Ataki extortion-only rosną: kradzież danych wypiera klasyczne szyfrowanie w ransomware - Security Bez Tabu

Ataki extortion-only rosną: kradzież danych wypiera klasyczne szyfrowanie w ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

Ataki typu extortion-only to forma cyberwymuszenia, w której napastnicy rezygnują z szyfrowania systemów ofiary i skupiają się na kradzieży danych oraz groźbie ich ujawnienia, sprzedaży lub dalszej dystrybucji. W praktyce oznacza to przesunięcie ciężaru incydentu z niedostępności systemów na utratę poufności informacji, ryzyko regulacyjne, odpowiedzialność prawną i presję reputacyjną.

To istotna zmiana dla zespołów bezpieczeństwa i zarządów firm. Organizacja może nadal funkcjonować operacyjnie, a mimo to znaleźć się w środku poważnego kryzysu związanego z wyciekiem danych klientów, partnerów lub informacji wewnętrznych.

W skrócie

Najnowsze obserwacje rynku pokazują wyraźny wzrost incydentów, w których nie dochodzi do uruchomienia klasycznego ransomware opartego na szyfrowaniu. Coraz częściej atak sprowadza się do samej eksfiltracji danych i żądania zapłaty za ich nieujawnienie.

  • napastnicy częściej wybierają kradzież danych zamiast szyfrowania,
  • kopie zapasowe nie rozwiązują głównego problemu w takim scenariuszu,
  • kluczowe stają się detekcja eksfiltracji, kontrola tożsamości i ochrona danych,
  • zapłata okupu nie daje gwarancji, że dane nie zostaną opublikowane.

Kontekst / historia

Przez wiele lat dominującym modelem ransomware było szyfrowanie plików i żądanie okupu za klucz deszyfrujący. Następnie ten schemat ewoluował do modelu podwójnego wymuszenia, w którym przestępcy jednocześnie blokowali dostęp do zasobów i kradli dane.

Obecnie krajobraz zagrożeń przesuwa się w stronę extortion-only. Sama kradzież informacji stała się dla atakujących wystarczającym narzędziem nacisku. To podejście jest dla nich korzystne: działa ciszej, może ograniczać prawdopodobieństwo szybkiego wykrycia i pozwala wywierać presję na organizację poprzez ryzyko ujawnienia danych, obowiązki notyfikacyjne oraz możliwe konsekwencje biznesowe.

Z perspektywy ofiary oznacza to, że tradycyjne myślenie o odporności cybernetycznej, oparte głównie na backupie i odtwarzaniu środowiska, przestaje być wystarczające. Nawet jeśli firma może szybko przywrócić systemy, nie cofa to skutków wycieku.

Analiza techniczna

W obserwowanym trendzie dominują incydenty, w których dane są wyprowadzane bez aktywacji mechanizmów szyfrowania. Według danych przytoczonych w raporcie Resilience, 65% roszczeń związanych z wymuszeniami obsługiwanych w drugiej połowie 2025 roku nie obejmowało szyfrowania danych. W pierwszej połowie 2025 roku było to 49%. Do końca 2025 roku jedynie 13% ataków opierało się wyłącznie na szyfrowaniu, podczas gdy kradzież danych samodzielnie lub w połączeniu z szyfrowaniem odpowiadała za 87% zgłoszeń ransomware.

Technicznie taki atak zwykle zaczyna się od uzyskania dostępu przez phishing, kompromitację tożsamości, przejęcie sesji, nadużycie zdalnego dostępu albo wykorzystanie legalnych narzędzi administracyjnych. Kolejnym krokiem jest eskalacja uprawnień, rozpoznanie środowiska i identyfikacja repozytoriów zawierających dane o wysokiej wartości.

Następnie atakujący przygotowuje eksfiltrację. Dane są agregowane, kompresowane, czasem dodatkowo szyfrowane po stronie napastnika, a później przesyłane kanałami mającymi ograniczyć szansę wykrycia. Ruch często bywa maskowany jako zwykła komunikacja z usługami chmurowymi, aplikacjami SaaS lub zaufanymi procesami systemowymi.

To właśnie dlatego tradycyjne mechanizmy wykrywania, skoncentrowane na plikach wykonywalnych ransomware albo anomaliach związanych z masowym szyfrowaniem, nie zapewniają już wystarczającej widoczności. W modelu extortion-only punkt ciężkości przesuwa się w stronę monitorowania tożsamości, dostępu uprzywilejowanego, przepływu danych i nietypowych transferów wychodzących.

