W najnowszym raporcie „Annual Threat Report: Cybercrime on Main Street 2025” specjaliści Sophos alarmują, iż w 2024 r. ransomware odpowiadało za siedem na dziesięć interwencji zespołów reagowania w małych firmach. Nowe techniki ataków, przestarzała infrastruktura sieciowa i coraz sprytniejsze obejścia wieloskładnikowego uwierzytelniania stawiają sektor MŚP pod bezprecedensową presją.
Kluczowe ustalenia raportu
Według raportu ataki ransomware oraz próby kradzieży danych stanowiły 30 proc. wszystkich incydentów wykrywanych przez usługi Sophos Managed Detection & Response (MDR), a w przypadku wezwań do Sophos Incident Response (IR) odsetek tych interwencji sięgnął 70%. Autorzy notują jednocześnie, iż choć ogólna liczba ataków spadła nieznacznie rok do roku, rosną ich koszty – napastnicy żądają większych okupów, a czas przestoju się wydłuża.
Skrzynka e‑mail – najsłabsze ogniwo
Business Email Compromise pozostaje najszybciej rosnącym wektorem początkowego włamania. Coraz popularniejsze stają się ataki typu adversary‑in‑the‑middle, podczas których przestępca przechwytuje w czasie rzeczywistym zarówno hasło, jak i jednorazowy token MFA.
„Coraz częściej mamy do czynienia z atakami typu „adversary‑in‑the‑middle”, w których cyberprzestępca umiejscawia się pomiędzy użytkownikiem a prawdziwą stroną logowania… Dlatego firmy powinny przechodzić z uwierzytelniania wieloskładnikowego na potwierdzanie tożsamości dzięki kluczy dostępu” – podkreśla Chester Wisniewski, dyrektor ds. technologii w Sophos.
W 2024 r. klasyczne kampanie phishingowe ustąpiły miejsca bardziej wyrafinowanym metodom, takim jak email bombing (zalewanie skrzynki tysiącami wiadomości, by ukryć komunikat phishingowy), vishing (telefoniczne wyłudzenia danych) czy quishing, czyli manipulacje z użyciem kodów QR. Zjawisko nasila aktywność tzw. access brokerów, którzy po przełamaniu zabezpieczeń odsprzedają dostęp innym grupom ransomware.
Urządzenia brzegowe pod ostrzałem
W jednej czwartej potwierdzonych incydentów pierwotnym wektorem ataku były luki w firewallach i bramach VPN.
„Problem pogłębia rosnąca liczba przestarzałych urządzeń… Przestępcy nie muszą już używać niestandardowego złośliwego systemu – wykorzystują systemy firm, ukrywając się tam, gdzie specjaliści ds. bezpieczeństwa nie patrzą” – komentuje Sean Gallagher, główny analityk zagrożeń Sophos.
Co mogą zrobić MŚP?
Eksperci wskazują, iż kluczowa jest wielowarstwowa strategia ochrony: przejście z klasycznych haseł na klucze dostępu, stosowanie MFA tam, gdzie to jeszcze konieczne, oraz konsekwentne instalowanie łatek dla urządzeń brzegowych. Konieczne jest także monitorowanie sieci w modelu 24/7 – własnymi siłami lub poprzez usługi MDR.
Według danych Chainalysis globalne wypłaty okupu przekroczyły w 2024 r. 1,1 mld USD, a średni czas przestoju firm po ataku oscyluje wokół 22 dni. Choć MŚP często dysponują skromnymi budżetami na cyberbezpieczeństwo, atakujący nie okazują im taryfy ulgowej. Rosnąca dojrzałość usług ransomware‑as‑a‑service i profesjonalizacja podziemia sprawiają, iż cyberprzestępczość pozostanie najpoważniejszym wyzwaniem dla sektora na najbliższe lata.
