Ransomware - analiza trendów i ewolucja zagrożeń
Trendy ransomware 2022-2025 - rebranding grup, wymuszenia bez szyfrowania, Operation Cronos, fragmentacja RaaS. Dane ENISA, Chainalysis, Dragos.
Ransomware nie jest już problemem pojedynczych firm. W latach 2021-2022 rządy wielu państw uznały go za zagrożenie dla bezpieczeństwa narodowego. Reakcja była wielowymiarowa - od działań organów ścigania, przez nowe regulacje, aż po zaangażowanie służb wojskowych i wywiadowczych. Ale czy te wysiłki przyniosły trwałe efekty? Dane z kolejnych raportów ENISA Threat Landscape (2022-2025) pokazują obraz bardziej złożony niż proste “atakujący kontra obrońcy”.
TIP
Ten artykuł obejmuje trendy od 2021 do 2025 roku. Jeśli szukasz podstaw - czym jest ransomware, jak działa, jakie są warianty - zacznij od naszego przewodnika po ransomware. Najlepsze praktyki zapobiegania opisujemy w artykule o prewencji ransomware.
ujawnionych ataków ransomware na świecie w 2024
spadek wpłat okupów r/r ($813,55 mln w 2024)
aktywnych grup RaaS (ENISA/Dragos)
średni czas rebrandingu grupy ransomware
Źródło: Cyberint 2024, Chainalysis 2025, ENISA ETL 2025, Dragos 2026
Grupy ransomware na celowniku służb
Intensyfikacja działań organów ścigania w latach 2021-2024 przyniosła wymierne rezultaty. Kilka grup ransomware zostało zmuszonych do wycofania się z działalności, a niektóre udostępniły nawet klucze deszyfrujące. Międzynarodowa współpraca doprowadziła do aresztowań członków takich grup jak REvil, Cl0p, NetWalker, LockerGoga i MegaCortex.
Przełomowe wydarzenia:
- Zaangażowanie amerykańskiego wojska - raporty publiczne wskazują na aktywne działania US Cyber Command przeciwko infrastrukturze grup ransomware
- Aresztowania członków REvil przez FSB - Federalna Służba Bezpieczeństwa Rosji przeprowadziła operację, która mogła być motywowana celami geopolitycznymi
- Inicjatywa Białego Domu - koordynacja międzynarodowej reakcji na ransomware (z celowym wykluczeniem Rosji)
- Regulacje prawne - ustawa o ujawnianiu okupu zobowiązująca ofiary do informowania rządu USA w ciągu 48 godzin od płatności
- Operation Cronos (luty 2024) - międzynarodowa operacja pod kierownictwem NCA, która doprowadziła do przejęcia infrastruktury LockBit, identyfikacji 188 afiliantów i zabezpieczenia 2 200 BTC (ok. 112 mln USD) w nieuczciwie uzyskanych środkach
Te działania wymuszają na grupach przestępczych zmiany modus operandi - zwiększenie zabezpieczeń operacyjnych, zmianę nazwy, a czasem przesunięcie uwagi na mniejsze cele.
Karuzela marek - strategia przetrwania
Głośne incydenty, takie jak atak na Colonial Pipeline, doprowadziły do bezprecedensowej presji na grupy ransomware. W odpowiedzi wiele z nich przyjęło strategię “odchodzenia na emeryturę” i zmiany marki. Średni czas takiego rebrandingu wynosi około 17 miesięcy.
Powody są pragmatyczne:
| Motywacja | Przykład | Efekt dla organów ścigania |
|---|---|---|
| Zagrożenie dla narzędzi/infrastruktury | Opublikowanie narzędzia deszyfrującego wymusza reorganizację | Wymaga ponownej analizy technicznej |
| Unikanie kontroli organów ścigania | Zmniejszenie widoczności po głośnym incydencie | Utrata kontekstu operacyjnego |
| Utrudnianie atrybucji | Ofiary płacą komuś, kogo nie dotyczą sankcje | Komplikacja postępowań prawnych |
| Konflikty wewnętrzne | Reorganizacja pozwala rozwiązać napięcia w grupie | Potencjalni informatorzy |
Udokumentowane przypadki rebrandingu
- DoppelPaymer - kontynuował działalność jako ransomware Grief
- WastedLocker - przechodził przez nazwy Hades, Cryptolocker, Payloadbin, Macaw (wiosna-jesień 2021)
- DarkSide - po ataku na Colonial Pipeline stał się BlackMatter, a następnie BlackCat/ALPHV (potwierdzenie w lutym 2022)
- GandCrab - przekształcił się w REvil, zmieniając tożsamość i strategie operacyjne
- LockBit - po Operation Cronos (2024) powrócił jako LockBit 4.0, a następnie LockBit 5.0 (“ChuongDong”) we wrześniu 2025
W okresie 2021-2022 z krajobrazu cyberprzestępczości zniknęły takie rodziny jak Egregor, REvil, BlackMatter i DoppelPaymer. Jednocześnie pojawiły się nowe, często wykazujące techniczne podobieństwa do tych, które “odeszły na emeryturę”.
