Najważniejsze
|
Newsy
|
Recenzje
10 kwietnia 2026
Opinie: 0
Cyberprzestępcy coraz szybciej wykorzystują sztuczną inteligencję do rozpoznania celów, przygotowania narzędzi i prowadzenia ataków. Z analizy Fortinet 2026 Global Threat Landscape Report wynika, że liczba potwierdzonych ofiar ransomware wzrosła rok do roku aż o 389 proc.
Raport został przygotowany na podstawie danych telemetrycznych FortiGuard Labs i opisuje aktywny krajobraz zagrożeń oraz trendy zaobserwowane w 2025 r. Według Fortinet cyberprzestępczość coraz rzadziej przypomina serię odrębnych kampanii. Działa raczej jak spójny system, w którym atakujący obsługują cały proces ataku, od rozpoznania celu, przez uzyskanie dostępu, po wykorzystanie danych i monetyzację incydentu.
Najważniejsze dane z raportu Fortinet
| Obszar | Dane z raportu |
|---|---|
| Wzrost liczby ofiar ransomware | 389 proc. rok do roku |
| Liczba potwierdzonych ofiar ransomware | 7831 na świecie |
| Liczba ofiar w poprzednim raporcie | około 1600 |
| Czas od ujawnienia podatności do wykorzystania | 24–48 godzin dla krytycznych zagrożeń |
| Wcześniejszy średni czas TTE | 4,76 dnia |
| Liczba zdarzeń brute force | około 67,65 mld rocznie |
| Średnia liczba prób brute force dziennie | około 185 mln |
| Zmiana liczby prób brute force | spadek o 22 proc. rok do roku |
| Zmiana liczby prób wykorzystania podatności | wzrost o 25,49 proc. rok do roku |
| Wzrost liczby logów z infostealerów | 79 proc. rok do roku |
AI skraca czas potrzebny do przeprowadzenia ataku
Jednym z najważniejszych wniosków raportu jest przyspieszenie działań cyberprzestępców. Fortinet wskazuje, że czas od ujawnienia krytycznej podatności do jej wykorzystania, czyli Time-To-Exploit, wynosi obecnie 24–48 godzin. We wcześniejszych raportach średnia wynosiła 4,76 dnia.
W praktyce oznacza to, że organizacje mają coraz mniej czasu na reakcję. Fortinet podaje przykład podatności React2Shell, w przypadku której próby wykorzystania rozpoczęły się już w ciągu kilku godzin od publicznego ujawnienia luki. O powodzeniu ataku mogą więc decydować nie dni, lecz godziny, a czasem nawet minuty.
Liczba ofiar ransomware wzrosła o 389 proc.
FortiRecon zidentyfikował 7831 potwierdzonych ofiar ataków ransomware na świecie. W poprzednim raporcie Fortinet wskazywał około 1600 ofiar. Oznacza to wzrost o 389 proc. rok do roku.
Według Fortinet do tak dużego wzrostu przyczyniła się między innymi dostępność gotowych narzędzi dla cyberprzestępców. Chodzi o rozwiązania takie jak WormGPT, FraudGPT i BruteForceAI, które obniżają próg wejścia dla mniej zaawansowanych operatorów, a jednocześnie przyspieszają działania bardziej doświadczonych grup.
Najczęściej atakowane branże
| Branża | Liczba ofiar ransomware |
|---|---|
| Produkcja | 1284 |
| Usługi biznesowe | 824 |
| Handel detaliczny | 682 |
Najwięcej ofiar ransomware według krajów
| Kraj | Liczba ofiar |
|---|---|
| USA | 3381 |
| Kanada | 374 |
| Niemcy | 291 |
Chmura: problemem są tożsamości, nie tylko infrastruktura
Dane z platformy FortiCNAPP pokazują, że większość potwierdzonych incydentów chmurowych w 2025 r. wynikała ze skradzionych, ujawnionych lub niewłaściwie wykorzystywanych danych uwierzytelniających. Fortinet wskazuje więc, że atakujący coraz częściej nie muszą przełamywać infrastruktury technicznej, ponieważ wykorzystują istniejące konta i uprawnienia.
Szczególnie narażone były:
-
placówki ochrony zdrowia,
-
firmy handlu detalicznego,
-
organizacje z dużą liczbą kont użytkowników,
-
środowiska korzystające z federacyjnych modeli dostępu,
-
firmy z rozbudowanymi integracjami chmurowymi.
Takie środowiska są atrakcyjnym celem, ponieważ pojedyncze przejęte konto może dawać dostęp do wielu usług, aplikacji i zbiorów danych.
