Raport Fortinet: wzrost o 389% liczby ofiar ransomware rok do roku

Fortinet wykorzystuje dane wywiadowcze dotyczące zagrożeń, aby zakłócać działalność globalnych cyberprzestępców oraz przekładać zdobytą wiedzę na praktyczne rekomendacje

Fortinet, światowy lider w dziedzinie cyberbezpieczeństwa, który zapewnia konwergencję sieci i rozwiązań ochronnych, opublikował opracowany corocznie przez zespół FortiGuard Labs dokument 2026 Global Threat Landscape Report. Zebrane w nim informacje zostały przygotowane wyłącznie na podstawie danych telemetrycznych FortiGuard Labs i przedstawiają obraz aktywnego krajobrazu zagrożeń oraz trendów zaobserwowanych w 2025 roku. Raport zawiera także kompleksową analizę technik wykorzystywanych w cyberatakach zgodnie z frameworkiem MITRE ATT&CK. Dane te pokazują, że cyberprzestępczość nie funkcjonuje już jako seria odrębnych kampanii. Działa raczej jak spójny system, w którym cyberprzestępcy realizują cały proces ataku od początku do końca, a stosowanie przez nich autonomicznych narzędzi wspierających działania dodatkowo skraca czas potrzebny do przeprowadzenia ataku.

– Cyberprzestępczość jest jednym z najbardziej powszechnych i kosztownych zagrożeń na świecie, a nasz najnowszy raport pokazuje, że cyberprzestępcy zaczynają wykorzystywać autonomiczne agentowe systemy AI do prowadzenia coraz bardziej zaawansowanych ataków – mówi Derek Manky, Chief Security Strategist oraz globalny wiceprezes w dziale Threat Intelligence w Fortinet FortiGuard Labs. – Wraz ze wzrostem poziomu wykorzystania sztucznej inteligencji przez przestępców zespoły odpowiedzialne za bezpieczeństwo muszą rozwijać swoją działalność operacyjną i wdrażać narzędzia bazujące na AI, które pozwalają reagować z taką samą szybkością, z jaką rozwijają się współczesne zagrożenia.

Techniki ataków i branże będące celem cyberprzestępców

Współczesna cyfrowa przestępczość przekracza granice państw, sektorów gospodarki, a często także tradycyjne definicje samego przestępstwa. Raport FortiGuard Labs wskazuje na kilka kluczowych zjawisk:

• Tempo działania staje się dziś jednym z kluczowych czynników ryzyka, ponieważ skraca się czas wykorzystania podatności. Sztuczna inteligencja przyspiesza rozpoznanie celu, przygotowanie narzędzi i realizację ataków. Dane FortiGuard Intelligence pokazują, że w przypadku krytycznych zagrożeń czas od ujawnienia podatności do jej wykorzystania (Time-To-Exploit, TTE) wynosi obecnie zaledwie 24-48 godzin. We wcześniejszych raportach było to średnio 4,76 dnia. Praktyka pokazuje, że o powodzeniu ataku mogą decydować nawet minuty – próby wykorzystania podatności React2Shell rozpoczęły się już w ciągu kilku godzin od jej publicznego ujawnienia.

• Liczba ofiar ransomware gwałtownie rośnie: FortiRecon zidentyfikował na świecie 7831 potwierdzonych ofiar ataków ransomware – wobec około 1600 wskazanych w dokumencie Fortinet 2025 Global Threat Landscape Report, co oznacza wzrost o 389 proc. rok do roku. Przyczyniła się do tego dostępność gotowych narzędzi dla cyfrowych przestępców, takich jak WormGPT, FraudGPT i BruteForceAI. Trzy najczęściej atakowane branże to: produkcja (1284 ofiary), usługi biznesowe (824) i handel detaliczny (682). Najwięcej ofiar odnotowano w: USA (3381), Kanadzie (374) i Niemczech (291).