Istotny jest także aspekt negocjacyjny. W modelu szyfrowania ofiara przynajmniej teoretycznie płaci za klucz, którego działanie da się zweryfikować. W modelu extortion-only płatność dotyczy obietnicy usunięcia skradzionych danych albo zaniechania ich publikacji. Taka deklaracja nie podlega wiarygodnej weryfikacji technicznej, ponieważ dane mogły już zostać skopiowane, odsprzedane lub przygotowane do dalszego użycia.

Dodatkowo od 30% do 40% podmiotów, które zapłaciły za powstrzymanie wycieku, nie osiągnęło zamierzonego celu. W zbliżonym odsetku przypadków dane i tak zostały ujawnione mimo płatności. To osłabia argument, że zapłata jest skutecznym sposobem na szybkie zamknięcie incydentu.

Konsekwencje / ryzyko

Największą zmianą jest przesunięcie priorytetów z dostępności systemów na poufność danych i odpowiedzialność po incydencie. Firma może utrzymać ciągłość działania, ale jednocześnie mierzyć się z naruszeniem ochrony danych osobowych, wyciekiem informacji handlowych, ryzykiem szantażu klientów i partnerów oraz długofalowymi stratami wizerunkowymi.

Ryzyko techniczne obejmuje:

  • utratę kontroli nad kopiami danych,
  • wtórne wykorzystanie wykradzionych informacji w phishingu i oszustwach,
  • ekspozycję poświadczeń, dokumentacji i sekretów technicznych,
  • możliwość dalszej penetracji środowiska na podstawie wcześniej skradzionych artefaktów.

Ryzyko biznesowe obejmuje:

  • koszty reagowania na incydent i analiz forensycznych,
  • obowiązki notyfikacyjne wobec regulatorów, klientów i partnerów,
  • roszczenia cywilne oraz spory kontraktowe,
  • wzrost składek ubezpieczeniowych lub ograniczenie ochrony,
  • długoterminowy spadek zaufania do organizacji.

W praktyce extortion-only premiuje przeciwnika skrytego, cierpliwego i dobrze przygotowanego do presji psychologicznej. Jeśli napastnik zdobędzie szczególnie wrażliwe dane lub informacje o polisie cyberubezpieczeniowej, może skuteczniej dopasować wysokość żądania i sposób prowadzenia negocjacji.

Rekomendacje

Organizacje powinny dostosować strategię obrony do realiów, w których centralnym elementem wymuszenia staje się eksfiltracja danych, a nie szyfrowanie stacji roboczych czy serwerów.

Po stronie technicznej warto wdrożyć:

  • rozwiązania DLP i mechanizmy monitorowania ruchu wychodzącego,
  • segmentację sieci oraz architekturę zero trust,
  • silne mechanizmy IAM, MFA i ochronę kont uprzywilejowanych,
  • detekcję nadużyć legalnych narzędzi administracyjnych,
  • klasyfikację danych oraz mapowanie najcenniejszych repozytoriów,
  • retencję i ochronę logów potrzebnych do odtworzenia ścieżki eksfiltracji.

Po stronie organizacyjnej zalecane są:

  • przygotowanie modelu decyzyjnego dotyczącego żądania okupu,
  • wcześniejsze zaangażowanie doradców prawnych, zespołu IR i specjalistów negocjacyjnych,
  • ochrona informacji o polisach i limitach ubezpieczeniowych,
  • regularne ćwiczenia tabletop dla scenariuszy wycieku bez szyfrowania,
  • ocena skutków regulacyjnych, prawnych i komunikacyjnych jeszcze przed incydentem.

Warto przyjąć założenie, że kopie zapasowe nadal pozostają ważne, ale nie rozwiązują najpoważniejszego problemu w scenariuszu extortion-only. Backup przywraca dostępność, lecz nie eliminuje skutków utraty poufności. Dlatego inwestycje powinny przesuwać się z samego odtwarzania środowiska na prewencję, wczesne wykrywanie i ograniczanie eksfiltracji.

Podsumowanie

Rosnąca skala ataków typu extortion-only pokazuje, że ransomware przechodzi kolejną fazę ewolucji. Coraz częściej celem przestępców nie jest paraliż systemów, lecz ciche przejęcie danych i wykorzystanie ich jako narzędzia presji.

Dla organizacji oznacza to konieczność zmiany priorytetów: od modelu skoncentrowanego na odtwarzaniu po incydencie do podejścia opartego na ochronie danych, kontroli tożsamości, widoczności ruchu wychodzącego i dojrzałym zarządzaniu kryzysowym. W nowym modelu cyberwymuszenia kluczowe jest nie tylko to, czy systemy można szybko przywrócić, ale przede wszystkim to, czy uda się zapobiec utracie danych i ograniczyć skutki ich ujawnienia.

Źródła