Ransomware w liczbach - 2022 vs 2024
| Wskaźnik | 2022 (ENISA ETL 2022) | 2024 (ENISA ETL 2025) |
|---|---|---|
| Ujawnione ataki ransomware na świecie | ok. 3 640 | 5 414 |
| Skargi do FBI IC3 | ok. 2 385 | 3 156 (+11,7% r/r) |
| Straty zgłoszone do IC3 | 34,3 mln USD | 12,4 mln USD (uwaga: niższe z powodu spadku wpłat okupów) |
| Aktywne grupy RaaS | ok. 30 | 85 odrębnych operacji (ENISA); 119 targetujących przemysł (Dragos) |
| Spadek wpłat okupów (r/r) | - | -35% w 2024 |
NOTE
Różnica w liczbie grup (85 wg ENISA vs 119 wg Dragos) wynika z metodologii: ENISA liczy operacje RaaS globalne, Dragos śledzi grupy atakujące konkretnie organizacje przemysłowe (w tym afiliaty operujące pod różnymi markami). Obie liczby są poprawne - mierzą różne rzeczy.
WARNING
Spadek wpłat okupów w 2024 roku nie oznacza spadku liczby ataków. Wręcz przeciwnie - liczba incydentów rośnie, ale organizacje coraz częściej odmawiają płacenia, a organy ścigania skuteczniej odzyskują środki.
Eksfiltracja danych i wymuszenia bez szyfrowania
Od 2021 roku wyraźnym trendem stały się wieloaspektowe wymuszenia (multi-extortion). Grupy ransomware zaczęły zdawać sobie sprawę, że sama kradzież danych może wystarczyć do uzyskania okupu - bez potrzeby szyfrowania systemów ofiary.
Ten model działa na kilku poziomach:
- Kradzież danych - eksfiltracja wrażliwych informacji przed jakimkolwiek szyfrowaniem
- Groźba publikacji - dedykowane strony w sieci Tor do upubliczniania skradzionych danych
- Wykorzystanie polis ubezpieczeniowych - grupy takie jak LAPSUS$ i Karakurt odwołują się do polisy cyberubezpieczeniowej ofiary podczas negocjacji
- Dedykowane rynki - powstawanie platform do sprzedaży skradzionych danych
Hacktywizm jako nowy kanał dystrybucji ransomware to trend widoczny od 2024 roku. Grupy takie jak CyberVolk, działające w interesie rosyjskim, zaczęły promować i dystrybuować wiele szczepów ransomware (AzzaSec, HexaLocker, Parano), łącząc motywacje ideologiczne z finansowymi.
Co to oznacza dla organizacji?
Solidne strategie tworzenia kopii zapasowych są konieczne, ale niewystarczające. Organizacje muszą również wdrażać kontrole bezpieczeństwa ukierunkowane na wykrywanie i zapobieganie eksfiltracji danych - zgodnie z taktykami opisanymi w MITRE ATT&CK (TA0010 Exfiltration).
Checklist minimalnych środków ochrony:
- Monitoring ruchu wychodzącego z sieci (DLP, analiza NetFlow)
- Segmentacja sieci ograniczająca lateralne przemieszczanie się
- Monitorowanie dużych transferów danych do zewnętrznych usług
- Kontrola dostępu do repozytoriów danych wrażliwych
- Regularne ćwiczenia z zakresu reagowania na incydenty
- Przegląd i aktualizacja polityk dostępu do danych
- Wdrożenie zasady minimalnych uprawnień (least privilege) dla kont z dostępem zdalnym
- Monitoring dark webu pod kątem wykradzionych danych uwierzytelniających
Perspektywa na przyszłość
Ransomware pozostaje jednym z najpoważniejszych zagrożeń dla organizacji i bezpieczeństwa narodowego. Dane z raportów ENISA (2022-2025) wskazują na kilka trwałych trendów:
- Fragmentacja ekosystemu - po Operation Cronos ekosystem ransomware rozpadł się na dziesiątki mniejszych grup (85-119 w zależności od metodologii), w tym wiele zupełnie nowych
- Działania organów ścigania przynoszą efekty (spadek wpłat okupów o 35%), ale nie eliminują problemu
- Hacktywizm łączy się z ransomware - grupy motywowane ideologicznie adoptują ransomware jako źródło finansowania
- Model wymuszania bez szyfrowania zyskuje na popularności
- Ransomware coraz częściej jest narzędziem aktorów państwowych, nie tylko grup przestępczych
Organizacje, które chcą skutecznie chronić się przed ransomware, powinny traktować to zagrożenie jako problem biznesowy wymagający kompleksowego podejścia - od technicznych kontroli bezpieczeństwa, przez procedury reagowania na incydenty, po regularne ćwiczenia zespołów. SEQRED pomaga organizacjom w ocenie odporności na ransomware poprzez testy penetracyjne i symulacje ataków.
Źródła: