Ransomware nie zwalnia: ponad 9 tys. potwierdzonych ataków od 2018 roku - Security Bez Tabu

Ransomware nie zwalnia: ponad 9 tys. potwierdzonych ataków od 2018 roku

Cybersecurity news

Wprowadzenie do problemu / definicja

Ransomware pozostaje jednym z najpoważniejszych i najbardziej kosztownych zagrożeń w cyberprzestrzeni. Mechanizm działania jest dobrze znany: napastnicy uzyskują dostęp do środowiska ofiary, szyfrują systemy, wykradają dane lub łączą oba te scenariusze, a następnie żądają okupu za przywrócenie działania i powstrzymanie publikacji informacji. Najnowsze zestawienia potwierdzonych incydentów pokazują, że mimo działań organów ścigania i rosnących inwestycji w bezpieczeństwo problem utrzymuje się na bardzo wysokim poziomie.

To ważny sygnał dla firm, administracji publicznej, ochrony zdrowia i sektora edukacji: ransomware nie jest już serią pojedynczych kampanii, lecz trwałym elementem krajobrazu zagrożeń.

W skrócie

W okresie od stycznia 2018 roku do lipca 2026 roku potwierdzono 9 291 ataków ransomware na świecie. Zestawienie obejmuje wyłącznie incydenty zweryfikowane na podstawie ujawnień ofiar, zgłoszeń regulacyjnych, oficjalnych komunikatów lub wiarygodnych publikacji medialnych.

Od 2023 roku liczba potwierdzonych ataków utrzymuje się rocznie na poziomie około 1,4–1,55 tys. incydentów. W 2026 roku pod względem liczby potwierdzonych ofiar prowadzi grupa Qilin, a Stany Zjednoczone pozostają najczęściej atakowanym krajem.

  • 9 291 potwierdzonych ataków od 2018 roku
  • stabilnie wysoka aktywność od 2023 roku
  • Qilin na czele zestawienia grup w 2026 roku
  • USA najczęściej atakowanym państwem
  • szczególnie narażone: biznes, ochrona zdrowia, edukacja i sektor publiczny

Kontekst / historia

Analiza trendu z lat 2018–2026 pokazuje, że rozwój ekosystemu ransomware nie przebiegał liniowo. Najsilniejszy wzrost aktywności odnotowano w latach 2020–2021, kiedy cyberprzestępcy intensywnie rozwijali model RaaS, czyli ransomware-as-a-service. Ułatwiło to wejście na rynek afiliantom, którzy nie musieli samodzielnie budować pełnego zaplecza technicznego.

W 2022 roku nastąpił zauważalny spadek liczby potwierdzonych ataków. Był to jednak przede wszystkim efekt turbulencji wewnątrz środowiska przestępczego, w tym rozpadu grupy Conti i reorganizacji części aktorów po wydarzeniach geopolitycznych związanych z rosyjską inwazją na Ukrainę. Z perspektywy obrońców nie oznaczało to trwałego osłabienia zagrożenia, lecz przejściową zmianę struktury rynku.

Od 2023 roku aktywność ponownie ustabilizowała się na wysokim poziomie. To pokazuje, że presja operacyjna, przejęcia infrastruktury i działania policyjne zakłócają działalność poszczególnych marek, ale nie eliminują całego modelu biznesowego cyberprzestępców.

Analiza techniczna

Najważniejszym elementem omawianego zestawienia jest metodologia. Wiele publicznych statystyk ransomware bazuje na wpisach publikowanych przez same grupy przestępcze na tzw. leak site’ach. Problem w tym, że takie dane mogą zawierać duplikaty, zawyżenia, a nawet fałszywe roszczenia. W analizie uwzględniono wyłącznie przypadki potwierdzone zewnętrznie, co znacząco ogranicza szum informacyjny.

Takie podejście daje bardziej wiarygodny obraz skutecznych operacji, choć jednocześnie trzeba pamiętać, że rzeczywista skala zjawiska może być jeszcze większa. Nie wszystkie ofiary ujawniają incydenty, a część spraw nie trafia do opinii publicznej lub pozostaje ukryta przez długi czas.

W 2022 roku liczba potwierdzonych ataków spadła do 960 przypadków, co było największą jednoroczną zmianą w całym zbiorze. Spadek zbiegł się z dezintegracją marki Conti, której członkowie rozproszyli się do nowych operacji i mniejszych struktur. Tego typu reorganizacja jest charakterystyczna dla rynku ransomware: zniknięcie jednej rozpoznawalnej grupy często prowadzi do powstania kilku kolejnych.

