Przegląd najnowszych kampanii ransomware: jak atakują i które systemy są dziś najbardziej narażone

Przez
Grzegorz Jabłoński
-
0
20
Rate this post

Nawigacja:

Co się zmieniło w krajobrazie ransomware w ostatnich latach

Od prostych kampanii do zorganizowanej przestępczości cyfrowej

Ransomware jeszcze kilka lat temu kojarzył się głównie z masowymi kampaniami: losowy e‑mail, przypadkowy użytkownik, kilka zaszyfrowanych komputerów. Dziś dominują ukierunkowane, dobrze zaplanowane operacje, które często wyglądają bardziej jak akcja „red teamu” niż „wirus z internetu”. Zmienił się zarówno poziom techniczny, jak i biznesowy całego ekosystemu.

Napastnicy przestali liczyć na tysiące małych okupów. Dzisiaj wolą jeden skuteczny atak na organizację, która nie może pozwolić sobie na przestój – szpital, producent działający w „just in time”, operator logistyczny czy urząd miasta. Kwoty żądań poszły w górę, podobnie jak profesjonalizacja narzędzi, procesów i podziału pracy.

Współczesna kampania ransomware przypomina projekt wdrożeniowy w dużej firmie IT: jest faza rozpoznania, „proof of concept”, eskalacja, a na koniec „go-live” w postaci masowego szyfrowania. Do tego dochodzi marketing (strony z wyciekami danych), obsługa klienta (helpdesk dla ofiar) i „finanse” (negocjacje okupu, rabaty, terminy).

Ransomware-as-a-Service – franczyza dla cyberprzestępców

Największą zmianą, która napędziła wzrost ataków, jest model ransomware-as-a-service (RaaS). Twórcy złośliwego oprogramowania nie muszą już sami włamywać się do firm. Tworzą „platformę”, którą udostępniają innym przestępcom – tak jak legalne SaaS-y udostępniają narzędzia biznesowe.

W modelu RaaS role są podzielone:

  • Developerzy tworzą, aktualizują i utrzymują sam kod ransomware, panele zarządzania, infrastrukturę do negocjacji i wycieków danych.
  • Operatorzy/afilianci specjalizują się w zdobywaniu dostępu do organizacji (phishing, RDP, luki w VPN-ach) i w przeprowadzeniu samego ataku.
  • Pośrednicy dostępu (Initial Access Brokers, IAB) handlują gotowymi dostępami do sieci firm: konta VPN, RDP, domeny Active Directory.

Całość działa jak franczyza: afiliant płaci twórcom ransomware prowizję od każdego okupu. Dzięki temu osoba z podstawową wiedzą techniczną i budżetem na zakup „wejściówek” od IAB może przeprowadzić zaawansowaną kampanię, korzystając z gotowego zaplecza.

Profesjonalne „usługi” dla ofiar i wielokrotne wymuszenie

Gangi ransomware zaczęły budować wizerunek „racjonalnego partnera negocjacyjnego”. Pojawiły się:

  • helpdeski przestępcze – czaty, na których ofiara kontaktuje się z „supportem” grupy, dostaje instrukcje, próbki odszyfrowywania, a nawet „gwarancje” co do usunięcia danych po zapłacie,
  • „polityki prywatności” dla ofiar – opisy, że grupa „nie atakuje szpitali” lub „nie interesuje jej sektor edukacji” (co w praktyce często okazuje się pustą deklaracją),
  • negocjatorzy – po obu stronach: gangi zatrudniają osoby z doświadczeniem w sprzedaży, a większe firmy – zewnętrzne firmy negocjacyjne.

Kluczową ewolucją jest przejście od samego szyfrowania do kradzieży danych. Klasyczne ransomware blokowało dostęp, ale jeśli firma miała przyzwoite kopie zapasowe, mogła obyć się bez płacenia. Dzisiejsze kampanie korzystają z modeli:

  • double extortion – najpierw kradzież danych, potem szyfrowanie. Ofierze grozi się publikacją poufnych informacji (dane osobowe, dokumenty, projekty) w razie braku zapłaty.
  • triple extortion – dodatkowo szantażowanie partnerów, klientów lub użytkowników końcowych: „Twoja firma nie chce zapłacić, więc uderzymy bezpośrednio w Twoich klientów”.

Dzięki temu mechanizmowi same backupy już nie wystarczają. Nawet jeśli firma odtworzy systemy, pozostaje problem wycieku i konsekwencji prawnych (RODO, tajemnica przedsiębiorstwa, utrata zaufania).

Jak działają najnowsze kampanie ransomware – schemat krok po kroku

Łańcuch ataku: od rekonesansu do szyfrowania

Większość współczesnych kampanii ransomware realizuje bardzo podobny łańcuch ataku. Różnią się narzędzia, ale logika jest zaskakująco stała: wejść cicho, rozejrzeć się, przejąć kontrolę nad czym się da, potem uderzyć jednym ciosem. Dobrze jest patrzeć na ransomware tak, jak na każdy inny zaawansowany atak typu APT.

Faza rozpoznania: szukanie słabych punktów organizacji

Na początku napastnicy zbierają informacje – tu nic nie dzieje się „przypadkiem”. Wykorzystują:

  • skanowanie internetu pod kątem otwartych usług (RDP, VPN, panele administracyjne), starych wersji oprogramowania, niezałatanych serwerów WWW czy systemów pocztowych,
  • OSINT – dane z LinkedIn, Biuletynów Informacji Publicznej, stron firmowych, ogłoszeń o pracę (informacje o używanych systemach, dostawcach IT, strukturze organizacji),
  • publiczne bazy wycieków haseł – szukają kont powiązanych z domeną firmy, by sprawdzić, czy te same hasła nie działają nadal w usługach korporacyjnych.

