Spadek opłacalności ransomware zmienia taktykę grup cyberprzestępczych

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja

Rynek ransomware wchodzi w fazę wyraźnej transformacji. Coraz mniejszy odsetek organizacji decyduje się na zapłatę okupu, a rosnąca odporność operacyjna firm, skuteczniejsze kopie zapasowe i większa presja organów ścigania ograniczają rentowność tradycyjnego modelu działania cyberprzestępców.

W efekcie grupy ransomware odchodzą od głośnych, łatwo rozpoznawalnych narzędzi ofensywnych i coraz częściej wykorzystują legalne komponenty systemów, narzędzia administracyjne oraz techniki typu living off the land. Celem jest utrudnienie wykrycia, wydłużenie czasu obecności w środowisku ofiary i zwiększenie skuteczności wymuszeń.

W skrócie

  • Spadek liczby ofiar płacących okup zmniejsza opłacalność klasycznych kampanii ransomware.
  • Napastnicy częściej stawiają na kradzież danych i szantaż publikacją zamiast samego szyfrowania.
  • Rośnie wykorzystanie PowerShell, RDP, SMB, SSH i natywnych narzędzi Windows.
  • Maleje znaczenie części klasycznych frameworków post-exploitation, które są dobrze wykrywane przez EDR i XDR.
  • Ważnym wektorem wejścia pozostają podatności w urządzeniach brzegowych, zaporach i rozwiązaniach VPN.

Kontekst / historia

Przez lata ransomware rozwijał się jako model o wysokiej skali i wysokiej monetyzacji. Ekosystem RaaS umożliwiał afiliantom szybkie prowadzenie ataków z użyciem gotowych narzędzi, a szyfrowanie danych stanowiło główny mechanizm nacisku na ofiary.

W ostatnich kwartałach sytuacja zaczęła się jednak zmieniać. Organizacje częściej odtwarzają środowiska z kopii zapasowych, lepiej zarządzają ciągłością działania i rzadziej godzą się na negocjacje z przestępcami. Jednocześnie operacje organów ścigania, przejęcia infrastruktury oraz wewnętrzne napięcia w grupach przestępczych dodatkowo osłabiają ten model biznesowy.

To doprowadziło do przesunięcia w stronę bardziej elastycznych metod wymuszenia. Zamiast polegać wyłącznie na szyfrowaniu, napastnicy częściej kradną dane, wykorzystują legalne narzędzia systemowe i starają się minimalizować ślady charakterystyczne dla tradycyjnego malware.

Analiza techniczna

Zmiana taktyki jest widoczna przede wszystkim na poziomie narzędzi i technik operacyjnych. Klasyczne frameworki post-exploitation, takie jak Cobalt Strike Beacon, są dziś znacznie lepiej profilowane przez systemy bezpieczeństwa, dlatego ich użycie w kampaniach ransomware stopniowo spada. Podobny trend dotyczy części innych wyspecjalizowanych narzędzi ofensywnych.

W ich miejsce napastnicy coraz częściej wykorzystują komponenty obecne już w systemie lub w typowym środowisku administracyjnym. Dzięki temu ograniczają konieczność wdrażania dodatkowych binariów i lepiej wtapiają się w zwykły ruch operacyjny.

  • PowerShell do wykonywania poleceń, rekonesansu i działań w pamięci,
  • natywne cmdlety do odpytywania Active Directory,
  • wbudowane polecenia, takie jak ipconfig, netstat, ping czy nltest,
  • legalne protokoły administracyjne, w tym RDP, SMB i SSH,
  • publicznie dostępne narzędzia i skrypty niewymagające tworzenia własnego malware.

Z perspektywy technicznej to strategia racjonalna i skuteczna. Uruchomienie nowego złośliwego pliku zwiększa ryzyko wykrycia przez silniki sygnaturowe i analizy behawioralne. Nadużycie legalnych funkcji systemu pozwala natomiast osiągnąć podobne efekty operacyjne przy znacznie mniejszej widoczności.