Historycznie najwięcej potwierdzonych ofiar przypisano LockBit, z wynikiem przekraczającym 500 zweryfikowanych ataków od 2019 roku. W 2026 roku zmienił się jednak układ sił. Na prowadzenie wysunęła się grupa Qilin z 53 potwierdzonymi ofiarami, tuż przed grupą The Gentlemen z 51 przypadkami. LockBit pozostaje aktywny, ale jego dynamika operacyjna jest wyraźnie niższa niż w szczytowym okresie aktywności.

Na uwagę zasługują również dane geograficzne i sektorowe. Około połowa wszystkich potwierdzonych incydentów przypada na Stany Zjednoczone, choć częściowo może to wynikać z wyższej przejrzystości regulacyjnej i obowiązków raportowania. W 2026 roku drugie miejsce zajmuje Japonia, a trzecie Niemcy. W ujęciu sektorowym dominują organizacje biznesowe, ale bardzo silnie eksponowane pozostają też podmioty publiczne, placówki ochrony zdrowia i edukacja.

  • ochrona zdrowia: 1 297 potwierdzonych ataków w całym zbiorze
  • produkcja: 1 037 potwierdzonych ataków
  • utrzymanie wysokiego poziomu incydentów od 2023 roku
  • duża rotacja grup przy zachowaniu trwałości modelu operacyjnego

Konsekwencje / ryzyko

Dla organizacji kluczowy wniosek jest jednoznaczny: ransomware ma dziś charakter systemowy. Nie dotyczy wyłącznie największych przedsiębiorstw, lecz praktycznie każdego podmiotu, który przetwarza dane, utrzymuje infrastrukturę IT lub odpowiada za procesy krytyczne.

Najpoważniejsze skutki ataków ransomware obejmują zarówno wymiar techniczny, jak i biznesowy. Coraz częściej chodzi nie tylko o szyfrowanie systemów, ale również o wyciek danych i presję reputacyjną. Model podwójnego wymuszenia znacząco podnosi koszt incydentu i utrudnia organizacjom prowadzenie działań naprawczych.

  • przestoje operacyjne i zakłócenia ciągłości działania
  • utrata poufności danych wskutek wycieku
  • wysokie koszty odtworzenia środowiska i obsługi incydentu
  • ryzyka prawne, regulacyjne i kontraktowe
  • szkody reputacyjne i utrata zaufania klientów

Szczególnie narażone pozostają sektory, w których niedostępność systemów bezpośrednio wpływa na bezpieczeństwo ludzi, świadczenie usług publicznych lub realizację procesów przemysłowych. To właśnie tam presja na szybkie przywrócenie działania jest największa, co czyni takie podmioty atrakcyjnymi celami dla napastników.

Rekomendacje

Organizacje powinny zakładać, że próba ataku ransomware jest kwestią czasu. Oznacza to potrzebę budowania odporności operacyjnej, a nie wyłącznie inwestowania w prewencję. Skuteczna strategia musi łączyć zabezpieczenia techniczne, monitoring, gotowość do reagowania oraz sprawdzone procedury odtwarzania.

  • wdrożenie segmentacji sieci i ograniczanie ruchu bocznego
  • egzekwowanie MFA dla dostępu zdalnego i kont uprzywilejowanych
  • szybkie zarządzanie podatnościami, zwłaszcza w systemach brzegowych
  • monitorowanie nadużyć uprawnień i nietypowych transferów danych
  • utrzymywanie kopii zapasowych offline oraz regularne testy odtwarzania
  • stosowanie EDR lub XDR oraz centralnego logowania zdarzeń
  • przygotowanie i ćwiczenie procedur reagowania na incydenty
  • inwentaryzacja zasobów krytycznych i priorytetyzacja ich ochrony
  • szkolenia użytkowników z zakresu phishingu i kradzieży poświadczeń

Na poziomie zarządczym warto rozdzielić plan ciągłości działania od planu reagowania na incydenty. Atak ransomware wpływa jednocześnie na IT, operacje, zgodność, komunikację i zarządzanie kryzysowe. Reakcja nie może więc ograniczać się wyłącznie do warstwy technicznej.

Podsumowanie

Najnowsze dane potwierdzają, że ransomware nie słabnie. Ponad 9 tysięcy zweryfikowanych ataków od 2018 roku oraz utrzymujący się wysoki poziom incydentów od 2023 roku pokazują trwałość tego modelu cyberprzestępczości. Chwilowe spadki aktywności, takie jak ten odnotowany w 2022 roku, wynikają raczej z reorganizacji ekosystemu niż z jego realnego osłabienia.

Dla obrońców oznacza to konieczność stałego doskonalenia widoczności środowiska, odporności operacyjnej i zdolności do szybkiego przywracania działania po incydencie. W praktyce wygrywają te organizacje, które przygotowują się nie tylko na próbę włamania, ale także na skuteczne przetrwanie kryzysu.

Źródła