Im lepiej poznają środowisko, tym łatwiej im dobrać metodę wejścia i przygotować spersonalizowane scenariusze phishingowe – np. wiadomość stylizowaną na komunikat od konkretnego dostawcy oprogramowania, z którego korzysta firma.

Initial access: phishing, RDP, VPN i luki w aplikacjach

Po fazie rekonesansu następuje zdobycie pierwszego przyczółka w sieci ofiary. Najpopularniejsze wektory wejścia to:

  • ukierunkowany phishing (spear phishing) – atak na konkretne osoby lub działy, np. księgowość; e‑maile z fałszywymi fakturami, aneksami do umów, potwierdzeniami przelewów,
  • kompromitacja zdalnego pulpitu (RDP) – słabe hasła, brak 2FA, wystawione RDP bez VPN, czasem dostęp kupiony od IAB na forach przestępczych,
  • podatne VPN-y i bramy zdalnego dostępu – znane luki w popularnych rozwiązaniach (często z dostępnymi exploitami), brak aktualizacji, domyślne konfiguracje,
  • luki w aplikacjach webowych – panele administracyjne systemów ERP, CRM, systemów backupu, serwerów pocztowych, systemów plików udostępnionych przez www.

Czasem pierwszym krokiem jest drobny błąd użytkownika: otwarta załączona „faktura”, która instaluje loader; w innym przypadku – bezpośredni dostęp do VPN dzięki słabemu hasłu działu IT. Z punktu widzenia napastnika ważne jest tylko jedno: stabilny dostęp, który nie wzbudza podejrzeń.

Lateral movement: przemieszczanie się w sieci jak administrator

Gdy napastnicy mają już pierwsze konto lub maszynę, zaczyna się etap „chodzenia po sieci”. Tu widać, jak bardzo kampanie ransomware upodobniły się do ataków APT. Zamiast egzotycznych narzędzi, grupy często korzystają z tego samego arsenału, co administratorzy:

  • PowerShell – skrypty do zbierania informacji o domenie, kontach, udziałach sieciowych,
  • PsExec, WMI – zdalne uruchamianie poleceń na innych maszynach w sieci,
  • RDP wewnętrzny – łączenie się między serwerami i stacjami roboczymi,
  • narzędzia do administracji domeną – jeśli uda się zdobyć konto z uprawnieniami domenowymi.

Celem jest eskalacja uprawnień – zdobycie konta administratora domeny lub co najmniej uprawnień do kluczowych serwerów: kontrolerów domeny, serwerów plików, serwerów backupu, hypervisorów. Zdarza się, że napastnik przez kilka tygodni lub miesięcy krąży po sieci, budując swoje przyczółki i zbierając informacje.

Neutralizacja obrony: wyłączanie AV/EDR i niszczenie kopii

Przed finałowym uderzeniem gangi ransomware wyciszają systemy ochronne. Typowe działania to:

  • wyłączanie usług antywirusa lub EDR,
  • odinstalowywanie agentów bezpieczeństwa, jeśli uprawnienia na to pozwalają,
  • modyfikacja zasad GPO tak, by uniemożliwić start określonych procesów monitorujących,
  • usuwanie lub uszkadzanie lokalnych kopii zapasowych (np. Shadow Copies na Windows),
  • atak na serwery backupu: kasowanie repozytoriów, zmiana konfiguracji retencji, szyfrowanie lub uszkadzanie plików backupowych.

Część nowoczesnych rodzin ransomware zawiera twardo zaszyte listy procesów i usług do wyłączania: od popularnych antywirusów po oprogramowanie bazodanowe i backupowe. Chodzi o maksymalne utrudnienie odtworzenia środowiska oraz o przyspieszenie szyfrowania (brak blokad na otwartych plikach).

Finał ataku: masowe szyfrowanie i wyciek danych

W końcowej fazie napastnicy często uruchamiają scalony atak na wiele maszyn jednocześnie, czasem z poziomu kontrolera domeny. Skrypt lub złośliwy agent dystrybuowany jest na dziesiątki czy setki stacji roboczych i serwerów, szyfrując:

  • serwery plików i udziały sieciowe,
  • serwery baz danych i aplikacyjne,
  • maszyny wirtualne, a w nowszych kampaniach – bezpośrednio pliki VM na hypervisorach,
  • lokalne dyski użytkowników, zwłaszcza tam, gdzie przechowywane są wrażliwe dokumenty.

Równolegle działa komponent odpowiedzialny za wyciek danych: wcześniej wykradzione archiwa, bazy danych czy dokumenty są przesyłane na serwery kontrolowane przez gang (często w chmurze – np. na skompromitowane konta lub serwery VPS w „przyjaznych” jurysdykcjach). Po zakończeniu szyfrowania na maszynach pojawiają się noty okupu – pliki tekstowe/HTML z instrukcjami, jak wejść na stronę w sieci Tor, by zacząć negocjacje.

Haker w czarnej bluzie analizuje czaszkę na tablecie podczas ataku ransomware
Źródło: Pexels | Autor: Lucas Andrade

Najpopularniejsze grupy i rodziny ransomware – charakterystyczne techniki

Styl działania wybranych współczesnych gangów

Nie ma sensu budować „mitologii” wokół grup ransomware, ale znajomość ich typowych taktyk pomaga szybciej rozpoznać z czym ma się do czynienia. Najbardziej aktywne rodziny w ostatnich latach korzystają z podobnych fundamentów, jednak różnią się preferowanym wektorem wejścia, celami i poziomem agresji w negocjacjach.

