Wprowadzenie do problemu / definicja luki
Amerykańska jednostka Financial Crimes Enforcement Network (FinCEN) opublikowała świeżą Financial Trend Analysis dotyczącą ransomware za lata 2022–2024. Z danych wynika, iż w tym okresie odnotowano 7 395 raportów BSA dotyczących 4 194 incydentów, a łączna wartość opłaconych okupów przekroczyła 2,1 mld USD. Rok 2023 był rekordowy – ok. 1,1 mld USD płatności i 1 512 incydentów – po czym w 2024 r. nastąpił spadek zarówno liczby zgłoszeń (1 476), jak i wartości płatności (ok. 734 mln USD).
W skrócie
- $2,1 mld w okupach w latach 2022–2024 (BSA/SAR). Rekord w 2023 r. (ok. $1,1 mld), spadek w 2024 r. do ok. $734 mln.
- Bitcoin dominuje jako metoda płatności (~97% transakcji); Monero pojawia się marginalnie.
- Najbardziej dotknięte branże (kwotowo i liczbowo): finanse, produkcja, ochrona zdrowia.
- Najczęściej raportowane warianty: Akira, ALPHV/BlackCat, LockBit, Phobos, Black Basta; najwyższa skumulowana kwota po stronie ALPHV/BlackCat.
- Spadek w 2024 r. FinCEN łączy z głośnymi operacjami organów ścigania przeciw ALPHV/BlackCat (XII 2023) i LockBit (II 2024).
Kontekst / historia / powiązania
FinCEN podkreśla, iż trzy ostatnie lata niemal dorównały dziewięciu poprzednim (2013–2021) pod względem łącznej wartości okupów: $2,1 mld vs. ~$2,4 mld. To obrazuje skalę profesjonalizacji ekosystemu RaaS (ransomware-as-a-service). Jednocześnie w 2024 r. widoczny jest efekt presji organów ścigania – m.in. operacja DOJ/FBI przeciw ALPHV/BlackCat oraz międzynarodowa operacja „Cronos” przeciw LockBit.
Analiza techniczna / szczegóły raportu
Metodologia. FinCEN przeanalizował raporty BSA/SAR złożone między 1.01.2022 a 1.02.2025, obejmujące incydenty mające miejsce 1.01.2022–31.12.2024. Zestaw danych: 7 395 raportów, 4 194 incydenty. Statystyki dotyczą rzeczywistych lub próbnych transakcji związanych z ransomware.
Wartości i mediany. Mediana pojedynczej płatności: $124 097 (2022), $175 000 (2023), $155 257 (2024); najczęściej spotykany przedział < $250 000.
Łańcuch płatności. Bitcoin (BTC) odpowiada za ~97% zgłoszonych transakcji; Monero (XMR) w ~2%. Z perspektywy AML oznacza to, iż monitoring przepływów BTC przez cały czas daje szansę na identyfikację przepływów okupu i powiązanych typologii prania.
Komunikacja przestępców. W ~42% zgłoszeń opisano kanały kontaktu; z nich 67% to TOR, 28% – e-mail.
Branże najbardziej dotknięte. Liczbowo: produkcja (456), finanse (432), zdrowie (389), retail (337), usługi prawne (334). Kwotowo (łączna wartość): finanse (~$365,6 mln), ochrona zdrowia (~$305,4 mln), produkcja (~$284,6 mln), nauka i technologia (~$186,7 mln), retail (~$181,3 mln).
Warianty i wpływ. FinCEN identyfikuje 267 wariantów; ALPHV/BlackCat odpowiada za najwyższą łączną wartość (ok. $395,3 mln), za to Akira ma najwięcej incydentów (376). LockBit pojawia się równorzędnie z ALPHV pod względem liczby zgłoszeń (353).
Praktyczne konsekwencje / ryzyko
- Ryzyko systemowe dla podmiotów regulowanych: sektor finansowy nie tylko jest ofiarą, ale i węzłem wykrywania przepływów (raportowanie BSA/SAR). Zmiany wzorców (np. wzrost mediany 2023) wymagają aktualizacji progów detekcji i scenariuszy AML.