Coraz większą rolę odgrywa także eksfiltracja danych. W wielu incydentach nie jest ona już dodatkiem do szyfrowania, ale głównym narzędziem nacisku. o ile ofiara potrafi gwałtownie odtworzyć systemy, przestępcy podnoszą presję poprzez groźbę ujawnienia danych, publikacji na stronach wyciekowych albo dalszego wykorzystania pozyskanych informacji.

Istotny pozostaje również etap uzyskania dostępu początkowego. Wciąż często wykorzystywane są podatności w systemach perymetrycznych, urządzeniach edge, VPN i zaporach sieciowych. Równolegle ważnym zasobem dla napastników pozostają skradzione poświadczenia, używane zarówno do wejścia do środowiska, jak i do utrwalenia obecności oraz ruchu bocznego.

Konsekwencje / ryzyko

Dla zespołów bezpieczeństwa największym wyzwaniem jest spadek skuteczności detekcji opartej wyłącznie na znanych wskaźnikach kompromitacji i sygnaturach malware. o ile atakujący korzysta z legalnego PowerShella, standardowego RDP i prawidłowych danych uwierzytelniających, incydent może pozostać niewidoczny aż do momentu eksfiltracji danych lub uruchomienia procesu szyfrowania.

  • trudniejsza identyfikacja rekonesansu, ponieważ polecenia administracyjne nie zawsze wyglądają podejrzanie,
  • wyższa skuteczność ruchu bocznego dzięki użyciu powszechnych protokołów,
  • większe znaczenie przejętych kont i nadużyć uprawnień,
  • silniejsze skutki incydentów związanych z wyciekiem danych, choćby przy sprawnych kopiach zapasowych,
  • rosnące ryzyko dla środowisk wirtualizacyjnych, których kompromitacja może zwiększyć skalę zakłóceń.

Brak zapłaty nie oznacza dziś automatycznego zakończenia incydentu. Organizacje muszą zakładać możliwość publicznego ujawnienia danych, wtórnych oszustw, kampanii phishingowych wobec klientów oraz długotrwałych konsekwencji prawnych i reputacyjnych.

Rekomendacje

W odpowiedzi na zmianę taktyki ransomware firmy powinny przesunąć nacisk z wykrywania wyłącznie złośliwego systemu na identyfikację nadużyć tożsamości, narzędzi administracyjnych i nietypowych sekwencji działań w środowisku.

  • wdrożenie wieloskładnikowego uwierzytelniania dla zdalnego dostępu, kont uprzywilejowanych i konsol administracyjnych,
  • ograniczenie ekspozycji usług perymetrycznych oraz szybkie łatanie podatności w VPN, firewallach i urządzeniach edge,
  • monitorowanie użycia PowerShell, WMI, RDP, SMB i SSH z korelacją kontekstową,
  • segmentacja sieci i separacja środowisk administracyjnych od stacji użytkowników,
  • stosowanie modelu least privilege i regularny przegląd uprawnień kont serwisowych,
  • ochrona Active Directory i wykrywanie nietypowych zapytań katalogowych,
  • utrzymywanie kopii zapasowych offline lub logicznie odseparowanych oraz testowanie odtwarzania,
  • rozbudowa mechanizmów wykrywania eksfiltracji danych i nietypowych transferów,
  • przygotowanie procedur reagowania obejmujących również szantaż oparty na wycieku danych,
  • weryfikacja dostawców zewnętrznych posiadających uprzywilejowany dostęp do infrastruktury.

Kluczowe staje się podejście behawioralne. Pojedyncze użycie legalnego narzędzia administracyjnego nie musi oznaczać incydentu, jednak połączenie nietypowego logowania, enumeracji Active Directory, ruchu bocznego i wzrostu transferu danych powinno być traktowane jako sygnał wysokiego ryzyka.

Podsumowanie

Spadek opłacalności ransomware nie oznacza osłabienia zagrożenia, ale jego adaptację do nowych warunków. Cyberprzestępcy reagują na niższe wskaźniki płatności, większą odporność ofiar i skuteczniejsze działania obronne poprzez stosowanie metod bardziej dyskretnych, tańszych i trudniejszych do wykrycia.