Wśród często obserwowanych rodzin i ekosystemów pojawiają się między innymi:

  • LockBit – długo jeden z najbardziej rozpoznawalnych ekosystemów RaaS, znany z agresywnego modelu double extortion oraz bogatej infrastruktury wycieku danych.
  • BlackCat/ALPHV – ransomware napisany w Rust, ataki na różne platformy (Windows, Linux, ESXi), silny nacisk na publikacje wycieków.
  • Cl0p – znany z ataków na łańcuch dostaw i masowego wykorzystywania luk w popularnym oprogramowaniu (np. serwery transferu plików, rozwiązania do wymiany danych), silnie nastawiony na kradzież danych.
  • Royal / BlackSuit – kampanie ukierunkowane na średnie i duże organizacje, częste wykorzystanie telefonicznego i mailowego nękania ofiar.

Warto patrzeć na te nazwy bardziej jak na marki niż na stałe, niezmienne organizacje. Ekipy rozpadają się, łączą, zmieniają nazwy po głośnych zatrzymaniach lub wewnętrznych sporach. Dla obrońców liczy się przede wszystkim arsenał techniczny i modus operandi, a nie logo na stronie wyciekowej.

Typowe taktyki: łańcuch dostaw, 0‑daye, dostawcy IT

Najgroźniejsze kampanie z ostatnich lat rzadko ograniczają się do prostego phishingu. Coraz częściej widać ataki na:

  • łańcuch dostaw – infekcja oprogramowania lub infrastruktury zaufanego dostawcy, a potem „rozlanie się” do jego klientów (np. kompromitacja aktualizacji oprogramowania, serwerów dystrybucyjnych, wtyczek),
  • dostawców IT i MSP – przejęcie kont administracyjnych firmy świadczącej usługi IT dla wielu małych/średnich firm, a następnie wykorzystanie ich narzędzi zdalnego zarządzania do rozprzestrzeniania ransomware,
  • 0‑daye – luki bez dostępnych jeszcze poprawek, szczególnie w popularnych komponentach infrastruktury (VPN, serwery pocztowe, systemy do transferu plików).

Presja psychologiczna i ekonomiczna: negocjacje jako produkt

Dla wielu gangów ransomware szyfrowanie to dopiero początek gry. Głównym „produktem” jest dobrze przemyślana presja psychologiczna i ekonomiczna. Gdy środowisko stoi, a kopie zapasowe są niepewne, zaczyna się etap negocjacji – zwykle przez komunikator w sieci Tor lub szyfrowany czat.

Atakujący często zachowują się jak dział „obsługi klienta premium”:

  • udowadniają, że posiadają dane – pokazują fragmenty baz, dokumentów, exporty z systemów HR lub finansowo‑księgowych,
  • „tłumaczą” wysokość okupu – odnosząc ją do obrotów czy zysku firmy, aby kwota wyglądała „racjonalnie”,
  • oferują „zniżki” przy szybkim przelewie albo podniesienie ceny, jeśli rozmowy się przeciągają,
  • obiecują „wsparcie techniczne” w odszyfrowaniu środowiska, włącznie z pseudo‑manualami czy skryptami naprawczymi.

Coraz częściej pojawia się też triple extortion: oprócz groźby nieodszyfrowania danych i wycieku do sieci, gang przeprowadza dodatkową presję – np. rozsyła maile do klientów lub partnerów biznesowych ofiary z informacją o incydencie, czasem dzwoni do kadry kierowniczej czy zarządu. Celem jest jedno: zwiększyć koszt „niezrobienia przelewu”.

W praktyce wygląda to czasem bardzo przyziemnie: dyrektor finansowy odbiera prywatny telefon z zagranicznego numeru, a po drugiej stronie ktoś spokojnym głosem czyta fragment jego korespondencji mailowej, pytając, czy „firma na pewno nie chce rozwiązać sprawy po cichu”.

Wektory ataku, które dziś „pracują” najczęściej

Phishing 2.0: od masowych kampanii do hiper‑personalizacji

Klasyczny phishing – masowe maile z „fakturą” – nie zniknął. Zmieniła się jednak jakość. Zamiast tysięcy przypadkowych adresów, napastnicy wolą kilkudziesięciu dobrze dobranych odbiorców w konkretnej organizacji.

Do przygotowania takich wiadomości wykorzystują m.in.:

  • dane z LinkedIn i mediów społecznościowych – kto do kogo raportuje, jakie projekty prowadzi, z jakimi dostawcami współpracuje,
  • informacje z BIP i rejestrów przetargów – jaki system ERP, jaką platformę e‑zamówień czy jakie rozwiązanie chmurowe kupiła instytucja,
  • szablony realnych korespondencji – przejęte konta mailowe służą do „przeklejenia” stylu językowego i wątków rozmów.

Efekt? Mail z prośbą o „pilne potwierdzenie nowej specyfikacji” wygląda tak samo jak sto poprzednich, tylko w tym jednym załącznik zawiera loader ransomware albo link prowadzi do fałszywej strony logowania z kradzieżą haseł.

Ataki na zdalny dostęp: RDP, VPN i panele administracyjne

Drugą, niezmiennie silną nogą współczesnego ransomware są systemy zdalnego dostępu. Wszystko, co wystaje do Internetu i pozwala dostać się głębiej w sieć, jest traktowane jak bilet wstępu.

Najczęściej spotykane scenariusze to:

  • RDP „wystawione” bez pośredniczącego VPN – brute force, słabe hasła, brak blokad po błędnych logowaniach,
  • VPN z lukami lub bez MFA – stare wersje popularnych rozwiązań, łatwe do odgadnięcia kombinacje login+hasło, certyfikaty współdzielone przez wielu administratorów,
  • panele administracyjne (systemy kopii zapasowych, panel ESXi, Veeam, narzędzia RMM) wystawione bez ograniczeń IP – często z domyślnymi kontami albo hasłami „tymczasowymi”, które nigdy nie zostały zmienione.

