W 2024 roku ransomware zszedł na dalszy plan. Cyberprzestępcy coraz rzadziej stawiają na widowiskowe ataki z szyfrowaniem danych, a coraz częściej wybierają coś znacznie bardziej cennego i mniej ryzykownego: kradzież danych uwierzytelniających. Jak pokazuje opublikowany właśnie raport IBM X-Force Threat Intelligence Index 2025, niemal połowa wszystkich cyberataków w ubiegłym roku zakończyła się przejęciem poświadczeń lub danych – i ten trend nabiera rozpędu.
Gospodarka nieautoryzowanego dostępu
Tożsamość stała się punktem wejścia, walutą i towarem. Według danych IBM X-Force, liczba e-maili zawierających tzw. infostealery – złośliwe oprogramowanie kradnące dane logowania – wzrosła w 2024 roku o 84%, a wstępne dane za 2025 mówią nawet o 180-procentowym wzroście rok do roku.
Za tą zmianą stoi nie tylko technologia, ale też kalkulacja ryzyka. Kradzież tożsamości jest cichsza, bardziej skalowalna i trudniejsza do wykrycia niż ransomware. Atakujący coraz rzadziej zostawiają po sobie ślady – często rezygnując z trwałej obecności w systemie na rzecz szybkiego przejęcia konta i monetyzacji dostępu na forach dark webu. To nowa normalność: zautomatyzowany phishing wspomagany przez AI, masowe przejęcia kont i gotowe zestawy do obchodzenia MFA.
IBM alarmuje – ransomware się kurczy, ale nie znika
Choć ransomware pozostaje najczęstszym rodzajem złośliwego oprogramowania, jego udział w krajobrazie zagrożeń maleje. IBM wskazuje na spadek liczby incydentów tego typu, co pokrywa się z globalną presją organów ścigania i likwidacją infrastruktury botnetowej. Część znanych grup, takich jak Wizard Spider czy QakBot Group, zniknęła z radarów lub przekształciła się w bardziej rozproszone operacje. Inne – jak Clop czy Lockbit – zaczęły rozwijać narzędzia dostosowane do systemów Linux, co sugeruje zmianę targetu i próbę utrzymania rentowności w nowych sektorach.
Europa pod ostrzałem, przemysł na celowniku
Europa – mimo mniejszego udziału w globalnych statystykach niż Azja czy Ameryka Północna – pozostaje jednym z najczęściej atakowanych regionów. Wysoka koncentracja infrastruktury krytycznej, złożone środowiska chmurowe i zależność od starszych technologii to połączenie, które przyciąga atakujących.
Sektor przemysłowy, czwarty rok z rzędu, był najbardziej dotknięty ransomware. Przestoje w produkcji to wciąż jeden z najbardziej kosztownych scenariuszy, co czyni ten sektor łakomym kąskiem dla cyberprzestępców – zwłaszcza tych, którzy wciąż wierzą w opłacalność szyfrowania danych.
Systemy niedoinwestowane, zabezpieczenia spóźnione
Raport IBM X-Force zwraca też uwagę na chroniczne zapóźnienia w aktualizacjach bezpieczeństwa. Ponad połowa instancji Red Hat Enterprise Linux nie miała załatanej przynajmniej jednej krytycznej luki, a 18% – pięciu lub więcej. To nie jest tylko kwestia infrastruktury IT – to cicha akceptacja ryzyka w organizacjach, które często mają trudność z wdrożeniem nawet podstawowych praktyk bezpieczeństwa.
Przestępczość się profesjonalizuje, firmy wciąż reagują z opóźnieniem
Najbardziej niepokojące w raporcie IBM X-Force nie są same dane, ale kierunek, w jakim zmierza cyberprzestępczość. Z organizacji przestępczych stają się one coraz bardziej przypominać sprawnie działające przedsiębiorstwa: korzystające z narzędzi AI, oferujące „usługi w abonamencie” i działające globalnie.
Tymczasem firmy – zwłaszcza w Europie – wciąż częściej gaszą pożary niż zapobiegają ich powstawaniu. Reaktywna strategia wobec zagrożeń przestaje być wystarczająca, a klasyczne zabezpieczenia – jak MFA – stają się podatne na nowe techniki obejścia.
