Sojusze gangów ransomware napędzają wzrost cyberprzestępczości: co wiemy i jak reagować (listopad 2025)

Wprowadzenie do problemu / definicja luki

Końcówka 2025 r. przyniosła wyraźny skok aktywności ransomware. Według analizy CSO Online, za wzrost odpowiada zbieg dwóch zjawisk: sezonowej intensyfikacji kampanii (Black Friday/Cyber Monday/święta) oraz sojuszy między istniejącymi grupami RaaS, które łączą infrastrukturę, narzędzia i afiliantów, aby skalować operacje i utrudniać atrybucję.

W skrócie

• +41% m/m: 594 incydenty w październiku 2025 r. (z 421 we wrześniu) – początek „złotego kwartału” cyberprzestępców. Najaktywniejszy był Qilin (ok. 29% wszystkich przypadków).
• Więcej gangów, niekoniecznie więcej ofiar: liczba aktywnych grup wzrosła o 57% r/r, a kwartalna liczba ofiar od końca 2024 r. stabilizuje się na poziomie ~1,5–1,6 tys.
• 88 aktywnych grup w Q3 2025 i nowe układy między nimi (koopetycja, współdzielone TTPs).
• Zmiana ekonomii ataków: rekordowo niski odsetek płatności okupu – 23% w Q3 2025.

Kontekst / historia / powiązania

Model Ransomware-as-a-Service (RaaS) ułatwia wejście nowym graczom: operatorzy dostarczają buildery i infrastrukturę, a afilianci wykonują intruzje oraz negocjacje. W 2025 r. obserwujemy rozrost ekosystemu (więcej marek/„wariantów”) oraz przepływ afiliantów pomiędzy usługodawcami RaaS. CSO wskazuje na relacje i deklaracje współpracy pomiędzy znanymi grupami (np. otoczenie LockBit, Qilin, DragonForce), co ma wzmocnić rekrutację i odzyskać reputację po działaniach organów ścigania w 2024 r.

Równocześnie GuidePoint Security (GRIT) raportuje, iż przy rosnącej liczbie aktywnych grup, wolumen ujawnianych ofiar utrzymuje się na „plateau”. To oznacza większą fragmentację i specjalizację – więcej band flagowych i efemerycznych marek walczy o ten sam „rynek ofiar”.

Analiza techniczna / szczegóły luki

Wektory wejścia: Z danych incydentowych wynika, iż dominują kompromitacje dostępów (VPN/SSO/SaaS, tokeny, OAuth), a także spear-phishing i nadużycia procesów helpdesk – często „inżynieria społeczna → nadanie uprawnień” zamiast klasycznego logowania na wykradzione konto. Dalej pojawiają się wrażliwości w oprogramowaniu i techniki living-off-the-land.

TTPs i taktyki wymuszeń:

• Od podwójnego do pojedynczego (data-only) wymuszenia: część grup rezygnuje z szyfrowania na rzecz samych wycieków – to szybsze operacyjnie i trudniejsze do blokowania na etapie EDR, choć… mniej skuteczne w egzekwowaniu płatności.
• „Kartelizacja”: luźne układy (udostępnianie infrastruktury, loaderów, dostępu do paneli, „outsourcing” negocjacji) umożliwiają szybsze kampanie i rotację marek po „spaleniu” brandu. Rapid7 potwierdza wzrost liczby aktywnych grup kwartał-do-kwartału (65→76→88).
• Sezonowość: październikowy skok to stały wzorzec przed szczytem zakupowym Q4 („golden quarter”). Dane NCC: +41% m/m, 594 incydenty; sektory: przemysł (28%), consumer discretionary (w tym retail, automotive), ochrona zdrowia. Geografia: głównie Ameryka Północna.

Praktyczne konsekwencje / ryzyko

• Ryzyko wtórnych zakłóceń łańcuchów dostaw (manufacturing, logistyka, automotive) w okresie najwyższego popytu; ryzyko dla szpitali (Qilin, Akira aktywne wobec opieki zdrowotnej).
• Większa nieprzewidywalność negocjacji: rotacja marek i „pośrednicy ds. negocjacji” po stronie napastników zwiększają presję na zespół IR i zarząd.
• Komplikacja atrybucji i odpowiedzialności prawnej przez współdzielenie narzędzi/sieci C2 pomiędzy grupami.
• Malejący odsetek płatności (23%) zmienia kalkulację napastników – rośnie presja na eksfiltrację i szantaż medialny, ale jednocześnie spada „motywacja” do utrzymywania długich kampanii szyfrowania.

