Jak działa wymuszenie danych – i dlaczego zastąpiło ransomware
Ataki wymuszenia danych całkowicie pomijają szyfrowanie, kradnąc wrażliwe pliki i grożąc ich publikacją, jeśli ofiary nie zapłacą. Przy jedenastokrotnym wzroście liczby incydentów, taktyka ta szybko wyprzedza tradycyjne ransomware.
Nowa generacja cyberzagrożeń
Przez lata ransomware dominowało w krajobrazie cyberprzestępczości: atakujący szyfrowali pliki ofiary, a następnie żądali zapłaty za klucz deszyfrujący. Ale cichsza, bardziej efektywna taktyka wyprzedziła je. W wymuszeniu danych przestępcy całkowicie pomijają szyfrowanie. Kradną wrażliwe pliki – tajemnice handlowe, akta pracownicze, bazy danych klientów, wewnętrzne e-maile – i grożą ich publikacją lub sprzedażą, jeśli ofiara nie zapłaci.
Zmiana jest dramatyczna. Według Raportu o zagrożeniach Arctic Wolf z 2025 roku, incydenty wymuszenia danych wzrosły jedenastokrotnie rok do roku, skacząc z 2% do 22% wszystkich interwencji w odpowiedzi na incydenty. Grupy takie jak ShinyHunters, Silent Ransom i nowo utworzona PEAR koncentrują się teraz wyłącznie na kradzieży danych, a nie na blokowaniu systemów.
Jak przebiega atak
Typowy atak wymuszenia danych przebiega według rozpoznawalnego schematu. Najpierw atakujący uzyskują wstępny dostęp – często poprzez inżynierię społeczną. ShinyHunters, na przykład, znane jest z kampanii voice-phishingowych, w których operatorzy podszywają się pod personel wsparcia IT i podstępnie nakłaniają pracowników do udzielenia dostępu do platform logowania jednokrotnego, takich jak Okta lub Salesforce.
Po wejściu do środka, atakujący poruszają się lateralnie po środowiskach chmurowych, celując w konta inżynieryjne o wysokich uprawnieniach, repozytoria Git, potoki CI/CD i zasobniki pamięci masowej w chmurze. Po cichu eksfiltrują setki gigabajtów danych – e-maile, umowy, dane uwierzytelniające, zrzuty baz danych – zanim ofiara w ogóle wykryje włamanie.
Następnie pojawia się wiadomość z żądaniem okupu. Ofiary otrzymują żądanie określające skradzione dane, kwotę okupu (często przekraczającą 1 milion dolarów dla dużych organizacji), adres portfela kryptowalut i termin – zazwyczaj 72 godziny. Jeśli ofiara odmówi, atakujący publikują dane na stronach wycieków w dark webie lub sprzedają je konkurentom i innym przestępcom.
Dlaczego atakujący wolą to od ransomware
Odejście od ransomware opartego na szyfrowaniu wynika z chłodnej ekonomii. Szyfrowanie całej sieci wymaga wdrożenia złożonego złośliwego oprogramowania, utrzymywania infrastruktury deszyfrującej i ryzyka wykrycia przez narzędzia bezpieczeństwa punktów końcowych. Eksfiltracja danych jest natomiast szybsza, tańsza i trudniejsza do zatrzymania.
Organizacje również stały się lepsze w odzyskiwaniu danych po atakach szyfrujących. Solidne strategie tworzenia kopii zapasowych i plany reagowania na incydenty oznaczają, że wiele ofiar może przywrócić systemy bez płacenia. Ale skradzionych danych nie można „odkraść”. Gdy dane klientów lub tajemnice handlowe znajdą się w rękach atakującego, żadna kopia zapasowa nie może cofnąć szkód. Jak zauważa badanie BlackFog, sprawia to, że dźwignia jest znacznie trwalsza.
Liczby potwierdzają ten trend. VikingCloud donosi, że ransomware było obecne w 44% naruszeń w 2025 roku, w porównaniu z 32%, ale rosnący udział tych incydentów obejmował wymuszenie bez szyfrowania – podwajając się z 3% do 6% w ciągu jednego roku.
Kto jest zagrożony
Cele wymuszenia danych obejmują każdy sektor. Organizacje opieki zdrowotnej są narażone na ujawnienie dokumentacji pacjentów. Firmy finansowe ryzykują wyciek danych transakcyjnych. Firmy technologiczne mogą stracić zastrzeżony kod źródłowy. Nawet instytucje rządowe są podatne na ataki – Komisja Europejska potwierdziła w marcu 2026 roku, że ShinyHunters eksfiltrowało ponad 350 GB danych z infrastruktury chmurowej Europa.eu, w tym archiwa e-maili i wewnętrzne dane uwierzytelniające.
Małe i średnie przedsiębiorstwa są szczególnie narażone. Często brakuje im dedykowanych zespołów ds. bezpieczeństwa, co czyni je łatwiejszymi celami z mniejszymi zasobami do wczesnego wykrywania włamań.
Jak organizacje się przed tym bronią
Ponieważ wymuszenie danych omija tradycyjne zabezpieczenia przed ransomware, ochrona wymaga innego podejścia. CISA zaleca kilka podstawowych strategii:
- Architektura zero-trust – domyślnie zakładaj, że żaden użytkownik ani urządzenie nie jest godne zaufania i wymuszaj dostęp z najniższymi uprawnieniami we wszystkich systemach.
- Zapobieganie utracie danych (DLP) – wdrażaj narzędzia inline, które monitorują i blokują nietypowe transfery danych, zanim nastąpi eksfiltracja.
- Segmentacja sieci – ogranicz ruch poprzeczny, aby jedno naruszone konto nie mogło dotrzeć do całego zasobu danych.
- Szkolenie pracowników – ponieważ inżynieria społeczna pozostaje głównym punktem wejścia, regularne programy uświadamiające na temat phishingu są kluczowe.
- Planowanie reagowania na incydenty – utrzymuj i przećwicz podręcznik reagowania, który w szczególności odnosi się do scenariuszy kradzieży danych, a nie tylko szyfrowania.
Szerszy obraz
Wymuszenie danych stanowi fundamentalną ewolucję w cyberprzestępczości. Wykorzystuje to, czego organizacje nie mogą odwrócić: ujawnienie informacji. Wraz z przyspieszeniem adopcji chmury i przechowywaniem przez firmy coraz większej ilości wrażliwych danych online, powierzchnia ataku rośnie. Eksperci ds. bezpieczeństwa ostrzegają, że dopóki organizacje nie będą traktować kradzieży danych tak poważnie, jak blokowania systemów, grupy wymuszające okup będą nadal prosperować.