Do tego dochodzi rosnąca rola dostawców zdalnej obsługi IT. Jeżeli firma MSP ma jedno konto administracyjne z dostępem do kilkudziesięciu klientów, to przejęcie takiego konta bywa dla gangu „skrótem klawiszowym” do wielu środowisk naraz.

Luki w popularnym oprogramowaniu: od serwerów pocztowych po narzędzia do transferu plików

Kampanie ransomware coraz chętniej wykorzystują masowo eksploatowane podatności. Po opublikowaniu opisu luki i PoC zdarza się, że w ciągu kilku dni widać skanowanie Internetu przez boty powiązane z gangami.

Pod ostrzałem są przede wszystkim:

  • serwery pocztowe i bramy – luki typu RCE i SSRF, które pozwalają przejąć uprawnienia systemowe lub wykraść skrzynki,
  • systemy do wymiany/transferu plików – popularne platformy używane do dużych transferów między firmami lub do udostępniania danych klientom,
  • aplikacje webowe „szyte na miarę” – portale klienta, systemy zgłoszeniowe, panele B2B, często z brakiem twardych testów bezpieczeństwa.

Jeżeli w dodatku taki system jest spięty z AD lub innym centralnym repozytorium kont, pojedyncza luka w panelu B2B może szybko zmienić się w kompromitację całej domeny.

Tablica z rysunkami symboli hakowania, kodów i wzorów geometrycznych
Źródło: Pexels | Autor: Lucas Andrade

Które systemy i środowiska są najbardziej narażone dzisiaj

Środowiska Windows i Active Directory – „magnes” dla ransomware

Największy odsetek udanych kampanii nadal rozgrywa się w klasycznych środowiskach: Windows + Active Directory. To tam zwykle znajdują się:

  • centralne serwery plików z dokumentacją całej firmy,
  • systemy domenowe i polityki GPO, które można wykorzystać do masowego rozsyłania malware,
  • kontrolery domeny, dzięki którym po przejęciu można praktycznie „stać się” administratorem wszystkiego.

Grupy ransomware bardzo dobrze znają typową architekturę AD: kontrolery w jednej podsieci, serwery plików w innej, stacje robocze w kolejnych. Wiedzą też, gdzie najczęściej leżą błędy: stare konta serwisowe z hasłami niezmienianymi od lat, uprawnienia Domain Admin nadane „na chwilę” i zostawione na stałe, serwery terminali z pełnymi prawami do udziałów sieciowych.

Hypervisory i wirtualizacja: atak w jedną maszynę, efekt na dziesiątki

Jeszcze kilka lat temu większość gangów skupiała się na stacjach roboczych i pojedynczych serwerach. Dziś bardzo atrakcyjnym celem są hypervisory (ESXi, Hyper‑V, inne systemy wirtualizacji). Jeżeli uda się przejąć hosta, szyfrowanie vmdk czy innych plików dysków wirtualnych jednym ruchem wyłącza całe klastry systemów.

Atakujący:

  • szukają paneli zarządzania hypervisorami dostępnych z sieci produkcyjnej lub nawet z Internetu,
  • korzystają z luk w API lub modułach zarządzających,
  • używają „legalnych” funkcji – np. skryptów do snapshotów czy migracji maszyn – do przygotowania środowiska pod szyfrowanie.

Wiele organizacji boleśnie przekonało się, że „ochrona serwerów” to za mało, jeśli hypervisor traktowany jest jak zwykły serwer aplikacyjny i nie ma osobnej segmentacji ani twardszej kontroli dostępu.

Systemy Linux i urządzenia sieciowe – cel, którego wcześniej nie doceniano

Dynamiczny rozwój ransomware w Rust, Go i C++ sprawił, że Linux przestał być „bezpiecznym z definicji” tłem. Coraz więcej gangów posiada wersje swoich ładunków dla:

  • serwerów aplikacyjnych opartych na Linuksie (np. systemy ERP, platformy e‑commerce),
  • kontenerów i klastrów Kubernetes – szyfrowane są wolumeny danych, pliki konfiguracyjne, a czasem same obrazy,
  • urządzeń NAS i SAN z wbudowanym „okrojonym” Linuksem.

Równolegle rośnie liczba incydentów, w których celem stają się urządzenia sieciowe – routery, firewalle, VPN‑y, load balancery. Nawet jeśli nie są bezpośrednio szyfrowane, ich przejęcie daje atakującym możliwości podsłuchu ruchu, pivotu w głąb sieci czy wyłączenia krytycznych usług, co dodatkowo potęguje paraliż organizacji.

Systemy kopii zapasowych i magazyny danych

Jeżeli celem ransomware jest zniszczenie zdolności do odtworzenia środowiska, naturalnym celem stają się systemy backupu. Gangi dobrze wiedzą, jak nazywają się popularne produkty i ich usługi, w logach i konfiguracji zostawiają często ślady szukania:

  • serwerów backupu i repozytoriów,
  • magazynów typu NAS wykorzystywanych do przechowywania kopii,
  • połączeń z chmurą (S3, Azure Blob, Google Cloud Storage) obsługiwanych z lokalnych serwerów backupowych.

Częsty scenariusz: napastnik z uprawnieniami domenowymi uzyskuje dostęp do konsoli backupu, wyłącza zadania, skraca retencję, usuwa stare snapshoty, a na końcu szyfruje lub usuwa to, co pozostało. Dopiero po takich działaniach włącza się właściwy moduł ransomware na serwerach i stacjach.

