Francja: ANSSI odnotowuje spadek ataków ransomware w 2025 roku, ale zagrożenie nie znika

Wprowadzenie do problemu / definicja

Ransomware pozostaje jednym z najpoważniejszych zagrożeń dla organizacji publicznych i prywatnych, ponieważ łączy paraliż operacyjny z presją finansową, reputacyjną i prawną. Najnowsze dane z Francji sugerują jednak częściowe osłabienie skali tego zjawiska. Francuska agencja ANSSI poinformowała o spadku liczby zgłaszanych ataków ransomware w 2025 roku, co można interpretować jako efekt przetasowań w ekosystemie cyberprzestępczym po działaniach wymierzonych w największe grupy typu ransomware-as-a-service.

Nie oznacza to jednak trwałego odwrotu zagrożenia. Spadek liczby incydentów nie musi iść w parze ze spadkiem ich dotkliwości, a pojedynczy skuteczny atak nadal może prowadzić do poważnych zakłóceń działalności, utraty danych oraz kosztownych procesów odtworzeniowych.

W skrócie

Francuski krajobraz ransomware znajduje się obecnie w fazie reorganizacji. Według informacji ANSSI liczba incydentów spada względem wcześniejszych okresów, ale zagrożenie wciąż pozostaje istotne dla administracji, edukacji, ochrony zdrowia i sektora prywatnego.

• spadek liczby zgłaszanych ataków w 2025 roku nie oznacza końca problemu;
• ekosystem ransomware ulega decentralizacji po uderzeniach w największe grupy;
• napastnicy częściej zmieniają narzędzia, marki i techniki działania;
• rośnie znaczenie ataków na środowiska VMware ESXi oraz wykorzystania legalnych poświadczeń;
• organizacje powinny wykorzystać obecny okres na wzmocnienie odporności operacyjnej.

Kontekst / historia

Francja od kilku lat pozostaje aktywnym celem grup ransomware. Z opublikowanego przeglądu zagrożeń ANSSI wynika, że w 2024 roku do agencji zgłoszono 144 przypadki naruszeń związanych z ransomware. Chociaż poziom zagrożenia ustabilizował się rok do roku, problem nadal silnie oddziaływał na organizacje różnej wielkości.

Najbardziej narażone były małe i średnie podmioty, ale istotny odsetek ofiar stanowiły również jednostki samorządowe, przedsiębiorstwa strategiczne oraz sektor szkolnictwa wyższego. W 2024 roku ANSSI obserwowała 39 różnych rodzin ransomware, z których najczęściej raportowano LockBit 3.0, RansomHub oraz Akira.

Taki obraz wpisuje się w szerszy trend osłabienia dominacji kilku największych usług ransomware-as-a-service. Operacje organów ścigania, problemy infrastrukturalne oraz presja międzynarodowa doprowadziły do czasowej destabilizacji części najbardziej rozpoznawalnych marek. W praktyce nie usunęło to zagrożenia, ale przyspieszyło jego rozproszenie na większą liczbę mniejszych i bardziej elastycznych grup.

Analiza techniczna

Techniczny poziom współczesnych kampanii ransomware pozostaje wysoki, mimo spadku liczby zgłoszeń. Ataki nadal opierają się na dobrze znanym łańcuchu działań: uzyskaniu dostępu początkowego, eskalacji uprawnień, ruchu bocznym, eksfiltracji danych i końcowym szyfrowaniu systemów.

ANSSI zwraca uwagę na rosnącą aktywność nowych i mniej dojrzałych grup, które korzystają ze zmodyfikowanych wersji wcześniej ujawnionych kodów ransomware. Taki model obniża barierę wejścia dla cyberprzestępców, zwiększa liczbę aktywnych aktorów i utrudnia obrońcom identyfikację kampanii na podstawie trwałych wskaźników kompromitacji.

