Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ransomware pozostaje jednym z najgroźniejszych zjawisk w cyberbezpieczeństwie, jednak w 2025 roku jego charakter wyraźnie ewoluuje. Nie chodzi już wyłącznie o szyfrowanie plików i żądanie okupu, ale o wielowarstwowe wymuszenia obejmujące kradzież danych, presję reputacyjną oraz zakłócenie działalności operacyjnej. Jednocześnie spadek liczby klasycznie raportowanych naruszeń danych nie musi oznaczać poprawy bezpieczeństwa, lecz raczej zmianę metod działania grup przestępczych i ograniczenia w raportowaniu incydentów.
W skrócie
W 2025 roku grupy cyberprzestępcze zgłosiły 6883 ataki ransomware na swoich stronach wyciekowych, co oznacza wzrost o blisko 20% rok do roku. Liczba aktywnych leak site wzrosła do 115, a około 58% wszystkich incydentów przypisano zaledwie dziesięciu grupom, z których połowa była powiązana z Rosją.
Najwięcej ofiar odnotowano w Stanach Zjednoczonych, a jednym z najczęściej atakowanych obszarów był sektor produkcyjny. Równocześnie klasyczne naruszenia danych spadły o 41% względem poprzedniego roku, co analitycy wiążą raczej ze zmianą taktyk i lukami raportowymi niż z realnym spadkiem zagrożenia.
Dodatkowym czynnikiem ryzyka jest szybki wzrost publicznie dostępnych usług AI. Ich ekspozycja zwiększyła się o 360% i przekroczyła milion instancji, tworząc nową, szeroką powierzchnię ataku dla cyberprzestępców.
Kontekst / historia
W ostatnich latach ransomware przestał być prostym modelem ataku wymierzonego w pojedyncze stacje robocze czy serwery plików. Dzisiejsze grupy działają jak zorganizowane przedsiębiorstwa: rozwijają programy afiliacyjne, utrzymują własną infrastrukturę publikacji wykradzionych danych i prowadzą wieloetapowe kampanie wymuszeń.
W 2024 roku istotny udział w zgłoszeniach naruszeń miał sektor IT, natomiast w 2025 roku ciężar wyraźniej przesunął się w stronę edukacji, administracji publicznej i IT. Taka zmiana sugeruje, że atakujący coraz częściej koncentrują się na organizacjach przetwarzających wrażliwe dane, zapewniających usługi publiczne albo pełniących rolę w łańcuchu dostaw.
Na tym tle istotnie rośnie znaczenie narzędzi opartych na sztucznej inteligencji. AI wspiera dziś nie tylko zespoły bezpieczeństwa, ale także przestępców, którzy mogą wykorzystywać ją do szybszego rekonesansu, przygotowywania wiarygodnych kampanii phishingowych, analizy podatności i automatyzacji kolejnych etapów ataku.
Analiza techniczna
Jednym z najważniejszych wniosków z obserwacji rynku jest silna koncentracja ekosystemu ransomware. Skoro ponad połowa aktywności pochodzi od niewielkiej liczby grup, oznacza to większą powtarzalność technik, taktyk i procedur. Dla obrońców to cenna wskazówka, ponieważ umożliwia lepsze profilowanie zagrożeń oraz skuteczniejsze budowanie mechanizmów detekcji.
Wzrost liczby stron wyciekowych wskazuje również na dalszy rozwój modelu podwójnego i potrójnego wymuszenia. Nawet jeśli organizacja odzyska sprawność po zaszyfrowaniu systemów, sprawcy nadal mogą wywierać presję poprzez groźbę publikacji danych, szantaż klientów, partnerów lub eskalację działań wobec podmiotów powiązanych.
Szczególnie niepokojąca jest eksplozja liczby publicznie dostępnych usług AI. W praktyce chodzi o internetowo wystawione panele administracyjne, narzędzia workflow, integratory API i interfejsy do obsługi modeli językowych, które często wdrażane są szybko i bez pełnego procesu utwardzania. W efekcie pojawiają się błędne konfiguracje, słaba segmentacja, niepełne uwierzytelnianie i opóźnienia w aktualizacjach.
Wśród wskazywanych platform znalazły się między innymi n8n i Open WebUI, czyli rozwiązania powszechnie wykorzystywane do automatyzacji i integracji systemów AI. Tego typu komponenty mają zwykle dostęp do tokenów API, sekretów, danych użytkowników i systemów wewnętrznych, dlatego ich przejęcie może prowadzić do wykonania kodu, eksfiltracji poświadczeń, przejęcia przepływów automatyzacji oraz ruchu bocznego w środowisku.