Rekomendacje operacyjne / co zrobić teraz

1) Twarde kontrole tożsamości i dostępu (IdP, VPN, SaaS):

• Wymuś FIDO2/WebAuthn dla administracji i krytycznych aplikacji; zabroń SMS/voice OTP dla kont uprzywilejowanych.
• Włącz step-up MFA i polityki ryzyka (geolokacja, nowe urządzenia), egzekwuj Just-in-Time i PIM/PAM dla sesji uprzywilejowanych.
• Audyt tokenów i aplikacji OAuth (cofnięcie zgód, scope review, alerting na granty). (Wektory zgodne z obserwacjami CSO/Coveware).

2) „Controls that count” przeciwko RaaS:

• EDR/XDR + detekcje behawioralne (LOLBins, shadow copy deletion, masowe rename/write, WMI/PSExec).
• Network containment runbook: segmentacja + szybka izolacja hostów, playbooki na exfil-only (szybkie odcięcie egress do znanych storage’ów, S3/MEGA, rclone).
• Immutable, testowane kopie zapasowe (air-gap/obj-lock), RPO/RTO zweryfikowane w ćwiczeniu.

3) Przygotowanie na Q4 („tabletop + purple team”):

• Tabletop z udziałem zarządu (PR/komunikacja, decyzje o płatnościach zgodne z prawem, kryteria notyfikacji).
• Dwell-time drills: ćwicz wykrycie i przerwanie kill chainu przed eksfiltracją.
• Wzmacniaj helpdesk: procedury weryfikacji tożsamości (nie nadawaj dostępów „na telefon”), ochrona przed socjotechniką. (Trend z raportów Rapid7/Coveware).

4) Inteligencja zagrożeń i „brand-watch”:

• Subskrypcja CTI pod kątem TTP grup dominujących (Qilin, Akira), monitorowanie leak-site’ów i darkweb mentions. (NCC, GRIT).

5) Polityka płatności i cyber-ubezpieczenie:

• Z uwagi na rekordowo niski odsetek płatności i rosnące ryzyka prawne, zaktualizuj politykę „to pay or not to pay” (D&O, sankcje), zsynchronizuj z warunkami polisy.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• 2021–2022: dominacja kilku marek (Conti/LockBit), większy udział klasycznego szyfrowania.
• 2024–2025: dywersyfikacja marek (więcej „logo”, ale nie więcej ofiar), koopetycja i data-only extortion – potwierdzone przez GRIT i Rapid7 (więcej grup), przy jednoczesnym spadku skuteczności wymuszeń (płatności).

Podsumowanie / najważniejsze wnioski

• Wzrost ataków w Q4 jest realny i napędzany układami między gangami oraz sezonowością.
• Ekosystem się rozrasta, ale efektywność wymuszeń spada – organizacje coraz rzadziej płacą.
• Obrona powinna koncentrować się na kontrolach tożsamości, szybkiej izolacji, ochronie exfiltracji i gotowości komunikacyjno-prawnej.
• Priorytetem na najbliższe tygodnie jest egzekwowanie MFA bez SMS, higiena OAuth/SSO, testy kopii i tabletopy dla scenariuszy data-only.

Źródła / bibliografia

1. CSO Online: „Alliances between ransomware groups tied to recent surge in cybercrime” (26 listopada 2025). (CSO Online)
2. NCC Group: „Monthly Threat Pulse – Review of October 2025” (18–19 listopada 2025). (nccgroup.com)
3. GuidePoint Security (GRIT): „Active Ransomware Groups Reach an All-Time High – 57% YoY” (9 października 2025). (GuidePoint Security)
4. Rapid7: „Q3 2025 Threat Report – Ransomware alliances; 88 active groups” (12 listopada 2025). (investors.rapid7.com)
5. Coveware: „Insider Threats Loom while Ransom Payment Rates Plummet – Q3 2025” (24 października 2025). (coveware.com)