Według danych opublikowanych przez BlackFog, w pierwszym kwartale 2026 roku ujawniono publicznie 264 ataki ransomware. Jednocześnie firma zidentyfikowała aż 2160 incydentów, o których ofiary nie poinformowały opinii publicznej. Oznacza to, że liczba nieujawnionych przypadków była niemal dziesięciokrotnie wyższa niż liczba oficjalnie potwierdzonych ataków. Choć liczba publicznie zgłoszonych incydentów spadła rok do roku o 15%, to liczba ukrywanych ataków nieznacznie wzrosła względem pierwszego kwartału 2025 roku.

USA głównym celem cyberprzestępców

Najczęściej atakowanym krajem pozostają Stany Zjednoczone. Organizacje z USA odpowiadały za połowę wszystkich nieujawnionych incydentów oraz 61% przypadków, które zostały oficjalnie potwierdzone. Najaktywniejszą grupą ransomware był Qilin, odpowiedzialny za 16% nieujawnionych oraz 8% ujawnionych ataków. Wśród innych aktywnych grup znalazły się także The Gentlemen, Akira, ShinyHunters oraz INC.

W przypadku nieujawnionych incydentów najczęściej atakowaną branżą był sektor produkcyjny, odpowiadający za ponad jedną piątą wszystkich przypadków. Z kolei wśród ataków ujawnionych publicznie najwięcej dotyczyło ochrony zdrowia – 27% wszystkich incydentów. Kolejne miejsca zajęły instytucje rządowe (12%) oraz firmy IT (11%).

Analitycy zwracają uwagę, że niemal wszystkie ujawnione ataki, aż 96% obejmowały kradzież danych. To pokazuje, że cyberprzestępcy coraz częściej traktują wyciek informacji jako główne narzędzie nacisku na ofiary i źródło dodatkowego zysku.

Cyberprzestępcy stawiają na prostsze i bardziej dostępne narzędzia

Autorzy raportu podkreślają, że przestępcy coraz chętniej korzystają z gotowych, łatwo dostępnych narzędzi, które pozwalają szybciej przeprowadzać ataki i obniżają próg wejścia dla mniej zaawansowanych grup. Jednym z popularniejszych rozwiązań był Venom Stealer, malware typu infostealer rozprzestrzeniany z wykorzystaniem techniki ClickFix. Narzędzie umożliwia ciągłe wykradanie danych poprzez mechanizmy socjotechniczne.

BlackFog wskazuje również na pojawienie się nowej platformy command-and-control o nazwie Lotus C2. Framework oferuje gotową infrastrukturę do zarządzania złośliwym oprogramowaniem i utrzymywania dostępu do zaatakowanych środowisk. Dzięki modułowej budowie oraz prostocie obsługi może być wykorzystywany także przez mniej doświadczonych cyberprzestępców.

Shadow AI” nowym źródłem ryzyka

Raport zwraca także uwagę na rosnące zagrożenie związane z tzw. shadow AI, czyli wykorzystywaniem narzędzi sztucznej inteligencji bez wiedzy i zgody działów IT. Z wcześniejszych badań BlackFog wynika, że: 49% pracowników korzysta z niezatwierdzonych narzędzi AI, 51% integruje aplikacje AI z innymi platformami bez zgody organizacji, 58% używa darmowych rozwiązań AI pozbawionych zabezpieczeń klasy enterprise.

Jednocześnie sześciu na dziesięciu respondentów przyznało, że korzyści związane z szybkością działania AI są dla nich ważniejsze niż potencjalne ryzyko bezpieczeństwa.