Dzisiejsze kampanie ransomware coraz częściej opierają się na nadużyciu legalnych narzędzi administracyjnych, przejęciu tożsamości oraz kradzieży danych jako głównym mechanizmie nacisku. Dla organizacji oznacza to konieczność dojrzalszego monitoringu, silniejszej kontroli dostępu, lepszej widoczności działań administracyjnych i gotowości na scenariusze podwójnego wymuszenia.

Źródła

  • https://www.darkreading.com/threat-intelligence/less-lucrative-ransomware-market-makes-attackers-alter-methods
  • https://www.coveware.com/blog/2026/2/3/mass-data-exfiltration-campaigns-lose-their-edge-in-q4-2025
  • https://www.coveware.com/blog/2025/1/31/q4-report
  • https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation
  • https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025/
Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. Spadek opłacalności ransomware zmienia taktykę grup cyberprzestępczych

Powiązane

LeakNet wykorzystuje ClickFix i loader Deno działający w pamięci do wdrażania ransomware

LeakNet wykorzystuje ClickFix i loader Deno działający w pam...

4 godzin temu
Sieć polskich szpitali ofiarą ataku ransomware. Wysokie ryzyko kradzieży danych

Sieć polskich szpitali ofiarą ataku ransomware. Wysokie ryzy...

16 godzin temu
Cyberatak na Stryker zakłócił produkcję i wysyłkę po incydencie powiązanym z grupą Handala

Cyberatak na Stryker zakłócił produkcję i wysyłkę po incyden...

4 dni temu
Prymitywne malware generowane przez AI przyspiesza ataki ransomware i utrudnia atrybucję

Prymitywne malware generowane przez AI przyspiesza ataki ran...

4 dni temu
Slopoly i Hive0163: AI przyspiesza rozwój malware w kampaniach ransomware

Slopoly i Hive0163: AI przyspiesza rozwój malware w kampania...

4 dni temu
England Hockey bada incydent ransomware i możliwe naruszenie danych

England Hockey bada incydent ransomware i możliwe naruszenie...

4 dni temu
Krajobraz Zagrożeń 05-11/03/2026

Krajobraz Zagrożeń 05-11/03/2026

4 dni temu
INC Ransom uderza w ochronę zdrowia w Oceanii. Rosnące zagrożenie dla sektora krytycznego

INC Ransom uderza w ochronę zdrowia w Oceanii. Rosnące zagro...

5 dni temu

Polecane

Nowe możliwości dla przedsiębiorców w województwie śląskim

Nowe możliwości dla przedsiębiorców w województwie śląskim

15 godzin temu
"Polskie rozwiązania ws. ETS". Premier Tusk zabrał głos

"Polskie rozwiązania ws. ETS". Premier Tusk zabrał głos

16 godzin temu
Wojna w Iranie winduje ceny gazu w Europie, a zapasy są wyczerpane. Co nas czeka?

Wojna w Iranie winduje ceny gazu w Europie, a zapasy są wycz...

17 godzin temu
Miliony migrantów ruszą na Europę? Szefowa KE ostrzega

Miliony migrantów ruszą na Europę? Szefowa KE ostrzega

1 dzień temu
Ropa i wojna. Jak przygotować portfel na najgorsze?

Ropa i wojna. Jak przygotować portfel na najgorsze?

1 dzień temu
Notowania metali bazowych, węgla i paliw TABELA

Notowania metali bazowych, węgla i paliw TABELA

1 dzień temu
Ukradł rower i gitarę z kościoła. Po co?

Ukradł rower i gitarę z kościoła. Po co?

2 dni temu
Fogiel uderza w Mentzena. „Zabrakło konsekwencji”

Fogiel uderza w Mentzena. „Zabrakło konsekwencji”

2 dni temu
Milionowe straty Ukrainy przez aferę z dronami. Zatrzymano wojskowego

Milionowe straty Ukrainy przez aferę z dronami. Zatrzymano w...

3 dni temu