Rok rekordowych wykupów i AI-ataków. Cyberbezpieczeństwo 2025 w liczbach
Rok 2025 zapisze się w historii jako moment, w którym cyberprzestępczość przekroczyła próg 10,5 biliona dolarów rocznych strat globalnie, stając się trzecią największą gospodarką świata – zaraz po USA i Chinach. Tylko ransomware wygenerował straty rzędu 57 miliardów dolarów, przy czym średni koszt pojedynczego ataku wynosił 5,5-6 milionów dolarów, a więc prawie dwukrotnie więcej niż rok wcześniej.
Niestety, Polska znalazła się na celowniku tych ataków, bo według danych ESET to właśnie w naszym kraju doszło do 6% wszystkich wykrytych ataków ransomware na świecie. Jest to proporcjonalnie więcej niż w innych bogatszych krajach, takich jak np. USA.
Mnie osobiście niepokoi bardzo fakt, że AI przestało być wyłącznie narzędziem stosowanym do obrony i celów pokojowych, a przekształciło się w główną broń przestępców, co pokazują straty z oszustw z wykorzystaniem deepfake sięgające 897 milionów dolarów, z czego 410 milionów przypadło tylko na pierwsze półrocze 2025 roku.
Sprawdź ofertę butów taktycznych Bates »
Rekordowa skala i specyfika Polski
Średni wykup ransomware wzrósł dramatycznie, bo z 400 tysięcy dolarów w 2023 roku do 2,73 miliona w 2024, podczas gdy najwyższa potwierdzona płatność to rekordowe 75 milionów dolarów, wpłacone przez firmę z listy Fortune 50 na rzecz grupy Dark Angels.
Służba zdrowia również bardzo dotkliwie odczuwa skutki ataków, bo średnimi koszt naruszenia danych plasuje się na poziomie 9,8 miliona dolarów w 2024 roku i prognozami przekroczenia 12 milionów do końca 2026.
Sytuacja Polski jest naprawdę alarmująca. Dane ESET za pierwsze półrocze 2025 roku pokazują, że znajdujemy się na pierwszym miejscu pod względem odsetka wykrytych ataków ransomware na całym świecie. Aż 88% polskich firm doświadczyło cyberataku lub naruszenia danych, ale tylko 59% wykorzystuje podstawowe oprogramowanie zabezpieczające.
Poziom (cyber)świadomości jest dramatycznie niski, bo zaledwie 19% polskich pracowników rozumie termin „ransomware”, a aż 52% nie uczestniczyło w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat.
Spektakularne ataki 2025 roku
Najbardziej medialnym i spektakularnych atakiem roku był atak na Jaguar Land Rover, który wydarzył się 31 sierpnia 2025 i w efekcie sparaliżował produkcję firmy na ponad miesiąc, co doprowadziło do strat na poziomie 2,5 miliarda dolarów (1,9 miliarda funtów) nie tylko dla zaatakowanej firmy, ale wielu gałęzi brytyjskiej gospodarki które znalazły się w łańcuchu dostaw – w sumie ponad 5000 organizacji.
Cyber Monitoring Centre sklasyfikowało ten incydent jako najbardziej kosztowne wydarzenie cybernetyczne w historii Wielkiej Brytanii, a Bank Anglii wskazał atak jako jeden z powodów spowolnienia wzrostu PKB w kraju.
W Polsce sytuacja jest również bardzo alarmująca. W pierwszym kwartale 2025 roku liczba ujawnionych ataków ransomware wzrosła o 126% w porównaniu z rokiem poprzednim, dotykając zarówno sektora prywatnego, jak i publicznego. 17 marca 2025 roku firma SMYK, posiadająca ponad 250 sklepów dla dzieci została zaatakowana przez ransomware.
W nocy z 12 na 13 stycznia 2025 roku firma EuroCert, czołowy dostawca kwalifikowanych podpisów elektronicznych w Polsce, również padła ofiarą ransomware, który zaszyfrował serwery i prawdopodobnie skradł dane osobowe klientów, kontrahentów i pracowników, w tym numery PESEL i serie dowodów. Wśród poszkodowanych znaleźli się klienci tacy jak Miasto Stołeczne Warszawa, PKP, Poczta Polska, Scania, Warbud i IBM.
15 stycznia 2025 roku Zakład Usług Komunalnych w Szczecinie padł ofiarą ataku ransomware, który zaszyfrował systemy obiegu dokumentów i programy księgowe. 18 marca 2025 zostały zaatakowane Starostwo Powiatowe oraz Powiatowy Zespół Ekonomiczno-Administracyjny Szkół i Placówek w Piszu.
