Dane zamiast szyfru: dlaczego „data-only extortion” rośnie, a BEC wraca na szczyt (wg Arctic Wolf)

Wprowadzenie do problemu / definicja „data-only extortion”

Klasyczny ransomware to szyfrowanie danych (często + kasowanie kopii) i żądanie okupu za klucz deszyfrujący. Coraz częściej jednak widzimy wariant, w którym przestępcy rezygnują z szyfrowania i koncentrują się wyłącznie na kradzieży danych (exfiltracji) oraz szantażu ujawnieniem – to właśnie data-only extortion (czasem określane jako „extortion-only”).

Według wniosków opisywanych przez Arctic Wolf (przytoczonych przez Cybersecurity Dive), część grup uznaje, iż sam szantaż danymi może dawać lepszy zwrot: mniej hałasu operacyjnego, mniejsze ryzyko awarii szyfrowania, szybszy „time-to-pressure” i łatwiejsze negocjacje.

W skrócie

• Arctic Wolf wskazuje, iż rośnie udział incydentów nastawionych na exfiltrację i wymuszenie bez szyfrowania.
• W danych z obsługi incident response Arctic Wolf, ransomware przez cały czas stanowi dużą część spraw (ok. 44%), ale niemal standardem jest kradzież danych przed/obok szyfrowania (w raporcie: 96% przypadków ransomware zawierało exfiltrację).
• BEC (Business Email Compromise) pozostaje ogromnym wektorem strat: w ujęciu Arctic Wolf to ok. 1/4 caseloadu, a w BEC dominują kampanie oparte o phishing i przejęcie skrzynek.
• W intruzjach (poza BEC) mocno wybija się kompromitacja zdalnego dostępu: RDP, VPN, RMM; to spójne z MITRE ATT&CK T1133 External Remote Services.

Kontekst / historia / powiązania

Model „podwójnego wymuszenia” (szyfr + groźba publikacji danych) jest znany od lat, ale przewaga obrońców w obszarze backupów i odtwarzania sprawiła, iż przestępcy zaczęli mocniej „monetyzować” samą kradzież danych. CISA w przewodniku #StopRansomware wprost opisuje, iż sprawcy mogą wyłącznie wykradać dane i grozić publikacją, choćby bez użycia ransomware.

Do tego dochodzi presja ekonomiczna po działaniach organów ścigania wobec dużych „marek” ransomware oraz rosnący ekosystem affiliate / RaaS, gdzie liczy się szybkość i powtarzalność, a mniej rozpoznawalność brandu grupy.

Równolegle kwitnie BEC – to inne „ramię” cyberprzestępczości, często mniej „techniczne”, ale wyjątkowo skuteczne finansowo. FBI/IC3 zwraca uwagę na skalę i ewolucję BEC (m.in. obejście tradycyjnych przelewów przez pośredników płatności, P2P i krypto).

Analiza techniczna / szczegóły luki (TTP i wektory wejścia)

1. Dlaczego exfiltracja „wygrywa” z szyfrowaniem?

• Mniej artefaktów: brak masowych operacji szyfrowania ogranicza alarmy EDR i anomalie I/O.
• Szybsza monetyzacja: presja „zapłać albo publikujemy” może zacząć się natychmiast po kradzieży danych.
• Mniejsze ryzyko operacyjne: mniej zależności od stabilności szyfratora, mniej problemów z „odzyskiem” po stronie ofiary (bo klucz często nie jest w ogóle potrzebny).

2. Zdalny dostęp jako punkt zapalny (T1133)

Arctic Wolf wskazuje, iż w sprawach innych niż BEC dominują kompromitacje narzędzi zdalnego dostępu (RDP, popularne VPN, RMM), a ich udział rósł na przestrzeni lat.
To dokładnie klasa technik opisywana w MITRE ATT&CK jako External Remote Services (T1133): atakujący wykorzystują zewnętrznie wystawione usługi zdalne, by uzyskać initial access albo persistence.

3. BEC: przejęcie skrzynki + manipulacja procesem

W ujęciu Arctic Wolf, BEC stanowi znaczący odsetek przypadków, a phishing pozostaje podstawowym sposobem wejścia (w materiale Cybersecurity Dive: ok. 85% w badanych sprawach), z dodatkiem nadużyć „starych” skradzionych haseł.
FBI/IC3 podkreśla, iż BEC stale zmienia techniki przekierowania środków i kanały „cash-out”.