Dodatkowym problemem jest skracające się okno pomiędzy ujawnieniem podatności a jej aktywnym wykorzystaniem. W środowisku wspieranym przez automatyzację przestępcy szybciej identyfikują podatne usługi, dopasowują exploity i masowo skanują internet, co ogranicza skuteczność tradycyjnego, wolniejszego modelu zarządzania poprawkami.
Konsekwencje / ryzyko
Spadek liczby oficjalnie ujawnianych naruszeń danych nie powinien być odczytywany jako sygnał poprawy sytuacji. Bardziej prawdopodobne jest, że część incydentów pozostaje niewykryta, nie jest raportowana lub bywa klasyfikowana inaczej ze względu na zmianę sposobu działania sprawców.
Dla organizacji oznacza to wzrost ryzyka ataków na cele o wysokim znaczeniu operacyjnym, w tym infrastrukturę krytyczną, administrację, przemysł, obronność i usługi komunalne. Równocześnie rośnie zagrożenie dla łańcucha dostaw, ponieważ platformy AI i automatyzacji są zwykle zintegrowane z wieloma systemami biznesowymi jednocześnie.
Istotne ryzyko dotyczy także zarządzania tożsamością i sekretami. Narzędzia workflow oraz interfejsy AI często przechowują poświadczenia do chmury, baz danych, systemów CRM, poczty, repozytoriów kodu i komunikatorów. Ich przejęcie może doprowadzić nie tylko do zaszyfrowania danych, ale również do długotrwałej kompromitacji środowiska i utraty kontroli nad kluczowymi procesami biznesowymi.
Rekomendacje
Organizacje powinny traktować wszystkie internetowo dostępne usługi AI i platformy automatyzacji jako zasoby wysokiego ryzyka. Wymaga to pełnej inwentaryzacji, wskazania właścicieli biznesowych i technicznych oraz objęcia tych systemów takim samym reżimem bezpieczeństwa jak infrastruktury produkcyjnej.
Priorytetyzacja łatania powinna opierać się na ekspozycji i krytyczności usług, a nie wyłącznie na cyklicznym harmonogramie. Konieczne jest także bieżące monitorowanie nowych podatności, zmian konfiguracyjnych i anomalii w logach, zwłaszcza w przypadku silników workflow, webowych interfejsów AI, konektorów API i narzędzi samoobsługowych.
- ograniczenie publicznej ekspozycji usług tam, gdzie nie jest ona konieczna,
- segmentacja sieci i separacja środowisk eksperymentalnych od produkcyjnych,
- wymuszenie MFA dla paneli administracyjnych,
- rotacja oraz minimalizacja sekretów przechowywanych w platformach integracyjnych,
- wdrożenie EDR/XDR i centralnego logowania,
- regularne testy konfiguracji oraz przeglądy uprawnień usługowych,
- utrzymywanie odseparowanych kopii zapasowych i testowanie procedur odtworzeniowych,
- monitorowanie aktywności grup ransomware oraz wycieków danych w źródłach zewnętrznych.
W sektorach podwyższonego ryzyka warto dodatkowo rozwijać zdolności threat intelligence oraz ciągłego monitorowania ekspozycji zewnętrznej, ponieważ to właśnie tam najwcześniej widać zmiany w taktykach atakujących.
Podsumowanie
Rok 2025 pokazuje, że ransomware nadal dynamicznie rośnie, nawet jeśli klasyczne statystyki naruszeń danych chwilowo maleją. Rosnąca liczba ataków, koncentracja aktywności w rękach ograniczonej liczby grup oraz szybki wzrost ekspozycji usług AI wskazują, że krajobraz zagrożeń staje się bardziej selektywny, szybszy i mocniej oparty na automatyzacji.
Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od wyłącznie reaktywnego podejścia. Kluczowe stają się widoczność zasobów, redukcja powierzchni ataku, szybka priorytetyzacja działań obronnych oraz objęcie infrastruktury AI pełnym nadzorem bezpieczeństwa.
Źródła
- Cybersecurity Dive – Ransomware attacks grew in 2025 as traditional data breaches fell – https://www.cybersecuritydive.com/news/ransomware-data-breaches-ai-bitsight/823649/
- Bitsight – Research Report: 2026 State of the Underground – https://www.bitsight.com/report/state-of-the-underground-2026
- Bitsight – Underground Cybercrime, Deep & Dark Web Threat Insights – https://www.bitsight.com/underground
- National Vulnerability Database – CVE-2025-68613 – https://nvd.nist.gov/vuln/detail/CVE-2025-68613
- National Vulnerability Database – CVE-2025-57749 – https://nvd.nist.gov/vuln/detail/CVE-2025-57749