• Rosnąca liczba cyfrowych tożsamości zwiększa ryzyko w środowiskach chmurowych: Dane zebrane przez platformę FortiCNAPP (Cloud-Native Application Protection Platform) pokazują, że większość potwierdzonych incydentów chmurowych w 2025 roku wynikała ze skradzionych, ujawnionych lub niewłaściwie wykorzystywanych danych uwierzytelniających, a nie z ataków na samą infrastrukturę. Analiza branżowa wskazuje, że głównym celem były placówki ochrony zdrowia oraz firmy handlu detalicznego. Duża liczba kont użytkowników, federacyjne modele dostępu oraz złożone integracje chmurowe czynią te podmioty szczególnie podatnymi na ataki.

Jak działają współcześni cyberprzestępcy wykorzystujący AI?

Jak przewidywali autorzy raportu FortiGuard Labs Cyberthreat Predictions for 2026, najbardziej zaawansowane grupy przestępcze działają jak częściowo autonomiczne przedsiębiorstwa. Wspierają je zautomatyzowane narzędzia (shadow agents), brokerzy dostępu i operatorzy botnetów oferujący swoje usługi na żądanie. Oto kluczowe wnioski zaprezentowane w dokumencie 2026 Global Threat Landscape Report:

• Zautomatyzowane autonomiczne narzędzia obniżają wymagania dotyczące kompetencji operatorów, jednocześnie przyspieszając tempo działań. Dane z dark webu pozyskiwane przez rozwiązanie FortiRecon wykazały obecność wykorzystujących sztuczną inteligencję ofensywnych narzędzi, oferowanych zarówno jako usługi, jak i produkty. Obejmują one m.in. ulepszone wersje WormGPT i FraudGPT, a także nowe rozwiązania, takie jak HexStrike AI (ofensywne narzędzie wykorzystujące AI do automatycznego prowadzenia rekonesansu i wyznaczania ścieżek ataku) oraz BruteForceAI (narzędzie do testów penetracyjnych, które integruje duże modele językowe LLM do inteligentnej analizy formularzy i potrafi przeprowadzać zaawansowane wielowątkowe ataki).

• Dzięki AI cyberprzestępcy działają skuteczniej, zamiast pracować ciężej. Dane telemetryczne zgromadzone przez rozwiązanie FortiGate IPS odnotowały spadek liczby prób brute force o 22 proc. rok do roku, co wskazuje na wzrost efektywności działań przestępców. Dzięki zoptymalizowanym, bardziej inteligentnym technikom brute force atakujący podejmują mniej prób wobec lepiej dobranych celów, zwiększając prawdopodobieństwo powodzenia dla każdej testowanej pary danych uwierzytelniających. Odnotowanych zostało około 67,65 miliarda zdarzeń brute force na świecie, czyli około 185 milionów prób dziennie, 1,3 miliarda tygodniowo oraz 5,6 miliarda miesięcznie. Jednocześnie dane wywiadowcze wskazały na wzrost liczby prób wykorzystania podatności na świecie o 25,49 proc. rok do roku.

• Skradzione zestawy danych są obecnie częściej wykorzystywane niż wycieki danych uwierzytelniających. Pracujący w strukturach FortiGuard Labs autorzy ubiegłorocznego dokumentu 2025 Global Threat Landscape Report odnotowali wzrost o 500 proc. liczby logów pochodzących z systemów przejętych przez malware typu infostealer. W 2026 roku dane FortiRecon wykazały kolejny wzrost – tym razem o 79 proc. – oraz przesunięcie w kierunku kradzieży bardziej kompletnych zestawów danych, wspieranej przez autonomiczne systemy AI. W obrocie bazami danych w dark webie dominowały pakiety danych wykradzionych przez malware typu infostealer, które stanowiły 67,12 proc. oferowanych i udostępnianych zbiorów. Wyprzedziły one listy loginów i haseł pochodzących z różnych wycieków (16,47 proc.) oraz same wykradzione dane uwierzytelniające (5,96 proc.). Tego typu logi przyczyniają się do ograniczenia nakładu pracy po stronie atakujących, ponieważ zawierają nie tylko dane tożsamościowe, ale także dodatkowe informacje kontekstowe, w tym dane przechowywane w przeglądarkach, co umożliwia ich natychmiastowe wykorzystanie i daje szybsze efekty niż klasyczne ataki brute force czy password spraying.