Cyberprzestępcy działają jak zautomatyzowane przedsiębiorstwa
Fortinet opisuje najbardziej zaawansowane grupy przestępcze jako struktury przypominające częściowo autonomiczne przedsiębiorstwa. Ich zapleczem są brokerzy dostępu, operatorzy botnetów, narzędzia automatyzujące działania oraz tzw. shadow agents, czyli zautomatyzowane narzędzia wspierające operatorów ataków.
W dark webie FortiRecon wykrył ofensywne narzędzia wykorzystujące AI, oferowane zarówno jako usługi, jak i gotowe produkty. Wśród nich znalazły się:
-
WormGPT i FraudGPT, czyli narzędzia wspierające działania przestępcze z użyciem generatywnej AI,
-
HexStrike AI, narzędzie wykorzystujące sztuczną inteligencję do automatycznego rekonesansu i wyznaczania ścieżek ataku,
-
BruteForceAI, narzędzie do testów penetracyjnych, które korzysta z dużych modeli językowych do analizy formularzy i prowadzenia zaawansowanych ataków wielowątkowych.
Mniej prób brute force, ale większa skuteczność
Ciekawym sygnałem z raportu jest spadek liczby prób brute force o 22 proc. rok do roku. Nie oznacza to jednak poprawy bezpieczeństwa. Według Fortinet atakujący działają skuteczniej, ponieważ lepiej dobierają cele i korzystają z bardziej inteligentnych technik.
Telemetria FortiGate IPS wykazała około 67,65 mld zdarzeń brute force na świecie. To średnio:
| Okres | Liczba prób brute force |
|---|---|
| Dziennie | około 185 mln |
| Tygodniowo | około 1,3 mld |
| Miesięcznie | około 5,6 mld |
| Rocznie | około 67,65 mld |
Jednocześnie liczba prób wykorzystania podatności wzrosła globalnie o 25,49 proc. rok do roku. Fortinet interpretuje te dane jako zmianę jakościową. Cyberprzestępcy nie muszą już generować tak dużej liczby prostych prób, ponieważ AI pomaga im wybierać lepsze cele i skuteczniejsze metody ataku.
Infostealery nadal napędzają cyberprzestępczość
Raport wskazuje również na dalszy wzrost znaczenia malware typu infostealer, czyli złośliwego oprogramowania wykradającego dane z urządzeń użytkowników. W poprzednim raporcie Fortinet odnotował wzrost liczby logów z systemów przejętych przez infostealery o 500 proc. W najnowszej analizie FortiRecon wykazał kolejny wzrost, tym razem o 79 proc.
Zmienia się także charakter sprzedawanych danych. W dark webie coraz większe znaczenie mają nie same loginy i hasła, lecz kompletne zestawy danych zawierające dodatkowy kontekst.
| Typ danych dostępnych w dark webie | Udział |
|---|---|
| Pakiety danych wykradzionych przez infostealery | 67,12 proc. |
| Listy loginów i haseł z wycieków | 16,47 proc. |
| Same wykradzione dane uwierzytelniające | 5,96 proc. |
Takie logi są dla cyberprzestępców szczególnie wartościowe, ponieważ zawierają nie tylko dane tożsamościowe, ale także informacje przechowywane w przeglądarkach. Pozwala to szybciej przejąć konta, ominąć część zabezpieczeń i ograniczyć konieczność prowadzenia klasycznych ataków brute force lub password spraying.
Najaktywniejsze infostealery
| Malware | Liczba infekcji | Udział |
|---|---|---|
| RedLine | 912 tys. | 50,8 proc. |
| Lumma | 500 tys. | 27,8 proc. |
| Vidar | 237 tys. | 13,2 proc. |
Największy udział w aktywności infostealerów miał RedLine, odpowiadający za 50,8 proc. infekcji. Kolejne miejsca zajęły Lumma i Vidar.
AI zmienia ekonomię cyberataków
Najważniejszy wniosek z raportu Fortinet jest taki, że sztuczna inteligencja nie tworzy zupełnie nowej kategorii cyberprzestępczości, lecz zwiększa skuteczność i szybkość istniejących metod. Atakujący szybciej identyfikują podatne cele, automatyzują rozpoznanie, korzystają z gotowych narzędzi i częściej opierają działania na skradzionych tożsamościach.
Dla firm oznacza to konieczność skrócenia czasu reakcji na podatności, lepszej ochrony kont użytkowników, ograniczania nadmiarowych uprawnień oraz monitorowania danych uwierzytelniających. W środowisku, w którym krytyczna luka może być wykorzystywana po 24–48 godzinach od ujawnienia, tradycyjne tempo aktualizacji i reakcji przestaje być wystarczające.
