W ostatnim raporcie Coveware omówiony został nowy model biznesowy w atakach. Autorzy tekstu twierdzą, że samo wykradanie danych nie jest już lukratywnym podejściem, a grupy ransomware będą coraz częściej polegać na szyfrowaniu, co  ma im pozwolić na maksymalizację zysków.

Autor: 5 min czytania

Po serii niezwykle skutecznych ataków polegających wyłącznie na wykradaniu danych przeprowadzonych przez znane grupy, takie jak Cl0p, inne grupy ransomware podchwyciły ten trend, kradnąc dane ofiar bez szyfrowania. Pisaliśmy o tym między innymi w tych postach.

Jednak, jak twierdzą specjaliści Coveware, kampanie wymierzone w klientów MOVEit, Cleo i Oracle E-Business Suite (EBS) dowodzą, że podejście to nie przynosi już zwrotu z inwestycji.

Hakerzy z grupy Cl0p zapoczątkowali ten trend prostą strategią: wykorzystali lukę typu zero-day w popularnym korporacyjnym produkcie do przesyłania plików i przechowywania danych, zhakowali jak najwięcej instancji w celu wykradzenia danych i wymusili na każdym zainfekowanym podmiocie zapłacenie okupu.

W 2021 roku grupa prawdopodobnie zarobiła dziesiątki milionów dolarów, stosując tę taktykę w kampanii Accellion, kiedy to ponad 25% poszkodowanych organizacji zapłaciło okup. Około 20% podmiotów dotkniętych atakiem na GoAnywhere MFT postąpiło tak samo.

W kolejnych kampaniach gotowość ofiar do zapłaty znacznie spadła: zapłaciło mniej niż 2,5% osób dotkniętych atakiem na MOVEit, a w przypadku incydentów Cleo i Oracle EBS – prawie nikt.

Według raportu trend ten był napędzany ogólną dojrzałością w obliczu naruszeń bezpieczeństwa przedsiębiorstwa: zapłacenie nie eliminuje konsekwencji prawnych i nie gwarantuje, że atakujący nie zachowają, nie ujawnią ani nie wykorzystają skradzionych informacji.

Przedsiębiorstwa podszkoliły się w zakresie wad i zalet płacenia okupu w sytuacji wykradzenia danych. Punktów „za” jest na tablicy coraz mniej, a „przeciw” coraz więcej – tłumaczą autorzy raportu.

Powyższą taktykę przyjęła również grupa wyłudzająca Shiny Hunters, ale z podobnie rozczarowującymi wynikami finansowymi. Zarówno w atakach na Snowflake, jak i Salesforce ofiary rzadko płaciły okup.

W obliczu rekordowo niskich wskaźników płatności okupów specjaliści Coveware spodziewają się, że grupy ransomware powrócą do szyfrowania danych, „które zawsze było skuteczniejszą dźwignią, zwiększającą szanse na zapłatę”.

Ponadto atakujący mogą poszukiwać dodatkowych sposobów monetyzacji dostępu do zainfekowanych sieci, wykraczających poza bezpośrednie wymuszenia, i oczekuje się, że zmniejszą skalę swojej działalności, aby zminimalizować zarówno koszty, jak i ryzyko.

Wzrost średnich płatności

Pomimo niewielkiej gotowości do zapłaty średnie płatności okupu wyniosły blisko 600 000 dolarów w czwartym kwartale ubiegłego roku (wzrost o 57% w porównaniu z trzecim kwartałem), co spowodowało wzrost mediany płatności do 325 000 dolarów (wzrost o 132% w porównaniu z trzecim kwartałem). Mediana okupu pozostaje niższa niż średnia, ponieważ ataki są wymierzone głównie w małe i średnie firmy, których możliwości finansowe są ograniczone, co podkreślają autorzy raportu.

Ogólnie rzecz biorąc, skuteczność wymuszania okupu sięgnęła około 20% w ostatnich trzech miesiącach 2025 roku, przy czym ugody o wysokiej wartości wynikały wyłącznie z wycieku danych, a skala płatności była uzależniona od wpływu incydentów.

Według Coveware organizacje wykazują zwiększoną odporność na ataki ransomware oparte na szyfrowaniu, mając możliwość przywrócenia działania bez konieczności płacenia okupu, jednak aktywność cyberprzestępców utrzymuje się na wysokim poziomie.

W czwartym kwartale ubiegłego roku najaktywniejszą grupą atakującą ransomware była Akira, odpowiadająca za około 14% obserwowanej aktywności, następnie Qilin z 13% i Lone Wolf z 12%.

Sektor usług profesjonalnych był celem największej liczby ataków ransomware – 18,92%, następnie sektor opieki zdrowotnej z 15,32%, sprzęt technologiczny z 9,91%, usługi oprogramowania z 7,21% i usługi konsumenckie z 9,01%.

„Każdy niezapłacony okup pozbawia ekosystem cyberwymuszeń tlenu. Kumulatywny efekt lepszego zapobiegania, zmniejszonego zasięgu rażenia i zdyscyplinowanego podejmowania decyzji nadal osłabia ekonomię atakujących, szczególnie w przypadku operacji RaaS o dużej skali” – konkludują autorzy.