• Złośliwe oprogramowanie wykradające dane uwierzytelniające nadal pozostaje istotnym elementem cyberprzestępczego ekosystemu. Szkodliwe narzędzia wykradające dane wciąż stanowią dochodowy segment rynku i jedno z głównych źródeł pozyskiwania informacji do wykorzystania w kolejnych atakach. Telemetria narzędzia FortiRecon pokazuje, że aktywność w tym obszarze była zdominowana przez RedLine (912 tys. infekcji, 50,8%), Lumma (500 tys. infekcji, 27,8%) oraz Vidar (237 tys. infekcji, 13,2%).

Przekuwanie wiedzy o zagrożeniach w konkretne działania: zakłócanie działalności ekosystemów cyberprzestępczych

Fortinet zobowiązuje się do aktywnego działania na rzecz ograniczania cyberprzestępczości poprzez gromadzenie i udostępnianie informacji o zagrożeniach oraz bezpośrednie zaangażowanie w walkę z cyfrowymi zagrożeniami na skalę globalną.

Niedawna wspólna operacja, kierowana przez INTERPOL i wspierana przez Fortinet w ramach inicjatywy World Economic Forum Cybercrime Atlas, doprowadziła do rozbicia jednej z sieci cyberprzestępczych. Operacja Red Card 2.0 przyczyniła się do likwidacji infrastruktury oraz zatrzymania osób odpowiedzialnych za internetowe oszustwa, wyłudzenia za pośrednictwem płatności mobilnych oraz fałszywe wnioski kredytowe w Afryce. Fortinet jest członkiem założycielem Cybercrime Atlas – globalnej inicjatywy współpracy sektora publicznego i prywatnego prowadzonej przez World Economic Forum, która wykorzystuje ogólnodostępne źródła informacji do mapowania sieci cyberprzestępczych, identyfikowania słabych punktów ich infrastruktury oraz wspierania wspólnych działań operacyjnych prowadzonych z organami ścigania, takich jak niedawne operacje Red Card 2.0 i Serengeti 2.0.

2026 Global Threat Landscape Report pokazuje, że wspieranie działań zakłócających działalność cyberprzestępców nigdy nie było tak istotne jak obecnie. Aby pomóc obrońcom wyprzedzać ich działania, Fortinet oraz Crime Stoppers International uruchomiły program Cybercrime Bounty, który zapewnia obywatelom i etycznym hakerom bezpieczny oraz anonimowy kanał przekazywania informacji o cyfrowych zagrożeniach.
Fortinet zachęca również do zapoznania się z usługami doradczymi FortiGuard Labs, które łączą zaawansowane technologie i wiedzę ekspertów, pomagając przedsiębiorstwom wzmacniać poziom bezpieczeństwa jeszcze przed pojawieniem się zagrożeń. Z kolei FortiGuard Outbreak Alerts dostarcza kluczowych informacji o trwających cyberatakach, które mogą mieć poważne konsekwencje dla firm, instytucji i całych branż. W przypadku incydentu FortiGuard Labs zapewnia szybkie działania reakcyjne oraz pogłębioną analizę śledczą, aby ograniczyć skutki ataku i zapobiec kolejnym naruszeniom.

Więcej informacji o zagrożeniach, które będą kształtować krajobraz cyberbezpieczeństwa w 2026 roku i ich znaczeniu dla przedsiębiorstw, można zdobyć podczas webinaru FortiGuard Labs poświęconego temu tematowi:
global.fortinet.com/lp-en-wc-globalthreat