnect, Atera), które napastnicy traktują jako trwałe „tylne drzwi” do sieci.
- Zabezpieczenie backupów: Tworzenie kopii zapasowych w trybie offline i off-site (przechowywanych poza firmową siecią) to jedyna gwarancja ochrony przed całkowitą utratą danych w przypadku ataku szyfrującego.
Pomimo rosnącej popularności wymuszeń bez szyfrowania, tradycyjne ransomware nie zniknie – paraliż operacyjny, jaki wywołuje, pozostaje najsilniejszą dźwignią nacisku na ofiary, by zapłaciły okup.
Obawiasz się, że tradycyjne antywirusy nie wykryją ataku “Living off the Land”? Zapisz się na listę oczekujących clev.one — nasz system wykrywa anomalie behawioralne, zanim dojdzie do wycieku danych.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz