Cyberprzestępcy odchodzą od tradycyjnych metod, takich jak szyfrowanie danych i groźby ich ujawnienia, na rzecz bardziej destrukcyjnych strategii. Jak wynika z najnowszego raportu zespołu badawczego Palo Alto Networks Unit42, aż 86% cyberataków prowadziło do zakłócenia działalności firm, a atakujący coraz częściej stawiają na sabotaż operacyjny zamiast kradzieży danych[1]. Konsekwencją tej zmiany jest gwałtowny wzrost żądań okupu – w 2024 roku średnia kwota wyłudzeń sięgnęła 1,25 miliona dolarów, co oznacza wzrost o 80% w skali roku.
Cyberprzestępcy przyspieszają, a ataki stają się coraz bardziej złożone – to główny wniosek z analizy „Global Incident Response Report 2025” przygotowanej przez zespół badawczy Unit 42. Eksperci Palo Alto Networks przeanalizowali ponad 500 poważnych cyberincydentów w 38 krajach i wskazali na niepokojące trendy. Atakujący niszczą infrastrukturę IT, blokują dostęp do systemów i kasują kopie zapasowe, zmuszając organizacje do kapitulacji.
- Cyberprzestępcy działają coraz sprawniej i coraz lepiej wykorzystują sztuczną inteligencję do automatyzacji swoich działań. W 2024 roku cyberprzestępcy w 25% przypadków wykradali dane w mniej niż 5 godzin. To trzykrotnie szybciej niż jeszcze w 2021 roku. Tempo ataków nadal rośnie – eksperyment Unit 42 wykazał, że AI może skrócić czas kradzieży danych z dwóch dni do zaledwie 25 minut. Jednocześnie metody cyberprzestępców stają się coraz bardziej złożone. W 2024 roku aż 70% incydentów obejmowało atak na co najmniej trzy obszary IT jednocześnie – od sieci i punktów końcowych, po chmurę i infrastrukturę krytyczną – komentuje Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.
W 2024 roku 23% ataków rozpoczęło się od phishingu, który powrócił na pierwsze miejsce jako najczęstszy wektor wejścia do organizacji. Głównym czynnikiem napędzającym ten trend jest rozwój generatywnej AI, która ułatwia tworzenie przekonujących wiadomości phishingowych. 44% cyberataków było związanych z podatnościami w przeglądarkach internetowych – od adresów URL przekierowujących do fałszywych stron www po pobieranie złośliwych plików. Chmura również stała się głównym celem cyberataków. 45% przypadków kradzieży danych obejmowało wykorzystanie usług chmurowych, co utrudnia wykrycie i zablokowanie incydentu. Ponadto 29% wszystkich cyberataków miało swoje źródło w środowiskach chmurowych, a 21% prowadziło do bezpośrednich strat operacyjnych.
Raport Unit 42 wskazuje także na alarmujący wzrost ataków wewnętrznych – ich liczba w 2024 roku wzrosła trzykrotnie. Wiele z nich było wynikiem działalności grup hakerskich sponsorowanych przez Koreę Północną, które rozsyłały fałszywe oferty pracy dla informatyków, aby podczas fikcyjnej rozmowy rekrutacyjnej zainstalować na urządzeniu ofiary złośliwe oprogramowanie i uzyskać dostęp do infrastruktury IT firm.
Jednocześnie aż 75% ataków mogło zostać wykrytych wcześniej, ponieważ dowody na włamanie znajdowały się w logach. Problemem okazuje się jednak nadmierne zaufanie i brak integracji narzędzi bezpieczeństwa – organizacje używają średnio 50 różnych systemów ochrony, które często nie współpracują ze sobą, co prowadzi do powstawania luk wykorzystywanych później przez cyberprzestępców.
- W obliczu rosnącej liczby cyberataków firmy muszą przyspieszyć wdrażanie strategii Zero Trust, czyli ograniczyć domyślne zaufanie w swoich systemach. Kluczowe jest także skuteczniejsze zabezpieczenie aplikacji i środowisk chmurowych – od etapu ich tworzenia po codzienne działanie – tak, by szybko wykrywać i usuwać luki w zabezpieczeniach. Równie istotne jest usprawnienie działań zespołów bezpieczeństwa, żeby miały pełny obraz sytuacji i mogły szybciej reagować na zagrożenia. Pomogą w tym zintegrowane systemy monitorujące, obejmujące zarówno infrastrukturę lokalną, chmurę, jak i urządzenia końcowe, a także automatyczne wykrywanie i neutralizacja ataków – wyjaśnia Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.
Raport Unit 42 Global Incident Response 2025 pokazuje, że cyberzagrożenia stają się coraz bardziej złożone. Firmy muszą zabezpieczać nie tylko dane, ale całą infrastrukturę operacyjną, ponieważ sabotaż staje się nowym standardem ataku. Skuteczna obrona wymaga przejścia od reaktywnego do proaktywnego działania – to dziś klucz do stabilności i odporności biznesu.
[1] https://www.paloaltonetworks.com/blog/2025/02/incident-response-report-attacks-shift-disruption/