Istotnym elementem obecnego krajobrazu zagrożeń są ataki na środowiska VMware ESXi. W opisanych przez Microsoft przypadkach operatorzy ransomware wykorzystywali podatność CVE-2024-37085 do uzyskania podwyższonych uprawnień na hiperwizorach ESXi. To szczególnie groźna technika, ponieważ kompromitacja warstwy wirtualizacyjnej może umożliwić masowe szyfrowanie wielu maszyn wirtualnych jednocześnie i szybkie zakłócenie działania usług krytycznych.

Napastnicy coraz częściej łączą exploity z kradzieżą poświadczeń, nadużyciem legalnych narzędzi administracyjnych oraz współpracą z brokerami dostępu początkowego. W efekcie celem kampanii nie jest już wyłącznie zaszyfrowanie zasobów, ale również kradzież danych wykorzystywana do dodatkowego szantażu i zwiększenia presji na ofiarę.

Konsekwencje / ryzyko

Dla organizacji działających we Francji i szerzej w Europie najważniejszy wniosek jest prosty: mniejsza liczba incydentów nie oznacza automatycznie mniejszego ryzyka biznesowego. Pojedynczy atak ransomware nadal może skutkować zatrzymaniem produkcji, niedostępnością usług publicznych, utratą danych, kosztami odbudowy środowiska oraz konsekwencjami regulacyjnymi.

Szczególnie narażone pozostają podmioty o ograniczonych zasobach bezpieczeństwa, instytucje edukacyjne oraz organizacje utrzymujące rozbudowane środowiska wirtualne. Dodatkowym wyzwaniem jest fragmentacja ekosystemu ransomware, która utrudnia profilowanie przeciwników, analizę ich technik oraz szybkie mapowanie incydentów do konkretnych grup.

Ryzyko rośnie także tam, gdzie bezpieczeństwo opiera się na pojedynczych mechanizmach ochronnych. Jeśli atakujący uzyska dostęp uprzywilejowany do domeny lub platformy wirtualizacyjnej, klasyczne zabezpieczenia stacji roboczych mogą okazać się niewystarczające do zatrzymania pełnoskalowego ataku.

Rekomendacje

Obecny spadek liczby incydentów należy traktować jako okazję do poprawy odporności, a nie sygnał do obniżenia czujności. Kluczowe znaczenie ma skrócenie czasu wykrycia, ograniczenie skutków udanego włamania oraz przygotowanie środowiska na szybkie odtworzenie działania.

• pilnie aktualizować systemy brzegowe, serwery i platformy wirtualizacyjne, w tym środowiska ESXi;
• wymuszać silne uwierzytelnianie wieloskładnikowe dla kont administracyjnych i zdalnego dostępu;
• wdrażać segmentację sieci oraz separację systemów krytycznych od środowisk biurowych;
• ograniczać uprawnienia zgodnie z zasadą least privilege;
• monitorować użycie narzędzi administracyjnych, ruch boczny i nietypowe zmiany w Active Directory;
• utrzymywać kopie zapasowe offline lub niemodyfikowalne oraz regularnie testować odtworzenie;
• rozwijać procedury reagowania na incydenty z uwzględnieniem scenariuszy szyfrowania i eksfiltracji danych;
• traktować hiperwizory, kontrolery domeny i systemy backupu jako zasoby o najwyższym priorytecie ochrony.

Podsumowanie

Informacje przekazane przez ANSSI wskazują na spadek liczby ataków ransomware we Francji w 2025 roku, jednak nie należy interpretować tego jako trwałego zaniku zagrożenia. Dane z 2024 roku pokazują, że ransomware nadal silnie oddziałuje na francuskie organizacje, a działania przeciw największym grupom doprowadziły raczej do decentralizacji ekosystemu niż do jego eliminacji.

Z perspektywy obrony oznacza to konieczność budowania wielowarstwowej odporności, ochrony tożsamości uprzywilejowanych oraz zabezpieczenia platform wirtualizacyjnych i kopii zapasowych. W nowej fazie rozproszonego ransomware wygrywać będą te organizacje, które inwestują nie tylko w prewencję, ale także w realną gotowość do reakcji i odtworzenia działania po incydencie.

Źródła

• https://www.infosecurity-magazine.com/news/france-anssi-ransomware-attack/
• https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-004.pdf
• https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/
• https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a