Środowiska hybrydowe i chmura publiczna

Firmy coraz częściej działają w modelu hybrydowym: część systemów w on‑prem, część w chmurze. To dla gangów interesujące z dwóch powodów. Po pierwsze, zwiększa się powierzchnia ataku – konta domenowe bywają powiązane z kontami w chmurze, SSO łączy wiele usług, a błędna konfiguracja jednego elementu może otworzyć całą resztę. Po drugie, rośnie wartość danych – w chmurze często lądują krytyczne systemy analityczne, CRM czy hurtownie danych.

Obserwowane techniki obejmują m.in.:

  • kradzież tokenów sesyjnych i ciasteczek przeglądarkowych, by przejąć sesje administracyjne w portalach chmurowych,
  • wykorzystanie źle skonfigurowanych uprawnień IAM – konta serwisowe mają więcej praw, niż potrzebują,
  • dostęp do zasobów typu Object Storage (bucketów) i ich masowe kopiowanie lub kasowanie.

W wielu przypadkach szyfrowania w chmurze nie widać od razu – atakujący najpierw kopiują dane i dopiero potem usuwają lub modyfikują zasoby. Ofiara dowiaduje się o incydencie z opóźnieniem, czasem dopiero po kontakcie gangu.

Branże i typy organizacji najbardziej kuszące dla grup ransomware

Ochrona zdrowia: presja czasu i wrażliwość danych

Szpitale, kliniki, laboratoria diagnostyczne – to jedne z najbardziej pożądanych celów. Dlaczego? Bo czas przestoju liczy się w zdrowiu i życiu pacjentów, a dane medyczne są praktycznie niemożliwe do „zmiany” jak hasło czy PESEL.

Typowe cechy tego sektora to:

  • stare systemy specjalistyczne (PACS, HIS, LIS) działające latami bez aktualizacji,
  • urządzenia medyczne z wbudowanym Windows/Linux, których nie da się łatwo załatać, bo certyfikacja producenta nie nadąża,
  • szeroki dostęp do danych w sieci wewnętrznej – lekarze i personel muszą mieć szybki dostęp z wielu stanowisk.

Gdy taki ośrodek zostaje zaszyfrowany, negocjacje zazwyczaj są bardzo intensywne, a gangi chętnie grają kartą „odpowiedzialności za pacjentów”, próbując moralnie obciążyć zarząd.

Administracja publiczna i samorządy

Urzędy, miasta, gminy oraz jednostki podległe to atrakcyjny cel z kilku powodów. Po pierwsze, pełnią funkcje nie do zastąpienia – rejestry, wydawanie dokumentów, obsługa mieszkańców. Po drugie, często działają na złożonych, rozproszonych systemach, gdzie łatwo o techniczny dług i luki w aktualizacjach.

Charakterystyczne problemy to m.in.:

  • wielu dostawców IT z różnym poziomem bezpieczeństwa i spójności konfiguracji,
  • aparatura informatyczna rozproszona po szkołach, jednostkach kultury, spółkach komunalnych,
  • brak jednoznacznego „właściciela” bezpieczeństwa na poziomie całej jednostki samorządowej.

Dla gangu zaszyfrowanie urzędu oznacza sparaliżowanie wielu procesów jednocześnie – od rejestracji urodzeń po wydawanie decyzji budowlanych, co zapewnia duży rozgłos i presję społeczną.

Przemysł, logistyka i produkcja

Fabryki, magazyny i firmy logistyczne to kolejna kategoria z wysoką wrażliwością na przestoje. Tu nawet kilka godzin zatrzymania linii produkcyjnej czy systemu WMS przekłada się na realne straty finansowe i opóźnienia w łańcuchu dostaw.

W takich środowiskach występują dodatkowe wyzwania:

  • systemy OT/SCADA z archaicznymi wersjami systemów operacyjnych,
  • sprzęt produkcyjny z interfejsami sieciowymi, które nie były projektowane z myślą o dzisiejszych zagrożeniach,
  • mieszanie sieci biurowej i produkcyjnej – często „tymczasowe” tunele, które zostają na stałe.

Usługi profesjonalne, kancelarie, biura rachunkowe

Kancelarie prawne, firmy doradcze, biura księgowe i podatkowe nie kojarzą się z „krytyczną infrastrukturą”, a jednak dla gangów są jak sejf pełen cudzych tajemnic. Przechowują ogromne ilości dokumentów poufnych klientów, działają na ciasnych terminach i często funkcjonują na dość klasycznym, słabiej zarządzanym IT.

Typowe słabości tego segmentu to m.in.:

  • brak dedykowanych zespołów bezpieczeństwa – „informatykiem” jest jeden administrator od wszystkiego lub zewnętrzna firma serwisowa,
  • mieszanie prywatnych i służbowych urządzeń – zwłaszcza w mniejszych kancelariach,
  • duży wolumen poczty z załącznikami – „poprawka do umowy” lub „nowa faktura” to idealna przynęta phishingowa.

Jeżeli ransomware zaszyfruje serwer plików z dokumentacją spraw czy rozliczeniami podatkowymi, presja na szybkie przywrócenie działania jest ogromna. Dodatkowo w grę wchodzi ryzyko szantażu ujawnieniem dokumentów klientów – kontraktów, pozwów, ugód, raportów podatkowych. Mało która firma doradcza chce widzieć swoje wewnętrzne analizy na blogu gangu.

E-commerce, retail i firmy nastawione na ciągłość sprzedaży

Druga grupa to organizacje, dla których nawet kilkugodzinna przerwa w przyjmowaniu zamówień oznacza realne straty i odpływ klientów. Sklepy internetowe, sieci handlowe, dystrybutorzy – wszędzie tam ransomware może „zakorkować” cały biznes.

