Płatności okupu za ransomware spadły w III kw. 2025 roku. Skąd ten dołek — i co to znaczy dla firm?

Wprowadzenie do problemu / definicja zjawiska

W III kwartale 2025 r. branża odnotowała rekordowo niski odsetek płatności okupu — zaledwie 23% incydentów zakończyło się zapłatą. To wniosek z najnowszej analizy firmy reagowania na incydenty Coveware, która jednocześnie raportuje gwałtowny spadek średniej płatności do ~376,9 tys. USD (–66% kw./kw.) oraz medianę 140 tys. USD (–65% kw./kw.). Coveware wiąże to z coraz częstszą odmową płatności przez duże przedsiębiorstwa oraz mniejszymi żądaniami wobec firm ze średniego segmentu. Informacje podsumował również SecurityWeek.

W skrócie

• 23% – historycznie najniższy wskaźnik płatności (Q3 2025).
• 376 941 USD / 140 000 USD – średnia / mediana zapłaconego okupu (–66% / –65% vs Q2).
• Najaktywniejsze grupy: Akira, Qilin (oraz silna aktywność INC Ransom, Play, SafePay wg ZeroFox).
• Sektory najczęściej na celowniku: usługi profesjonalne, wciąż wysoko produkcja i budownictwo.
• Ekosystem wycieków: liczba aktywnych „data leak sites” osiągnęła 81 w Q3 (rekord wg ReliaQuest).
• Wolumen incydentów: ZeroFox naliczył 1 429 przypadków R&DE w Q3 (≈+5% kw./kw., –27% vs rekordowego Q1).

Kontekst / historia / powiązania

Spadek płatności to kontynuacja trendu, który przyspieszył po licznych akcjach organów ścigania i upadkach znanych marek RaaS w latach 2024–2025. Według Coveware ekonomia cyberwymuszeń uległa erozji: koszty operacyjne rosną, a „double extortion” (same wycieki danych) coraz rzadziej skłaniają duże firmy do zapłaty. Równolegle rynek fragmentuje się — aktywność mniejszych kolektywów oraz rekordowa liczba witryn wyciekowych podtrzymują presję ataków, choć nie zawsze przekładają się na przychody grup.

Analiza techniczna / szczegóły

Wektory wejścia. Coveware wskazuje na kompromitację zdalnego dostępu (VPN, bramki chmurowe, RDP), socjotechnikę (w tym nadużycia helpdesku) oraz wykorzystanie luk jako trzy filary inicjalnego dostępu. Rosnąca „zbieżność” technik to m.in. uzyskiwanie dostępu poprzez wymuszone procesy wsparcia i OAuth. W TTPs przeważa eksfiltracja danych (filary TA0010/TA0008/TA0011).

Nowe taktyki — łapówki dla insiderów. Opisany przez Coveware przypadek próby przekupstwa pracownika przez gang Medusa pokazuje, iż grupy sięgają po insider threats jako środek do wdrożenia szyfratora u celów o wyższej dojrzałości.

Aktywność grup i branż. ZeroFox ocenił, iż w Q3 Qilin i Akira należały do najaktywniejszych, a usługi profesjonalne wyraźnie zyskały na zainteresowaniu napastników (do tej pory dominowały produkcja/budownictwo/ochrona zdrowia).

Praktyczne konsekwencje / ryzyko

• Negocjacje: Linie obrony „nie płacimy” są dziś skuteczniejsze — płacenie za „zduszenie” wycieku bywa bezwartościowe, a „nuisance payments” podtrzymują rynek wymuszeń.
• Ryzyko operacyjne: Nasilenie ataków wolumenowych na mid-market oznacza krótszy czas do awarii usług i presję na zespoły IT/OT. Źle skonfigurowane dostępny zdalne, OAuth i „dług konfiguracyjny” to najsłabsze ogniwa.
• Ryzyko reputacyjne/regulacyjne: Sektory usług profesjonalnych i produkcji narażają klientów/łańcuch dostaw; wycieki danych mogą inicjować dochodzenia regulatorów.

Rekomendacje operacyjne / co zrobić teraz

1. Uderz w wektory wejścia
   • Egzekwuj MFA wszędzie, szczególnie dla VPN, bram SaaS i uprzywilejowanych kont; wymuś FIDO2 jako standard.
   • Zamknij „dług konfiguracyjny”: rotacja starych kont/kluczy, blokada nieużywanych integracji OAuth, rejestrowanie i alertowanie nietypowych logowań międzytenantowych.
2. Wykrywanie i segmentacja
   • EDR/XDR + analityka lateral movement (RDP/SSH/PSExec) z regułami anomalii.
   • Segmentacja sieci / mikrosegmentacja (zwł. IT/OT wg modelu Purdue w środowiskach krytycznych).
3. Twarde procesy helpdesku
   • Twarde procedury weryfikacji przy resetach hasła/MFA; testy socjotechniczne typu red-team.
4. Backup & odzyskiwanie
   • 3-2-1, izolacja kopii (immutable), regularne testy RTO/RPO i recovery „bez klucza napastnika”.
5. Plan na wyciek (bez płatności)
   • Z góry opracuj playbook eksfiltracji: kontakt z prawnikami ds. prywatności, ocena materiału, komunikacja kryzysowa, działania wobec klientów/partnerów — bez „nuisance payments”.
6. Program insiderski
   • Kanały zgłoszeń, szkolenia anty-korupcyjne, monitoring ryzyk personalnych; detekcja anomalii dostępu.
7. Higiena podatności
   • Patchowanie systemów brzegowych i urządzeń sieciowych; priorytetyzacja luk historycznie wykorzystywanych przez RaaS.

Różnice / porównania z innymi przypadkami

• Q3 vs Q2 2025: średnia i mediana płatności spadły o ~2/3 kwartał do kwartału, co wskazuje na zmianę „unit economics” po stronie gangów i większą determinację dużych ofiar, by nie płacić.
• „Big-game hunting” vs „mid-market at scale”: Chociaż wielkie ofiary coraz częściej odmawiają, kampanie wysokowolumenowe (np. Akira, Qilin) trzymają tempo, celując w firmy, które łatwiej zakłócić, ale które zapłacą mniejsze kwoty.
• Ekosystem wycieków: Rekord 81 aktywnych DLS w Q3 nie przełożył się na wzrost płatności — presja reputacyjna działa, ale coraz rzadziej konwertuje na przelewy.

Podsumowanie / najważniejsze wnioski

Ransomware nie zwalnia, ale płacić się „nie opłaca”. Q3 2025 to przełom: mniej płatności, mniejsze wypłaty i rosnące koszty po stronie napastników. Organizacje, które inwestują w przygotowanie do wycieku i mają twarde procesy tożsamości/remote access, skuteczniej negocjują i częściej wychodzą bez zapłaty. Dalsze utrzymanie presji — technicznej, prawnej i operacyjnej — może dalej dławić ekonomię wymuszeń.

Źródła / bibliografia

• Coveware — „Insider Threats Loom while Ransom Payment Rates Plummet” (24 października 2025) — raport Q3 2025. (coveware.com)
• SecurityWeek — „Ransomware Payments Dropped in Q3 2025: Analysis” (27 października 2025). (SecurityWeek)
• ReliaQuest — „Ransomware and Cyber Extortion in Q3 2025” (8 października 2025). (ReliaQuest)
• ZeroFox — „Q3 2025 Ransomware Wrap-Up” (3 października 2025). (ZeroFox)