Spadek płatności okupu do 28% przy rosnącej fali ataków ransomware: co mówi raport Chainalysis (i dlaczego to nie koniec problemu) - Security Bez Tabu

Spadek płatności okupu do 28% przy rosnącej fali ataków ransomware: co mówi raport Chainalysis (i dlaczego to nie koniec problemu)

Wprowadzenie do problemu / definicja luki

Ransomware to już nie tylko „szyfrowanie i okup”. W praktyce dominuje dziś model wymuszeń wieloetapowych: kradzież danych (exfiltracja), groźba publikacji, presja reputacyjna, a czasem kolejne szantaże wobec partnerów czy klientów. To ważne tło dla najnowszych danych: odsetek ofiar płacących okup spadł do rekordowo niskiego poziomu, mimo że liczba ataków rośnie.

W skrócie

Najważniejsze liczby, które warto zapamiętać:

  • 28% – tyle ofiar miało zapłacić okup w ujęciu rocznym (rekordowo nisko).
  • +50% r/r – wzrost liczby „claimed attacks”/publicznych zgłoszeń i roszczeń gangów w 2025 r.
  • ~820 mln USD – tyle wyniosły zidentyfikowane płatności on-chain w 2025 r. (z zastrzeżeniem, że po dalszej atrybucji suma może zbliżyć się do ~900 mln USD).
  • Mediana okupu +368%: z 12 738 USD (2024) do 59 556 USD (2025) – mniej płatności, ale część z nich jest relatywnie większa.
  • ~85 aktywnych grup wymuszeniowych w 2025 r. – rynek bardziej rozdrobniony niż w latach dominacji kilku „marek”.

Kontekst / historia / powiązania

Chainalysis wskazuje trend spadkowy płatności utrzymujący się od kilku lat, a w tle mamy kilka istotnych zjawisk:

  1. Rozpad „hegemonów” i fragmentacja rynku
    Po działaniach organów ścigania i zawirowaniach w ekosystemie RaaS (Ransomware-as-a-Service) krajobraz staje się bardziej rozproszony: więcej grup, mniej stabilnych „brandów”, trudniejsza atrybucja.
  2. Presja regulacyjna i ostrożność płatnicza
    Rosnąca kontrola nad przepływami finansowymi (w tym kryptowalutowymi) oraz ryzyko prawno-compliance (np. sankcje) wpływają na decyzje ofiar i pośredników.
  3. Dojrzalsze IR i odporność operacyjna
    Firmy częściej mają działające kopie zapasowe, procedury odtwarzania i partnerów IR, co zwiększa szanse na „niepłacenie” – szczególnie w incydentach stricte szyfrujących.

Analiza techniczna / szczegóły „luki” (dlaczego mniej płacimy, a ataków więcej)

Na pozór mamy sprzeczność: więcej ataków, mniej płatności. W praktyce to efekt kilku mechanizmów:

1) „Claimed attacks” ≠ skuteczna monetyzacja

Wzrost liczby wpisów na leak-site’ach i publicznych „claimów” nie zawsze oznacza skutecznie przeprowadzoną kampanię kończącą się przelewem. Część publikacji to presja negocjacyjna, część – wtórne wykorzystanie wcześniej skradzionych danych, a część – zwyczajna inflacja „marketingu” gangów.

2) Przesunięcie w stronę mniejszych ofiar (wolumen zamiast „big game”)

W raporcie Chainalysis pojawia się teza o strukturalnym przesunięciu: więcej ataków wolumenowych (SMB), bo „mniejsi płacą szybciej”. Jednocześnie dane pokazują, że nawet przy rekordowej liczbie roszczeń płatności trendują w dół – co sugeruje, że przestępcy „pracują więcej dla mniejszego zwrotu”.

3) Wzrost mediany okupu: presja na „tych, którzy jednak płacą”

Choć odsetek płacących spada, rośnie mediana – co pasuje do scenariusza, w którym:

  • część organizacji (zwykle z wysokim impaktem operacyjnym, słabym DR, wysokim ryzykiem prawnym/PR) nadal płaci,
  • ale negocjacje i „pakiet wymuszeń” bywają ostrzejsze, bo przestępcy muszą kompensować niższą konwersję.

4) „Data theft only” działa gorzej niż kiedyś

Coveware wskazuje, że płacenie wyłącznie za „nieujawnienie danych” coraz częściej jest uznawane za mało skuteczne (brak weryfikowalności usunięcia danych, ryzyko odsprzedaży, re-szantażu). To obniża skłonność do płacenia w incydentach bez twardego paraliżu operacyjnego.