Według portalu Ransomware.Live, polskie firmy były atakowane przez grupy takie jak Qilin (Klima-Therm, październik 2025), Everest (ANIA KRUK, październik 2025), Nova (M3 Group, październik 2025) oraz inne grupy specjalizujące się w tego typu atakach. Lista firm objętych atakami jest długa i znajdują się na niej także Asseco, Powiatowy Urząd Pracy w Żorach, Hydro-Vacuum S.A., Suder&Suder i CD Projekt.
W obszarze infrastruktury krytycznej, w marcu 2025 roku Polska Agencja Kosmiczna (POLSA) potwierdziła cyberatak na swoją infrastrukturę IT. W maju 2025 roku atak DDoS sparaliżował polski rejestr PESEL, czasowo blokując dostęp do kluczowych usług rządowych, w tym służby zdrowia i systemów podatkowych.
W kwietniu 2025 systemy Platformy Obywatelskiej zostały zaatakowane tuż przed wyborami, a w sierpniu 2025 służbom udało się zapobiec cyberatakowi na wodociągi w największych polskich miastach.
Dominujące metody ataku
Technologia deepfake jest niemalże doskonała i dzisiaj wystarczy 20-sekundowej próbki prawdziwego głosu, by go sklonować, podczas gdy ludzka zdolność detekcji fałszywych nagrań pozostaje na poziomie 55-60%.
W pierwszym półroczu 2025 odnotowano 580 incydentów deepfake, czterokrotnie więcej niż w całym 2024 roku. Natomiast ataki na dane do logowania (username i hasło) stanowią aż 86% naruszeń i reprezentują aż 71% wzrost liczony w stosunku rok do roku. Niestety, aż 97% ataków na tożsamość to ataki typu password-spraying.
Analizując przyczyny ataków, nie można pominąć ataków na łańcuch dostaw, które to tylko w sektorze zdrowia wzrosły o 30%, i są wymierzone w firmy obsługujące szpitale i przychodnie, co w efekcie powoduje też zakłócenia dla jednostek służby zdrowia, a kalkulacje mówią, że do 2026 roku takie przestoje będą kosztować 80,6 miliarda dolarów.
Wykorzystywanie znanych exploitowalnych podatności, a więc takich, które można zaatakować, korzystając ze znanego złośliwego oprogramowania, jest najczęstszą techniczną przyczyną ataków ransomware. Niestety, każdego roku liczba znanych podatności również się zwiększa i w stosunku do roku 2024 wzrosła o ponad 50%.
W sierpniu 2025 roku badacze ESET ujawnili PromptLock, pierwszy udokumentowany prototyp ransomware wykorzystujący duże modele językowe (LLM) do generowania dynamicznych skryptów ataku, selekcji wrażliwych plików i tworzenia spersonalizowanych notatek z żądaniem okupu.
Lekcje i prognozy
Rok 2025 bezlitośnie pokazał, że aż 95% naruszeń wynika z błędu ludzkiego, a 90% ataków ransomware koncentruje się na kopiowaniu danych zamiast szyfrowania. Aż 86% ataków wykorzystuje skradzione dane do logowania, a średni czas przestoju podczas takiego ataku wynosi aż 24 dni.
AI stało się bronią generującą setki milionów dolarów strat i to właśnie Polska zajęła pierwsze miejsce, jeśli chodzi o liczbę ataków typu ransomware.
Przeczytaj także: Nowa przestrzeń rozmów o cyberświecie >>
Zero Trust to dzisiaj must-have, a zdolność szybkiego powrotu do działania czyli (MTR) stała się kluczową metryką. Służba zdrowia to najbardziej narażony sektor, bo tam grupy przestępcze upatrują największe zyski, a prognozy mówią o kolejnych 40% zaatakowanych systemów i 60% szpitali z zakłóceniami opieki do 2026.
Dlatego już dzisiaj każda firma czy organizacja musi potrafić odpowiedzieć na pytanie: „czy będziemy gotowi, gdy dojdzie do ataku?”, bo nikt już dzisiaj nie ma wątpliwości, że atak nastąpi.
Artykuł powstał na podstawie analizy 17 źródeł branżowych, obejmujących raporty Cybersecurity Ventures, ESET, Microsoft, Sophos, Check Point Research, Google Cloud, Fortinet i innych wiodących instytucji badawczych.

Komentarz: Joanna Wziątek-Ładosz
Ekspertka ds. cyberbezpieczeństwa z 15-letnim doświadczeniem w IT i nowych technologiach. Autorka podcastu “Cyberbezpieczeństwo po ludzku”. Certyfikat MIT i Harvard.













