Liczba ofiar ataków ransomware na świecie wzrosła o 389 proc. rok do roku – z około 1600 do 7831 potwierdzonych przypadków – wynika z raportu Fortinet 2026 Global Threat Landscape Report przygotowanego przez FortiGuard Labs. Handel detaliczny, który w e-commerce stanowi kluczowy segment, znalazł się na trzecim miejscu wśród najczęściej atakowanych branż z 682 ofiarami, ustępując tylko produkcji (1284) i usługom biznesowym (824).

Kluczowe dane

• 7831 ofiar ransomware na świecie – wzrost o 389 proc. r/r wobec roku poprzedniego.
• Czas wykorzystania podatności (TTE) skrócił się z 4,76 dnia do 24-48 godzin.
• Handel detaliczny trzecim celem cyberprzestępców (682 ofiary) – istotny sygnał dla e-commerce.
• Próby brute force spadły o 22 proc. r/r, ale exploity wzrosły o 25,49 proc. – ataki są skuteczniejsze.

Handel detaliczny w czołówce celów ransomware

Według danych FortiRecon, jednostki wywiadu zagrożeń Fortinet, handel detaliczny odnotował 682 potwierdzone ofiary ataków ransomware w 2025 roku. Branża znalazła się na trzecim miejscu globalnego rankingu, za produkcją (1284 ofiary) i usługami biznesowymi (824 ofiary). W ujęciu geograficznym najwięcej ofiar zarejestrowano w USA (3381), Kanadzie (374) i Niemczech (291). Skala ataków na sektor handlowy pokazuje, że sklepy internetowe i operatorzy e-commerce stają się coraz częstszym celem zorganizowanych grup cyberprzestępczych. Wzrost napędzany jest dostępnością gotowych narzędzi AI dla przestępców, takich jak WormGPT, FraudGPT czy BruteForceAI, które obniżają barierę wejścia i przyspieszają przygotowanie ataku.

AI skraca czas ataku do godzin

Jednym z najważniejszych wniosków raportu jest dramatyczne skrócenie czasu od ujawnienia podatności do jej wykorzystania (Time-To-Exploit, TTE). Wcześniej wynosił on średnio 4,76 dnia – obecnie w przypadku krytycznych zagrożeń TTE wynosi zaledwie 24-48 godzin. Próby wykorzystania podatności React2Shell rozpoczęły się w ciągu kilku godzin od jej publicznego ujawnienia. Sztuczna inteligencja przyspiesza rozpoznanie celu, przygotowanie narzędzi i realizację ataków, co oznacza, że firmy mają coraz mniej czasu na wdrożenie poprawek po opublikowaniu informacji o nowej luce bezpieczeństwa.

Cyberprzestępcy wykorzystują zautomatyzowane narzędzia AI do prowadzenia rekonesansu i wyznaczania ścieżek ataku. Rozwiązania takie jak HexStrike AI automatycznie przeprowadzają rekonesans, a BruteForceAI integruje duże modele językowe do inteligentnej analizy formularzy, umożliwiając zaawansowane wielowątkowe ataki. „Cyberprzestępcy zaczynają wykorzystywać autonomiczne agentowe systemy AI do prowadzenia coraz bardziej zaawansowanych ataków” – powiedział Derek Manky, Chief Security Strategist i globalny wiceprezes ds. Threat Intelligence w Fortinet FortiGuard Labs. – „Zespoły odpowiedzialne za bezpieczeństwo muszą wdrażać narzędzia bazujące na AI, które pozwalają reagować z taką samą szybkością, z jaką rozwijają się zagrożenia.”

Ataki skuteczniejsze, nie liczniejsze

Dane FortiGate IPS pokazują paradoksalny trend: liczba prób brute force spadła o 22 proc. rok do roku, podczas gdy liczba prób wykorzystania podatności wzrosła o 25,49 proc. Odnotowano około 67,65 miliarda zdarzeń brute force na świecie – średnio 185 milionów dziennie i 5,6 miliarda miesięcznie. Spadek liczby prób przy jednoczesnym wzroście skuteczności oznacza, że atakujący stosują bardziej precyzyjne techniki: mniej prób, lepiej dobranych celów, wyższe prawdopodobieństwo powodzenia na każdą testowaną parę danych uwierzytelniających.

Dominującym wektorem ataków pozostają dane wykradzione przez malware typu infostealer, który stanowi 67,12 proc. pakietów oferowanych w dark webie. Wyprzedza on listy loginów i haseł z wycieków (16,47 proc.) oraz same skradzione dane uwierzytelniające (5,96 proc.). Wśród narzędzi infostealer dominują RedLine (912 tys. infekcji, 50,8 proc.), Lumma (500 tys., 27,8 proc.) i Vidar (237 tys., 13,2 proc.).

Skradzione dane uwierzytelniające głównym zagrożeniem w chmurze

Platforma FortiCNAPP wykazała, że większość incydentów w środowiskach chmurowych wynika ze skradzionych, ujawnionych lub niewłaściwie wykorzystanych danych uwierzytelniających, a nie z ataków na infrastrukturę. Głównymi celami ataków na chmurę są placówki ochrony zdrowia oraz firmy handlu detalicznego. Duża liczba kont użytkowników, federacyjne modele dostępu i złożone integracje chmurowe czynią te podmioty szczególnie narażonymi. Dla sklepów internetowych operujących na infrastrukturze chmurowej oznacza to, że ochrona tożsamości cyfrowych i zarządzanie uprawnieniami są równie ważne jak zabezpieczenie samej platformy sprzedażowej.