W tego typu środowiskach wrażliwe są m.in.:

  • systemy sprzedażowe (e-commerce, POS, systemy zamówień),
  • integracje z logistyką – od WMS po przewoźników i paczkomaty,
  • bazy klientów, w tym historie zakupów i dane kontaktowe.

Często scenariusz jest bardzo przyziemny: jeden z pracowników działu obsługi otwiera spreparowany dokument, napastnik przez kilka dni penetruje sieć, a potem szyfruje serwery aplikacyjne i bazy danych. Witryna e-commerce przechodzi w tryb „awaria techniczna”, kasy w sklepach nie widzą centralnego systemu, a klienci przenoszą się do konkurencji jednym kliknięciem.

Małe i średnie firmy – „łatwe cele” z perspektywy gangów

Wiele kampanii nie celuje w konkretną markę czy sektor, tylko w szeroko rozumiane SMB. Atakujący liczą na to, że mała lub średnia firma:

  • nie ma działu bezpieczeństwa, a czasem nawet pełnoetatowego admina,
  • korzysta z domyślnych konfiguracji i rzadko przegląda logi,
  • traktuje backup bardziej jako „pobożne życzenie” niż rzeczywisty proces (brak testów odtworzeniowych).

Do tego dochodzi prosty rachunek: pojedynczy okup może nie być ogromny, ale przy dużej liczbie ofiar takie „masowe” kampanie stają się niezwykle opłacalne. Zdarza się, że ten sam gang prowadzi równolegle ofensywę na duże podmioty z żądaniami liczonymi w milionach oraz serię mniejszych ataków na lokalne firmy – warsztaty, małe hurtownie, agencje reklamowe – gdzie okup jest niższy, ale szansa na szybką płatność większa.

Uczelnie, szkoły i sektor edukacji

Instytucje edukacyjne coraz częściej pojawiają się w raportach z incydentów. Z jednej strony posiadają dużo danych osobowych (studentów, rodziców, pracowników), z drugiej – działają w sieciach, gdzie priorytetem jest dostępność i otwartość, a nie restrykcyjna segmentacja.

Charakterystyczne wyzwania w tym środowisku to m.in.:

  • wiele różnorodnych systemów: e-dzienniki, platformy e-learning, systemy dziekanatowe, biblioteki cyfrowe,
  • duża liczba kont użytkowników z różnym poziomem świadomości bezpieczeństwa,
  • dostęp z wielu urządzeń prywatnych – laptopy studentów, telefony, tablety.

Ransomware, które zaszyfruje systemy dziekanatowe w środku sesji egzaminacyjnej albo platformę zdalnego nauczania tuż przed maturami, tworzy ogromną presję społeczną. Gangi doskonale odczytują ten kontekst i w komunikatach o publikacji danych lub negocjacjach chętnie odwołują się do „krzywdy studentów” czy „utraty roku akademickiego”.

Infrastruktura krytyczna i dostawcy usług komunalnych

Operatorzy wodociągów, ciepłowni, sieci energetycznych czy komunikacji miejskiej często nie są bezpośrednio szyfrowani w warstwie OT (choć zdarza się i to), lecz celem ataku padają systemy zarządzające, bilingowe i operacyjne.

Gdy ransomware unieruchomi centrum obsługi klienta, system wystawiania faktur czy moduły planowania pracy załóg technicznych, efekt po kilku dniach zaczyna być odczuwalny dla tysięcy odbiorców. Do tego dochodzą systemy SCADA i panele nadzorcze, które coraz częściej działają na „zwykłych” systemach operacyjnych – a to już prosta droga do uwikłania części OT w incydent IT.

Atak na tego typu organizacje to dla gangów nie tylko potencjalnie wysoki okup, lecz także ogromny rozgłos medialny. Nawet jeśli oficjalnie zapewnia się, że „dostawy wody/energii nie są zagrożone”, sama świadomość incydentu generuje presję na szybkie rozwiązanie problemu – czyli, w ujęciu przestępców, na „współpracę”.

Łańcuchy dostaw i podwykonawcy – efekt domina

Coraz częściej na celowniku znajdują się nie tylko duże marki, ale też ich dostawcy i podwykonawcy. Cel jest prosty: uderzyć w słabsze ogniwo, które ma zaufane połączenia z większym klientem. Jeśli uda się zaszyfrować systemy firmy odpowiedzialnej za logistykę, serwis czy oprogramowanie, skutki odczuje cała sieć partnerów.

W praktyce wygląda to tak, że niewielki software house dostarczający system dla kilkudziesięciu klientów z branży transportowej zostaje zainfekowany, a następnie przez jego infrastrukturę dystrybuowany jest złośliwy kod do wszystkich odbiorców aktualizacji. Atakujący mogą wtedy zażądać okupu zarówno od producenta oprogramowania, jak i od jego klientów – klasyczny model „podwójnego uderzenia” na łańcuch dostaw.

Jak zmienia się strategia obrony – co utrudnia życie nowym kampaniom ransomware

Od „antywirusa na końcówce” do obrony warstwowej

Skuteczne kampanie ransomware wymusiły duży skok jakościowy po stronie obrony. Klasyczny antywirus z sygnaturami to za mało wobec fileless malware, narzędzi typu living-off-the-land i kreatywnego nadużywania legalnych funkcji systemu. Coraz więcej organizacji przechodzi więc na model, w którym ochrona końcówek jest tylko jednym z elementów układanki.

W praktyce oznacza to łączenie:

  • systemów EDR/XDR monitorujących zachowanie procesów i korelujących zdarzenia,
  • segmentacji sieci i mikrosegmentacji – utrudniających rozlanie się ataku po całej infrastrukturze,
  • monitoringu tożsamości i uprzywilejowanych kont – żeby szybciej wychwycić przejęcie AD lub konta chmurowego,
  • dobrze zaprojektowanego backupu z izolacją logiczną lub fizyczną.

