Podaci, prikupljeni s više od 200 blogova koje vode operateri ransomwarea, prikazuju zabrinjavajuću sliku o tome koliko su ti napadi postali rašireni i organizirani.

SAD glavna meta

Sjedinjene Američke Države činile su više od polovice svih identificiranih incidenata u trećem tromjesečju, zabilježivši 686 slučajeva od oko 1.274 gdje su potvrđene lokacije žrtava. Kanada, Njemačka, Ujedinjeno Kraljevstvo i Francuska slijede s određenom razlikom. Analitičari povezuju tu koncentraciju s velikim brojem javnih i profitabilnih tvrtki sa sjedištem u SAD-u, uz regulatorni pritisak koji često tjera tvrtke da brzo rješavaju incidente kako bi ograničile operativnu štetu.

Proizvodnja najranjivija

Proizvodni sektor najviše je stradao posljednjih mjeseci, s 245 prijavljenih slučajeva između srpnja i rujna. Visoki troškovi proizvodnje i ovisnost o složenim lancima opskrbe čine proizvođače ranjivijima, posebno kada stariji sustavi ostaju neinstalirani ili se uvelike oslanjaju na treće strane.

Druge industrije koje su teško pogođene uključuju profesionalne i tehničke usluge, informacijsku tehnologiju, građevinarstvo i financijske usluge. Tvrtke u tim sektorima obično rukuju vrijednim podacima ili ključnim sustavima, što povećava privlačnost za operatere ransomwarea.

SME najnezaštićeniji

Mala i srednja poduzeća i dalje su glavne mete, posebno ona s manje od 200 zaposlenika i godišnjim prihodima između 5 i 25 milijuna dolara. Ograničeni proračuni za kibernetičku sigurnost i manje razvijena IT infrastruktura olakšavaju im infiltraciju. Mnogima nedostaju resursi za temeljitu istragu incidenata ili njihovo prijavljivanje vlastima.

Napadači često pretpostavljaju da će te tvrtke brže platiti otkupninu kako bi izbjegle dulje zastoje, gubitak podataka ili štetu na ugledu koja bi inače mogla osakatiti njihovo poslovanje.

Ransomware bande

Dugogodišnje kriminalne skupine i dalje dominiraju područjem ransomwarea. Sindikat Qilin predvodio je aktivnost u trećem tromjesečju s više od 240 incidenata, a slijede ga Akira, INC Ransom, Play i Safepay.

Dok su Qilin, Akira i Play aktivni već nekoliko godina, noviji igrači poput Safepaya brzo su stekli popularnost od kraja 2024. godine.
Uspon ransomware-as-a-service (RaaS),  gdje programeri iznajmljuju zlonamjerni softver i infrastrukturu povezanim tvrtkama... također je potaknuo porast. Taj model smanjuje ulaznu barijeru za napadače i pomaže kriminalnim mrežama da se brže šire.

Proaktivna zaštita

Podaci NordStellara sugeriraju da upornost ransomwarea odražava koliko je model i dalje profitabilan. Mnoge organizacije, čak i nakon plaćanja otkupnine, bore se za ponovno dobivanje punog pristupa svojim sustavima ili riskiraju suočavanje s drugim zahtjevom.

Stručnjaci savjetuju tvrtkama da se usredotoče na proaktivnu zaštitu, a ne samo na oporavak. To znači provedbu obuke o kibernetičkoj sigurnosti kako bi se identificirale phishing prijevare, provođenje višefaktorske autentifikacije i usvajanje snažnih sustava za upravljanje lozinkama.
Praćenje vanjskih ranjivosti, skeniranje procurenih podataka na dark webu i pohranjivanje kritičnih sigurnosnih kopija odvojeno od glavnih mreža također može smanjiti izloženost.
Kako sve više tvrtki usvaja hibridni i udaljeni rad, broj neupravljanih uređaja i vanjskih veza nastavlja rasti, proširujući površinu za napad. Redovite provjere nepoznatih ranjivosti i strožiji sigurnosni pregledi dobavljača sve su važniji.

Uzlazni trend

Uzlazni trend napada ransomwarea ne pokazuje znakove usporavanja. S više od 1.900 incidenata zabilježenih samo u trećem tromjesečju, 2025. godina se potvrđuje kao jedna od najaktivnijih godina za ransomware u povijesti.

Za poslovne lidere poruka je jasna: ransomware više nije rijetka ili izolirana prijetnja, već stalni izazov koji zahtijeva trajnu pažnju, bolju obuku i otpornu infrastrukturu.