Firmy handlowe na celowniku cyberprzestępców. Co druga płaci okup za odzyskanie danych

Najnowszy raport Sophos „State of Ransomware in Retail” ujawnia, że w ubiegłym roku niemal połowa (48%) ataków ransomware na firmy zajmujące się handlem detalicznym zakończyła się zaszyfrowaniem danych. To wynik najniższy od pięciu lat, jednak równocześnie odsetek incydentów bazujących wyłącznie na wymuszeniu okupu (bez szyfrowania informacji) wzrósł trzykrotnie w porównaniu z 2023 rokiem. Eksperci Sophos zwracają uwagę, że braki kadrowe, niewystarczająca ochrona oraz ograniczona widzialność powierzchni ataku nadal utrudniają skuteczne wykrywanie i neutralizowanie zagrożeń w branży handlowej.

Najczęściej wskazywanym czynnikiem prowadzącym do udanego ataku ransomware na firmy z branży handlu detalicznego były luki w zabezpieczeniach, o których istnieniu nie wiedzieli administratorzy (46% przypadków). Tuż za nimi uplasował się niedobór specjalistycznych kompetencji, które pozwoliłyby zapobiegać zagrożeniom i zwalczać je (45%) – był to najwyższy odsetek spośród wszystkich badanych branż. Na trzecim miejscu znalazł się niewystarczający poziom ochrony, na który wskazało 44% respondentów.

Dane konsumentów wciąż na celowniku

W minionym roku zespół analityczny Sophos odnotował blisko 90 różnych grup cyberprzestępczych, które za cel ataków za pomocą ransomware lub wymuszeń okupu bazujących na zagrożeniu publikacją skradzionych informacji obrały firmy z branży handlu detalicznego. Najaktywniejszymi grupami były Akira, Cl0p, Qilin, PLAY oraz Lynx.

Jednocześnie już 8 na 10 polskich konsumentów dokonuje zakupów online, co oznacza, że do sieci trafia coraz więcej informacji – imiona i nazwiska, adresy, dane kart płatniczych czy numery telefonów. Są one przechowywane w systemach informatycznych sklepów i – gdy są nieodpowiednio chronione – dostęp do nich mogą uzyskać cyberprzestępcy w celu zaszyfrowania, sprzedaży na czarnym rynku lub całkowitego usunięcia i żądania od firm okupu za ich przywrócenie. Z danych Sophos wynika, że mediana wysokości żądanych okupów w branży handlu detalicznego podwoiła się w ciągu ostatniego roku, osiągając 2 mln dolarów (wobec 1 mln dolarów w 2024 r.). Wpływ na to miał przede wszystkim wzrost o 59% liczby żądań okupu na poziomie 5 mln dolarów lub więcej.

– Firmy z branży handlowej stoją obecnie w obliczu coraz bardziej złożonego krajobrazu zagrożeń, w którym cyberprzestępcy nieustannie wyszukują podatności – najczęściej w systemach zdalnego dostępu i urządzeniach sieciowych. Rekordowe sumy żądanego okupu tylko uwydatniają potrzebę wdrażania kompleksowych strategii bezpieczeństwa. W przeciwnym razie przedsiębiorstwa ryzykują długotrwałymi przestojami operacyjnymi oraz utratą zaufania klientów. Pocieszające jest jednak to, że coraz więcej firm dostrzega tę potrzebę i inwestuje w cyfrową ochronę. Dzięki temu zwiększają swoją gotowość do zatrzymania ataku, zanim zdąży się on rozwinąć, a także są w stanie szybciej wrócić do pełnej sprawności po incydencie – wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.

Szybszy powrót do normalności, ale kopie zapasowe wciąż zbyt rzadkie

Raport Sophos wskazuje również, że aż 45% firm z branży handlu detalicznego zdołało zatrzymać atak zanim doszło do zaszyfrowania danych. Jeszcze w zeszłym roku udało się to tylko 39% badanych. Jeśli jednak dojdzie do przejęcia informacji przez cyberprzestępców informacji, kluczowe znaczenie w ich odzyskaniu mają wykonywane we własnym zakresie kopie zapasowe (backup). Z tej opcji skorzystało tylko 62% zaatakowanych firm zajmujących się handlem detalicznym, co stanowi najniższy wynik od czterech lat. Jednocześnie aż 58% ofiar ransomware zapłaciło okup, aby odzyskać dane.
Średni koszt powrotu do pełnej sprawności, nie licząc zapłaconego okupu, wyniósł w tym roku 1,65 mln dolarów, czyli o 40% mniej niż w 2024 r. Firmy z branży handlu detalicznego coraz szybciej odbudowują się po incydencie – 51% z nich udało się to w ciągu tygodnia (rok wcześniej odsetek ten wynosił 46%).

– Skuteczne strategie bezpieczeństwa bazują na zarządzaniu ryzykiem. Aby je właściwie ocenić i kontrolować, firmy muszą mieć pełny wgląd w środowisko zagrożeń, w zasoby, które chcą chronić oraz w swój poziom zabezpieczeń. Przedsiębiorstwa, które przyjmują proaktywne podejście do cyfrowej ochrony, potrafią nie tylko skuteczniej zapobiegać atakom, ale też znacznie szybciej się po nich podnosić. To podejście łączy zarządzanie zasobami, regularne aktualizacje aplikacji i systemów oraz wykorzystanie usług do monitorowania i reagowania na zagrożenia – podkreśla Chester Wisniewski.

Chociaż firmy handlowe powinny zachowywać czujność przez cały rok, to okres sezonowych wyprzedaży wymaga od nich szczególnej uwagi. Wzmożony ruch na platformach e-commerce to dla cyberprzestępców idealny moment, aby nie tylko wykorzystać luki w zabezpieczeniach sklepów, ale także uderzyć w samych konsumentów. Oszuści, oprócz ataków ransomware, przygotowują fałszywe wiadomości e-mail, SMS-y oraz posty w mediach społecznościowych z pozornie atrakcyjnymi promocjami, które w rzeczywistości prowadzą do stron wyłudzających dane osobowe, loginy i hasła czy informacje płatnicze. Dlatego zarówno sprzedawcy, jak i klienci, powinni zachować w tym okresie szczególną ostrożność.

Raport Sophos „State of Ransomware in Retail 2025” dostępny jest na stronie:
www.sophos.com/en-us/whitepaper/state-of-ransomware-in-retail

O badaniu

Dane do raportu „State of Ransomware in Retail 2025” pochodzą z niezależnego badania przeprowadzonego wśród 361 przedstawicieli firm z branży handlu detalicznego. Ankietowane przedsiębiorstwa zatrudniały od 100 do 5 tys. pracowników i pochodziły z 16 krajów. Badanie zrealizowano między styczniem a marcem 2025 r., a respondenci odpowiadali na pytania dotyczące doświadczeń związanych z ransomware z ostatnich 12 miesięcy.

Raport Gemius „E-comerce w Polsce 2025”:
gemius.com/documents/81/RAPORT_E-COMMERCE_2025.pdf