W takim podejściu ransomware ma trudniej: nie wystarczy „wejść i odpalić EXE”. Trzeba ominąć szereg niezależnych mechanizmów, które obserwują zarówno końcówki, jak i ruch sieciowy czy anomalie w zachowaniu użytkowników.

Lepsza obserwowalność i reagowanie – SOC, logi, telemetria

Jeszcze niedawno wiele firm miało logi głównie po to, żeby „gdzieś były”. Dziś coraz częściej pojawiają się SOC-e (własne lub usługowe), systemy SIEM i rozwiązania do analizy telemetrii bezpieczeństwa. Dzięki temu:

  • nietypowe logowania, nagły wzrost ruchu do serwera backupu czy masowe tworzenie archiwów da się zauważyć na wcześniejszym etapie,
  • incydenty można łączyć w całościowy obraz kampanii, zamiast traktować je jako pojedyncze „dziwne zdarzenia”,
  • czas reakcji skraca się z tygodni do godzin, a niekiedy minut.

Jak to wygląda w praktyce? Analiza logów może wykazać, że w nocy kilka kont serwisowych logowało się z nietypowych segmentów sieci, a chwilę później uruchomiono narzędzia do enumeracji udziałów SMB. Jeśli SOC to wychwyci, często można zatrzymać kampanię jeszcze przed właściwym szyfrowaniem – na etapie rozpoznania lub przerzutu bocznego.

Zmiana podejścia do kopii zapasowych

Ransomware „nauczyło” organizacje, że backup to nie checkbox w audycie, tylko ostatnia linia obrony, którą napastnik świadomie próbuje zniszczyć. Reakcją jest m.in.:

  • wprowadzanie zasady 3-2-1 (kilka kopii, różne nośniki, jedna offline lub poza lokalizacją),
  • używanie magazynów WORM/immutability – gdzie nie można nadpisać danych przez określony czas,
  • regularne testy odtwarzania całych systemów, a nie tylko pojedynczych plików.

W połączeniu z lepszą segmentacją i oddzieleniem kont backupowych od domeny produkcyjnej utrudnia to scenariusz, w którym atakujący wchodzi na serwer backupu i spokojnie usuwa wszystko przed uruchomieniem szyfrowania. Nadal się to zdarza, ale wymaga więcej przygotowań i szczęścia po stronie przestępców.

Rośnie świadomość użytkowników – ale socjotechnika wciąż działa

Szkolenia phishingowe, kampanie uświadamiające, testy socjotechniczne – to już standard w wielu firmach. Dzięki temu część ataków zatrzymuje się na etapie „ktoś zgłosił podejrzanego maila”. Użytkownicy zaczynają kojarzyć, że fałszywa faktura, wezwanie do sądu czy „pilne rozliczenie” z literówkami w adresie nadawcy nie powinny być otwierane bezrefleksyjnie.

Gangi oczywiście reagują. Pojawiają się:

  • bardziej dopracowane maile w języku ofiary, często z prawdziwymi danymi firm i osób (zebranymi z wycieków lub LinkedIna),
  • podszywanie się pod realnych kontrahentów, z którymi ofiara rzeczywiście współpracuje,
  • atakowanie prywatnych skrzynek pracowników, jeśli służbowe są lepiej chronione.

Nawet przy rosnącej świadomości „czynnik ludzki” pozostaje najprostszą bramą wejściową – tyle że wymaga od napastnika włożenia większej pracy w przygotowanie kampanii. Z punktu widzenia obrony dobrze widać, że inwestycje w edukację nie zamykają tematu, ale podnoszą poprzeczkę i wymuszają bardziej zaawansowane, a więc kosztowniejsze ataki.

Regulacje i obowiązek raportowania incydentów

Na dynamikę kampanii ransomware wpływa też otoczenie regulacyjne. Coraz więcej krajów wprowadza przepisy obligujące operatorów usług kluczowych i sektorów regulowanych do zgłaszania poważnych incydentów w określonym czasie. To zmienia dwie rzeczy:

  • incydenty rzadziej „chowają się pod dywan” – dzięki czemu inni mogą uczyć się na cudzych błędach,
  • pojawia się ryzyko kar finansowych za brak odpowiednich zabezpieczeń lub brak reakcji, co motywuje do inwestycji.

Dla gangów oznacza to mniej komfortowe środowisko działania. Gdy poważny atak musi zostać zgłoszony do regulatora, CERT-u branżowego czy krajowego CSIRT, szybciej pojawiają się ostrzeżenia, wskaźniki kompromitacji, a często także narzędzia do odszyfrowania w przypadku błędów w implementacji ransomware. Jednocześnie cyberprzestępcy starają się skracać czas od pierwszego wejścia do momentu wywarcia presji – żeby uprzedzić skoordynowaną reakcję służb i społeczności bezpieczeństwa.

Najczęściej zadawane pytania (FAQ)

Na czym polega współczesny atak ransomware krok po kroku?

Dzisiejszy atak ransomware zwykle zaczyna się od rekonesansu: przestępcy skanują internet, zbierają dane z LinkedIn, stron firmowych czy ogłoszeń o pracę, sprawdzają wycieki haseł. Chcą wiedzieć, z jakich systemów korzysta firma, gdzie są słabe punkty i kogo najłatwiej oszukać.

Kolejny etap to zdobycie pierwszego dostępu (np. phishing, słabe RDP, podatny VPN), a potem poruszanie się po sieci jak administrator: PowerShell, RDP, PsExec, podnoszenie uprawnień. Gdy mają już kontrolę nad kluczowymi serwerami, wyłączają zabezpieczenia, niszczą kopie zapasowe i dopiero wtedy uruchamiają masowe szyfrowanie oraz kradzież danych.

