Detaliści coraz częściej odmawiają okupu. Co pokazuje raport Sophos „State of Ransomware in Retail 2025”? - Security Bez Tabu

Detaliści coraz częściej odmawiają okupu. Co pokazuje raport Sophos „State of Ransomware in Retail 2025”?

Wprowadzenie do problemu / definicja luki

Sektor retail pozostaje jednym z najczęściej atakowanych przez grupy ransomware. Najnowsze dane Sophos wskazują jednak na wyraźną zmianę: mniej ataków kończy się skutecznym szyfrowaniem danych, koszty odtworzenia spadają, a firmy odbudowują się szybciej. Jednocześnie rośnie presja finansowa – medianowe żądania okupu wzrosły do 2 mln USD, podczas gdy medianowe płatności utrzymują się w okolicach 1 mln USD.

W skrócie

  • Mniej szyfrowań, więcej wymuszeń: odsetek skutecznych szyfrowań spadł do 48%, rośnie udział „extortion-only” (kradzież i groźba publikacji bez szyfrowania).
  • Żądania rosną szybciej niż płatności: mediana żądania 2 mln USD, mediana płatności 1 mln USD.
  • Skąd się biorą incydenty? W 46% przypadków źródłem był „nieznany ubytek bezpieczeństwa” (unknown gap); 58% detalistów, którzy doświadczyli szyfrowania, zapłaciło okup.
  • Koszty i czas odtwarzania: średni koszt odtworzenia (bez okupu) spadł do ok. 1,6 mln USD; połowa firm wraca do normalnego działania w tydzień.

Kontekst / historia / powiązania

Sophos publikuje branżowe „State of Ransomware” od lat, a tegoroczna edycja dla retail (badanie 361 liderów IT/bezpieczeństwa w 16 krajach) rozszerza zakres o czynniki organizacyjne i wpływ na zespoły IT. To uzupełnia wnioski z raportu ogólnosektorowego 2025 (m.in. średni koszt odtworzenia 1,5 mln USD).

Analiza techniczna / szczegóły luki

Wektory wejścia. Najczęściej wykorzystywane były:

  • Luki w oprogramowaniu/infrastrukturze (pierwsze miejsce),
  • Składniki tożsamości (skradzione/wyłudzone dane logowania),
  • Phishing.
    Dodatkowo wielu respondentów wskazało braki organizacyjne: „nieznana luka” w środowisku, ograniczone kompetencje zespołu lub niedobór narzędzi ochronnych. Te obserwacje sugerują, że detaliści mają problem nie tylko z podatnościami, ale i z widocznością oraz procesami.

Zmiana taktyk atakujących. Maleje rola czystego szyfrowania, a zyskuje podwójna/pojedyncza ekstorsja (exfiltracja i groźba publikacji), zgodnie z trendami opisanymi szerzej przez instytucje rządowe.

Ekonomia okupu. U detalistów istotnie wzrosły żądania (mediana 2 mln USD), ale płatności nie nadążają (ok. 1 mln USD). Firmy częściej negocjują lub odmawiają, co potwierdzają relacje prasowe oraz wpisy Sophos.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne: nawet bez płacenia okupu koszty przestojów, nadgodzin i napraw są wysokie (ok. 1,6 mln USD średnio w retail).
  • Ryzyko reputacyjne i regulacyjne: wycieki danych klientów (PII, dane płatnicze) przy modelu „extortion-only” implikują obowiązki notyfikacyjne i ryzyko kar. (Wniosek na podstawie trendów CISA dot. exfiltracji jako narzędzia nacisku).
  • Obciążenie zespołów: wzrost presji na IT/SEC, rotacje kadry kierowniczej, absencje i wypalenie po incydencie.

Rekomendacje operacyjne / co zrobić teraz

  1. Zamknij „unknown gaps”: uruchom ciągłe attack surface management (ASM), skan podatności i priorytetyzację patchy pod kątem exploitowalności (KEV, znane łańcuchy RCE). (Wniosek zgodny z przyczynami incydentów w retail).
  2. Tożsamość > perymetr: phishing-resistant MFA (FIDO2), polityki dostępu warunkowego, segmentacja ról i JIT/JEA dla kont uprzywilejowanych. (Zgodne z trendem nadużycia poświadczeń).
  3. Kontrola danych i DLP: szyfrowanie w spoczynku i w ruchu, monitoring exfiltracji (brokerzy CASB, egress filtering, honey-tokens). (Adekwatne do wzrostu extortion-only).
  4. Detekcja i reakcja: EDR/XDR z playbookami na lateral movement; testy odzyskiwania; izolacja stacji POS; sieci gościnne odseparowane od zaplecza. (W duchu szybszego RTO raportowanego w retail).
  5. Backupy odporne na sabotaż: 3-2-1, kopie offline/immutability, regularne testy odtwarzania i plany decyzyjne dot. okupu.
  6. Higiena podatności aplikacji web/edge: WAF, SSRF/RCE guardrails, skany SCA/DAST, szybkie łatanie urządzeń peryferyjnych (VPN/SD-WAN/Wi-Fi). (Zgodne z „exploited vulnerabilities lead the way”).
  7. Ćwiczenia „table-top” z zarządem: ścieżki decyzji przy negocjacjach, wymagania ubezpieczyciela, komunikacja do klientów/regulatorów. (Z uwagi na presję zarządczą i stres zespołów).

Różnice / porównania z innymi przypadkami

W porównaniu z ogólnosektorowym raportem Sophos 2025 (średni koszt odtworzenia ~1,5 mln USD), retail wypada podobnie kosztowo, ale wyróżnia się większą presją okupu (2 mln vs. 1 mln medianowo żądane w retail) oraz częstszym odwołaniem do „unknown gaps” jako pierwotnej przyczyny. To sugeruje specyfikę rozproszonego środowiska (POS, zaplecze, e-commerce, łańcuch dostaw).

Podsumowanie / kluczowe wnioski

  • Detaliści odbudowują się szybciej i płacą proporcjonalnie mniej względem rosnących żądań, ale to nie znaczy, że ryzyko maleje – zmienia się taktyka napastników (exfiltracja i wymuszenia).
  • Widoczność i podstawy inżynieryjne (ASM, patching, MFA, segmentacja) to najskuteczniejsza odpowiedź na „unknown gaps”.
  • „Czy płacić?” – nawet jeśli część firm płaci (58%), dane pokazują, że negocjacje i odmowa coraz częściej działają, o ile istnieją dobre kopie i procedury.

Źródła / bibliografia

  1. Help Net Security – „Retailers are learning to say no to ransom demands” (06.11.2025). (Help Net Security)
  2. Sophos – State of Ransomware in Retail 2025 (strona raportu). (SOPHOS)
  3. Sophos News – „The State of Ransomware in Retail 2025” (19.08.2025). (Sophos News)
  4. Sophos – Press release: „More than Half (58%) of Retailers Pay the Ransom” (04.11.2025). (SOPHOS)
  5. CISA – #StopRansomware Guide (aktualne wytyczne nt. podwójnej/potrójnej ekstorsji). (CISA)