Ransomware +48% rok do roku. I prawie każdy atak zaczyna się od człowieka
Statystyki za maj 2026 są brutalne: według Check Point Research na świecie odnotowano 698 publicznie znanych ataków ransomware wobec 472 w maju 2025 — wzrost o 48% rok do roku. Unia Europejska odpowiada za 22% ofiar. Na liście grup dominują Qilin, The Gentlemen i DragonForce. Najciekawsze jest jednak to, jak te ataki się zaczynają.
Nie luka. Człowiek.
W tegorocznych analizach powtarza się jeden schemat: niemal każdy poważny incydent zaczął się od osoby, nie od podatności. Konsultant helpdesku przekonany przez telefon do zresetowania hasła. Pracownik, który oddał token logowania na fałszywej stronie. Dostawca, którego dostęp „po prostu odziedziczono" i nikt go nie przeglądał.
- Socjotechnika na helpdesk to dziś ulubiona brama grup ransomware.
- Phishing celuje w tokeny SSO, nie w hasła — MFA bez weryfikacji kontekstu przestaje wystarczać.
- Dostępy dostawców i firm serwisowych to najsłabiej pilnowane drzwi w większości organizacji.
Pięć rzeczy do zrobienia w czerwcu
- Procedura weryfikacji dla helpdesku — reset hasła czy MFA tylko po potwierdzeniu tożsamości drugim kanałem. Spisana, przećwiczona, bez wyjątków „bo dzwonił zestresowany dyrektor".
- Przegląd dostępów zewnętrznych — lista dostawców z dostępem do systemów, data ostatniego użycia, zasada najmniejszych uprawnień.
- MFA odporne na phishing dla ról krytycznych — klucze sprzętowe lub passkeys zamiast kodów SMS.
- Test odtworzenia z backupu — bo ransomware to ostatecznie test Twojego backupu, robiony przez kogoś obcego i w najgorszym momencie.
- Krótkie szkolenie zespołu — nie roczny kurs, tylko 30 minut o aktualnych schematach ataku.
Podsumowanie
Ransomware rośnie o połowę rok do roku, ale nie dlatego, że atakujący mają lepsze exploity — dlatego, że ludzie i procesy pozostają najsłabszym ogniwem. Weryfikacja tożsamości w helpdesku, porządek w dostępach dostawców i odporne MFA zatrzymują większość dzisiejszych ataków, zanim się zaczną.