- Sektor zdrowotny i produkcyjny pozostają krytycznie narażone – wpływ na bezpieczeństwo pacjentów oraz łańcuchy dostaw.
- Ekspozycja na BTC: dominacja jednego aktywa upraszcza analizę łańcucha, ale wymusza dojrzałą analizę blockchain (identyfikacja mixów, mostów, usług cash-out).
- Efekt egzekwowania prawa działa, ale bywa krótkotrwały – po operacjach z XII 2023 i II 2024 część aktywności się odbudowuje (migracje afiliantów, renaming grup). Wnioski FinCEN wskazują na spadek 2024 r., jednak nie gwarantuje to trwałego trendu.
Rekomendacje operacyjne / co zrobić teraz
- Procedury płatności i „no-pay by default”. Ustanów politykę zarządu: brak płatności bez formalnej oceny prawnej, ryzyka sankcyjnego, ryzyka wtórnego i konsultacji z organami ścigania.
- Playbook IR z TOR/e-mail. Biorąc pod uwagę dominację TOR i e-mail, zaktualizuj runbooki: separacja sieciowa hostów negocjacyjnych, bezpieczne łączność, clean-room do obsługi kluczy.
- Telemetria kryptopłatności. Włącz on-chain analytics do detekcji adresów o wysokim ryzyku, typologii prania (peel chains, cross-chain bridges, CEX/KYC-weak off-ramps). Priorytet: BTC.
- Priorytety branżowe. jeżeli działasz w finansach, produkcji, zdrowiu – podnieś progi gotowości, testy odtwarzania kopii offline, segmentację i EDR z naciskiem na living-off-the-land oraz MFA-fatigue.
- Hunting po wariantach. Dodaj detekcje TTP dla Akira, ALPHV/BlackCat, LockBit, Black Basta (np. szyfrowanie masowe, exfil przy użyciu Rclone/MEGA, shadow copy deletion, ruch do C2 przez TOR).
- Ćwiczenia kryzysowe. Scenariusz 72 h: e-skrzynka kontaktowa atakujących, presja na „deadline”, równoległa publikacja na leak site.
Różnice / porównania z innymi przypadkami
- Skala 3-letnia vs 9-letnia. 2022–2024 (3 lata) niemal dorównują wartością okupów 2013–2021 (9 lat) – to bezprecedensowe przyspieszenie monetyzacji.
- Wpływ egzekucji prawa. FinCEN łączy spadek 2024 r. z działaniami przeciw ALPHV i LockBit – to rzadki przypadek, gdy operacje służb przekładają się na mierzalny spadek płatności rok-do-roku.
Podsumowanie / najważniejsze wnioski
- Trwała profesjonalizacja ekosystemu RaaS – pomimo uderzeń służb, wolumen i wartości w 2022–2024 są ogromne.
- BTC pozostaje „krwiobiegiem” ransomware – to szansa dla analityki finansowej i AML.
- Spadek 2024 r. to sygnał, nie gwarancja trendu – konieczny jest stały nacisk na TTP, detekcję on-chain i koordynację z organami ścigania.
Źródła / bibliografia
- FinCEN – Financial Trend Analysis: Ransomware Trends in BSA Data (2022–2024), 4 grudnia 2025 (PDF). (FinCEN.gov)
- FinCEN – komunikat prasowy dot. raportu FTA (4 grudnia 2025). (FinCEN.gov)
- The Record / Recorded Future News – artykuł podsumowujący wnioski FinCEN. (The Record from Recorded Future)
- U.S. DOJ – komunikat o disruption gangu ALPHV/BlackCat (19 grudnia 2023). (Department of Justice)
- U.S. DOJ – komunikat o disruption gangu LockBit / Operation Cronos (20 lutego 2024) oraz NCA. (Department of Justice)