Praktyczne konsekwencje / ryzyko

1. Backup już nie „wystarczy”: przy extortion-only ryzyko to wyciek danych (RODO, tajemnice handlowe, odpowiedzialność kontraktowa), choćby jeżeli odtworzysz systemy.
2. Krótszy czas na reakcję: jeżeli exfiltracja trwa godziny/dni i kończy się szantażem, okno na przerwanie ataku jest węższe.
3. Ryzyko finansowe w BEC: straty to nie tylko pieniądze wysłane na konto przestępcy, ale też koszty prawne, przerwy operacyjne i reputacja; IC3 zwraca uwagę na skalę i utrzymujący się trend.
4. Zdalny dostęp jako single point of failure: błędnie zabezpieczony VPN/RDP/RMM daje szybki skok do domeny i danych, co Arctic Wolf opisuje jako wysoki poziom automatyzacji i „operacyjnej dojrzałości” napastników.

Rekomendacje operacyjne / co zrobić teraz

1. Zabezpiecz „initial access”

• MFA odporne na phishing (FIDO2/WebAuthn) tam, gdzie to realne – szczególnie dla VPN, paneli admin i poczty.
• Ogranicz ekspozycję usług zdalnych: wyłącz publiczne RDP; używaj bastionów/ZTNA; segmentuj dostęp.
• Twarde polityki haseł + blokady logowań i wykrywanie credential stuffing.

2. Minimalizuj skutki exfiltracji

• Wprowadź DLP / klasyfikację danych i ogranicz „flat access” do repozytoriów.
• Monitoruj nietypowy egress (duże transfery, nowe destynacje, narzędzia do synchronizacji).
• Szyfruj wrażliwe dane „at rest” i rozważ tokenizację dla krytycznych zestawów.

3. BEC: kontrola procesu płatności (nie tylko IT)

• Obowiązkowe out-of-band verification każdej zmiany numeru rachunku (telefon do znanego kontaktu, nie z maila).
• DMARC/DKIM/SPF + ochrona przed przejęciem tożsamości wątków (thread hijacking).
• Playbook na BEC: szybkie „freeze/recall” przelewów i kontakt z bankiem oraz adekwatnymi organami (IC3 akcentuje znaczenie szybkiej reakcji).

4. Gotowość IR pod „extortion-only”

CISA w przewodniku #StopRansomware kładzie nacisk na przygotowanie: kopie zapasowe, segmentacja, hardening, EDR/logowanie, procedury komunikacji i decyzje prawne – ale w scenariuszu extortion-only kluczowa jest też gotowość na incydent naruszenia danych (privacy + legal).

Różnice / porównania z innymi przypadkami

• Double extortion vs data-only extortion: w pierwszym modelu presję buduje niedostępność systemów, w drugim – ryzyko publikacji i konsekwencje prawno-biznesowe. CISA opisuje oba podejścia i fakt, iż sama exfiltracja może być „pełnym” wymuszeniem.
• Ransomware vs BEC: ransomware częściej powoduje paraliż operacyjny, BEC częściej uderza w procesy finansowe i zaufanie do komunikacji. Arctic Wolf pokazuje je jako dwie dominujące kategorie pracy IR, a FBI/IC3 – jako stale rosnący problem w ekosystemie oszustw.
• Vuln exploitation vs kompromitacja zdalnego dostępu: Arctic Wolf zauważa spadek udziału exploitów „known vulns” w ujęciu rocznym w swojej próbce oraz wysoką rolę kompromitacji remote access, co dobrze mapuje się na T1133 w MITRE.

Podsumowanie / najważniejsze wnioski

Przesunięcie w stronę data-only extortion to sygnał, iż przestępcy optymalizują biznes: mniej tarcia, szybciej do celu, większa presja wizerunkowo-prawna. W praktyce oznacza to, iż strategia „mamy backupy, więc damy radę” nie domyka ryzyka – bo dziś stawką jest często wyciek danych, nie tylko dostępność systemów.

Równolegle BEC dalej „robi wynik” – i tu technologia (mail security) musi iść w parze z kontrolą procesu finansowego. A ponieważ duża część wejść przez cały czas zahacza o zdalny dostęp (VPN/RDP/RMM), inwestycje w MFA, ograniczenie ekspozycji i monitorowanie TTP w stylu T1133 są jednymi z najbardziej opłacalnych działań prewencyjnych.

Źródła / bibliografia

1. Cybersecurity Dive – „Data-only extortion grows as ransomware gangs seek better profits” (Cybersecurity Dive)
2. Arctic Wolf (press release) – „2025 Arctic Wolf Threat Report… 96% ransomware cases included data theft” (Arctic Wolf)
3. CISA – #StopRansomware Ransomware Guide (strona) (CISA)
4. CISA – #StopRansomware Guide (PDF) (CISA)
5. MITRE ATT&CK – T1133 External Remote Services (attack.mitre.org)