Praktyczne konsekwencje / ryzyko

Co to znaczy dla organizacji?

  • Ransomware nie słabnie operacyjnie, słabnie ekonomicznie „na sztukę” – co może pchać aktorów do bardziej agresywnych technik dostępu początkowego (phishing/voice, nadużycia tożsamości, exploitation) i szybszego tempa działań w sieci ofiary.
  • Ryzyko utraty danych i presji regulacyjnej pozostaje wysokie nawet przy strategii „nie płacimy” – trzeba umieć obsłużyć incydent jako problem prawny, komunikacyjny i ciągłości działania.
  • Budżety i priorytety: mniejsza „opłacalność” płacenia nie jest argumentem za oszczędzaniem na bezpieczeństwie – wręcz przeciwnie, rośnie znaczenie odporności (backup/DR), detekcji i IR.

Rekomendacje operacyjne / co zrobić teraz

Poniżej praktyczna checklista nastawiona na redukcję impaktu i „wymuszalności”:

  1. Backup i odtwarzanie (DR)
    • testy odtwarzania (nie tylko „backup exists”),
    • kopie offline/immutable,
    • RTO/RPO dopasowane do procesów krytycznych.
  2. Tożsamość i dostęp
    • MFA wszędzie, gdzie to możliwe (szczególnie VPN, poczta, zdalny dostęp, panel admina),
    • zasada najmniejszych uprawnień, przeglądy kont uprzywilejowanych,
    • hardening helpdesku (procedury resetu haseł, odporność na socjotechnikę).
  3. Detekcja i reakcja
    • EDR/XDR z sensownymi playbookami,
    • segmentacja sieci + ograniczanie ruchu lateralnego,
    • monitoring exfiltracji (nietypowe transfery, narzędzia archiwizacji, tunelowanie).
  4. Gotowość kryzysowa
    • scenariusze decyzyjne (kto decyduje, jakie kryteria),
    • kontakt do IR + prawnika ds. naruszeń + PR przed incydentem,
    • przygotowane szablony komunikacji i procedury notyfikacji.
  5. Polityka „nie płacimy” – ale z planem
    • jeśli organizacja deklaruje brak płatności, musi mieć realną zdolność do odtworzenia i obsługi konsekwencji wycieku danych (bo to dziś typowy element presji).

Różnice / porównania z innymi przypadkami

Warto uważać na porównywanie metryk „wprost”, bo raporty mierzą różne rzeczy:

  • 28% (rocznie, Chainalysis) – wskaźnik oparty o analizę płatności i obserwacje ekosystemu on-chain vs liczba zgłoszonych/claimowanych incydentów.
  • ~20% (Q4 2025, Coveware) – wskaźnik kwartalny z perspektywy incident response (próba klientów/obsługiwanych zdarzeń), często lepiej „czuły” na trendy w konkretnych segmentach rynku.

Te liczby mogą się różnić, ale kierunek jest spójny: płatność okupu coraz częściej nie jest „domyślną dźwignią” redukcji ryzyka.

Podsumowanie / kluczowe wnioski

  • 2025 r. przyniósł rekordowo niski odsetek płacących (28%) przy jednoczesnym wzroście aktywności atakujących (+50%).
  • Ekonomia wymuszeń się zmienia: mniej płatności, ale wyższa mediana – przestępcy próbują „wycisnąć więcej” z mniejszej liczby skutecznie przymuszonych ofiar.
  • Odporność operacyjna (backup/DR, IR, tożsamość) realnie obniża skłonność do płacenia, zwłaszcza w incydentach bez paraliżu systemów.
  • To nie jest „koniec ransomware”, tylko adaptacja: więcej grup, większy wolumen, więcej presji na dane i reputację.

Źródła / bibliografia

  1. BleepingComputer – omówienie danych Chainalysis i kluczowych liczb (26 lutego 2026). (BleepingComputer)
  2. Chainalysis – „Crypto Ransomware: 2026 Crypto Crime Report” (trend 2025, 28%, mediana płatności). (Chainalysis)
  3. Coveware – „Mass Data Exfiltration Campaigns Lose Their Edge in Q4 2025” (spadek płatności do ~20% kwartalnie, wnioski dot. exfiltracji). (coveware.com)
  4. Chainalysis – „Crypto Ransomware 2025…” (spadek przychodów w 2024 i tło rynkowe). (Chainalysis)
  5. The Record (Recorded Future News) – niezależne streszczenie ustaleń Chainalysis (26 lutego 2026). (The Record from Recorded Future)