Jakie są najczęstsze wektory wejścia ransomware do firmy?

Najczęściej spotykane „drzwi wejściowe” to celowany phishing (np. „faktury”, „aneks do umowy”, „pilne rozliczenie”), słabo zabezpieczone RDP wystawione do internetu oraz podatne lub nieaktualne VPN-y i bramy zdalnego dostępu. Coraz częściej dostęp jest po prostu kupowany od pośredników (Initial Access Brokers), którzy specjalizują się w przejmowaniu kont VPN czy RDP.

Do tego dochodzą luki w aplikacjach webowych: panele administracyjne ERP/CRM, systemy backupu czy serwery pocztowe. W praktyce często wystarczy jedno słabe hasło administratora lub niezałatany gateway, żeby napastnik miał stabilny dostęp, który nie rzuca się w oczy.

Czym jest ransomware-as-a-service (RaaS) i dlaczego jest takie groźne?

Ransomware-as-a-service to model „franczyzy” przestępczej. Jedna grupa tworzy i utrzymuje platformę ransomware (kod, panele, infrastrukturę do negocjacji i wycieków danych), a inni przestępcy – tzw. afilianci – wykorzystują ją w atakach na konkretne organizacje. Rozliczenie jest proste: prowizja od zapłaconego okupu.

Dzięki RaaS osoba z umiarkowaną wiedzą techniczną może przeprowadzić bardzo zaawansowaną kampanię, kupując gotowy dostęp do sieci firmy od pośredników. To tak, jakby ktoś bez doświadczenia w IT dostał „w pudełku” cały zestaw narzędzi i instrukcji do przejęcia środowiska korporacyjnego.

Na jakie systemy i branże najczęściej dziś celują gangi ransomware?

Najbardziej narażone są organizacje, które nie mogą sobie pozwolić na długi przestój: szpitale, firmy produkcyjne działające w modelu „just in time”, operatorzy logistyczni, urzędy miast, duzi dostawcy usług. Dla napastników liczy się presja czasu – im większy chaos w razie zatrzymania systemów, tym większa szansa na zapłatę.

Jeśli chodzi o technologię, na celowniku są przede wszystkim:

  • kontrolery domeny i serwery plików (dane i uprawnienia),
  • serwery backupu i hypervisory (żeby zablokować odtwarzanie),
  • systemy zdalnego dostępu (VPN, RDP, bramy) – jako punkt wejścia.

W praktyce oznacza to, że każda organizacja z rozproszonym dostępem zdalnym i dużą zależnością od IT jest potencjalną ofiarą.

Czym różni się klasyczne szyfrowanie od double i triple extortion?

Klasyczne ransomware tylko szyfrowało dane – jeśli firma miała dobre kopie zapasowe, mogła odtworzyć systemy i zignorować żądanie okupu. Double extortion to krok dalej: napastnicy najpierw kradną dane, a dopiero potem szyfrują systemy. Grożą publikacją poufnych informacji, jeśli ofiara nie zapłaci, więc same backupy nie rozwiązują problemu.

Triple extortion dodaje trzeci poziom nacisku: oprócz firmy szantażowani są jej klienci, partnerzy czy użytkownicy końcowi („skoro wasza firma nie płaci, opublikujemy dane waszych klientów bezpośrednio”). To nie tylko zwiększa presję, ale także mnoży ryzyka prawne i wizerunkowe – od RODO po utratę zaufania rynku.

Czy dobre kopie zapasowe nadal chronią przed skutkami ransomware?

Solidne kopie zapasowe są wciąż fundamentem odporności, ale dziś nie wystarczą. Gangi ransomware aktywnie szukają i niszczą backupy: kasują shadow copies, atakują serwery backupu, próbują dostać się do magazynów „air-gapped” lub chmurowych. Celem jest pozbawienie ofiary łatwej ścieżki odtworzenia.

Nawet jeśli uda się odtworzyć systemy z kopii, pozostaje kwestia danych, które mogły zostać wykradzione przed szyfrowaniem. Trzeba wtedy liczyć się z analizą wycieku, ryzykiem sankcji regulacyjnych oraz koniecznością powiadamiania klientów czy urzędów nadzorczych.

Jak można wcześnie wykryć, że w sieci działa kampania ransomware?

Wczesne wykrycie opiera się bardziej na wychwyceniu nietypowych zachowań niż na „złapaniu wirusa”. Alarmujące sygnały to m.in.: dziwne logowania VPN z nowych lokalizacji, nagły wzrost ruchu do serwerów katalogowych, masowe użycie narzędzi administracyjnych (PsExec, WMI) z kont użytkowników, które normalnie ich nie używają.

W praktyce pomagają:

  • monitoring aktywności w AD i na kontach uprzywilejowanych,
  • systemy EDR z alertami na „living off the land” (PowerShell, wmic, net, itp.),
  • reagowanie na próby wyłączania AV/EDR i modyfikacje GPO.

Dobrze skonfigurowany monitoring potrafi wychwycić atak na etapie „chodzenia po sieci”, zanim dojdzie do masowego szyfrowania.

Bibliografia i źródła

  • Internet Organised Crime Threat Assessment (IOCTA) 2023. Europol (2023) – Trendy w cyberprzestępczości, w tym ewolucja i model biznesowy ransomware
  • 2023 Data Breach Investigations Report. Verizon (2023) – Statystyki ataków, wektory wejścia, ransomware i wyciek danych
  • Ransomware Trends 2023. Sophos (2023) – Analiza kampanii ransomware, podwójne wymuszenie, cele sektorowe

Inne wpisy na ten temat: