Pracownicy nie mogą otworzyć żadnego pliku. Na ekranach pojawia się komunikat z żądaniem zapłaty w kryptowalutach. Systemy stoją. Telefony zaczynają dzwonić.
To nie jest abstrakcyjny scenariusz z branżowego raportu. To środek tygodnia, gdzieś w Polsce, w firmie, która za chwilę wyliczy koszty przestoju w setkach tysięcy złotych. Ransomware nie wybiera branży ani wielkości organizacji. Wybiera podatność.
To co dzieje się dalej, w ciągu pierwszych godzin po wykryciu ataku, decyduje o tym, czy firma wróci do normalnego działania po kilku dniach, czy po kilku tygodniach. Albo wcale.
Z tego artykułu dowiesz się co zrobić krok po kroku od pierwszej minuty po wykryciu ataku, jak działają wektory którymi ransomware wchodzi do sieci, dlaczego backup to jedyna prawdziwa polisa ubezpieczeniowa i jak zbudować środowisko, które będzie stawiało opór atakom na każdym etapie.
Spis treści
Pierwsze minuty. Liczy się każda sekunda
Kiedy atak zostaje wykryty, większość firm traci cenny czas na ustalanie, co się właściwie stało. To błąd. Pierwsza zasada brzmi: izoluj, zanim zrozumiesz.
Zainfekowane urządzenia natychmiast odłącz od sieci. Przewód sieciowy, Wi-Fi, VPN. Nie wyłączaj zasilania, jeśli to nie jest konieczne. Dane w pamięci RAM mogą być bezcenne podczas późniejszej analizy śledczej: klucze szyfrowania, aktywne połączenia sieciowe, uruchomione procesy. W zależności od sytuacji rozważ hibernację systemu zamiast twardego resetu. Twardy reset usuwa wszystko z pamięci.
Jeśli masz przełączniki zarządzalne, wyłącz zainfekowane porty lub całe segmenty sieci. Ransomware w pierwszych minutach aktywnie skanuje sieć i szuka kolejnych hostów do zaszyfrowania. Atakuje udziały sieciowe SMB, serwery plików, bazy danych, systemy backupu. Każde urządzenie, które pozostaje w sieci to potencjalny kolejny cel.
Krytyczna decyzja: wstrzymaj automatyczne backupy.
Brzmi paradoksalnie, ale jeśli system backupu w tym momencie pracuje, może właśnie nadpisywać czyste kopie zaszyfrowanymi plikami. Zatrzymaj zadania backupu, zanim zdążą “zabackupować” katastrofę. Wrócimy do tego w osobnej sekcji, bo to jeden z najważniejszych tematów całego artykułu.
Równolegle: jeśli masz możliwość, zrób zrzut pamięci RAM zainfekowanych systemów przed jakimkolwiek wyłączaniem. Dla firm, które będą chciały przeprowadzić analizę śledczą lub zgłosić incydent organom ścigania, to może być kluczowy materiał dowodowy.
Czego nie robić w pierwszych minutach? Nie formatuj dysków, nie reinstaluj systemów, nie próbuj “szybko wyczyścić” zainfekowanych maszyn. Niszczysz dowody i zamykasz sobie drogę do późniejszej analizy. Nie płać też od razu okupu, nawet pod ogromną presją. O tym dlaczego piszemy w osobnej sekcji.
Jak ransomware wchodzi do sieci? Trzy wektory, które widzimy najczęściej
Żeby wiedzieć gdzie szukać pacjenta zero i jak zabezpieczyć się na przyszłość, trzeba rozumieć jak atakujący w ogóle trafia do środka. Z naszego doświadczenia drogi są trzy i każda z nich wygląda inaczej w logach.
Wektor 1: phishing i złośliwe załączniki
Phishing to wciąż numer jeden i nic nie zapowiada, żeby to się miało zmienić. Powód jest prosty: to najłatwiejszy sposób na ominięcie zabezpieczeń technicznych. Najlepszy firewall na świecie nie pomoże, jeśli pracownik sam zainstaluje złośliwe oprogramowanie, myśląc że otwiera fakturę.
Jak to wygląda w praktyce? Pracownik dostaje e-mail, który wygląda wiarygodnie: od “księgowości”, od “dostawcy”, od “DHL” z informacją o paczce. W załączniku jest plik .xlsx, .pdf albo .zip. Plik otwiera się, prosi o “włączenie makr” albo uruchamia skrypt PowerShell. Od tej chwili atakujący ma punkt wejścia w sieci.
Piszemy to z własnego doświadczenia. Kilka miesięcy temu nasz klient miał wpadkę w dziale marketingu. Właśnie dlatego phishing działa, bo nie jest skierowany do “naiwnych”. Trafia do zajętych ludzi, którzy przeglądają skrzynkę między jednym spotkaniem a drugim.
Nowoczesny phishing jest precyzyjny. Spear-phishing to atak ukierunkowany na konkretną osobę lub firmę, z treścią przygotowaną specjalnie pod cel. Atakujący przed wysłaniem e-maila poświęca czas na rozpoznanie: przegląda LinkedIn, stronę firmy, media społecznościowe. E-mail od “prezesa” z prośbą o pilne działanie jest dużo skuteczniejszy niż generyczna wiadomość o “wygranej nagrodzie”.
Co widzisz w logach po takim ataku? Outlook lub przeglądarka nagle uruchamiają cmd.exe albo powershell.exe, czyli narzędzia, które normalnie nie mają nic wspólnego z czytaniem maili. Pojawiają się połączenia wychodzące do nieznanych zewnętrznych adresów. System zaczyna pobierać pliki z internetu bez wiedzy użytkownika.
Wektor 2: podatne usługi zdalne (RDP, VPN, wystawione porty)
To wektor, który widzimy szczególnie często w polskich firmach średniej wielkości. Ktoś kiedyś otworzył RDP na świat “bo handlowcy muszą mieć dostęp z domu” i od tego czasu nikt nie zablokował portu 3389. Albo VPN oparty na starszej wersji oprogramowania, której podatność jest znana od miesięcy, ale aktualizacje “czekają na okienko serwisowe”.
Atakujący masowo skanują internet pod kątem otwartych portów RDP, VPN i innych usług zdalnego dostępu. To zautomatyzowane procesy, które działają non-stop. Gdy znajdą otwarty port, próbują ataków słownikowych na dane logowania albo wykorzystują znane podatności dla danej wersji oprogramowania. Wejście jest ciche i na pierwszy rzut oka nie wygląda jak atak.
Charakterystyczny wzorzec w logach: bardzo duża liczba nieudanych prób logowania z różnych adresów IP, a potem jedno udane logowanie z nieznanego adresu geograficznego. Albo nagła aktywność konta administratora o 3 w nocy, gdy nikt nie pracuje.
Po uzyskaniu dostępu atakujący nie śpieszy się. Często przebywa w sieci tygodniami przed uruchomieniem szyfrowania. Ten czas obecności w sieci bez wykrycia statystycznie wynosi dla ransomware kilkanaście do kilkudziesięciu dni. W tym czasie atakujący poznaje sieć, podwyższa uprawnienia, lokalizuje systemy krytyczne i, co najważniejsze, namierza i neutralizuje systemy backupu.
Wektor 3: przejęte dane logowania i ataki na dostawców
Trzecia droga to coraz popularniejszy wektor, bo jest trudny do wykrycia i nie wymaga żadnego złośliwego oprogramowania na wejście. Atakujący kupuje na dark webie dane logowania pracownika firmy, które wyciekły z innego serwisu (pracownik używał tego samego hasła w pracy i na portalu, który był kiedyś zaatakowany). Loguje się do systemu z prawidłowymi danymi, więc systemy bezpieczeństwa nie widzą żadnej anomalii.
Ataki na dostawców i partnerów to odmiana tego wektora na większą skalę. Atakujący przejmuje oprogramowanie lub usługę, z której korzysta wiele firm. Jeśli zaufany dostawca oprogramowania lub partner IT zostaje zainfekowany, jego systemy mogą stać się drogą wejścia do sieci klientów.
Anomalie, których szukasz w logach po takim wejściu: logowania z nieznanych lokalizacji geograficznych lub adresów IP, logowania poza normalnymi godzinami pracy, nieoczekiwane podwyższenie uprawnień, dostęp do zasobów do których dane konto normalnie nie ma powodów sięgać.
Jak atakujący porusza się po sieci
Niezależnie od drogi wejścia, po uzyskaniu przyczółka atakujący stara się przejąć kolejne systemy. Techniki są różne: wykorzystanie podatności w protokołach sieciowych (np. MS17-010 “EternalBlue”), użycie skradzionych skrótów haseł (Pass-the-Hash), nadużycie protokołu Kerberos (Kerberoasting, Golden Ticket), eksploracja udziałów sieciowych, wykorzystanie narzędzi administracyjnych (PsExec, WMI, PowerShell Remoting).
Celem jest dotarcie do kontrolera domeny. Kto kontroluje Active Directory, kontroluje wszystko. Dlatego ataki na konta administratorów domeny i konta serwisowe są dla atakujących priorytetem.
To właśnie dlatego segmentacja sieci jest tak ważna. Jeśli ruch między segmentami napotyka bariery, atakujący ma znacznie trudniejsze zadanie. Jeśli sieć jest płaska, czyli każde urządzenie może rozmawiać z każdym, ransomware rozlewa się po całej infrastrukturze w ciągu minut.
Identyfikacja incydentu: szukasz pacjenta zero
Kiedy sieć jest odizolowana i ogień przestał się rozprzestrzeniać, czas na diagnostykę. Szukasz pierwszego urządzenia lub konta, które zostało zaatakowane, punktu w czasie od którego rozpoczęło się włamanie i zakresu naruszenia.
Gdzie patrzeć? Logi systemowe Windows Event Log, szczególnie zdarzenia logowania (ID 4624, 4625, 4648), podwyższania uprawnień i tworzenia nowych kont. Logi firewalla pod kątem połączeń wychodzących do nieznanych adresów IP i ruchu wewnętrznego między hostami, który normalnie nie występuje. Logi DNS pod kątem zapytań do podejrzanych domen. Zdarzenia Active Directory pod kątem zmian w grupach, tworzenia kont i modyfikacji GPO.
Jeśli masz EDR lub SIEM, to jest właśnie moment, dla którego te systemy istnieją. Dobry EDR potrafi pokazać pełne drzewo procesów: który proces co uruchomił, jakie pliki modyfikował, z jakimi adresami IP się łączył. To skraca czas identyfikacji z dni do godzin.
Jeśli nie masz EDR ani SIEM, diagnostyka jest wolniejsza i bardziej manualna. To jest też moment, żeby poważnie pomyśleć o tym, że te narzędzia powinny być częścią infrastruktury przed następnym incydentem.
Obowiązki formalne: 72 godziny to nie jest dużo czasu
Atak ransomware w polskiej firmie niemal zawsze wiąże się z obowiązkami prawnymi, których nie można zignorować. I które biegną równolegle do działań technicznych, nie czekają na opanowanie sytuacji.
Jeżeli doszło do zaszyfrowania lub wykradzenia danych osobowych, administrator ma 72 godziny na zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych. Zegar startuje od momentu wykrycia, nie od momentu zrozumienia pełnego zakresu ataku. To ważna różnica. Nie musisz wiedzieć wszystkiego, żeby złożyć zgłoszenie. Możesz złożyć wstępne zgłoszenie z informacją, że incydent jest w toku i uzupełnić je o szczegóły później. Niedotrzymanie 72-godzinnego terminu to odrębne ryzyko prawne, niezależne od samego ataku.
Poważne incydenty cyberbezpieczeństwa zgłasza się do CERT Polska za pośrednictwem formularza na stronie incydent.cert.pl. Jeśli podejrzewasz popełnienie przestępstwa, zawiadom Policję. Warto to zrobić wcześniej niż później, szczególnie jeśli planujesz analizę śledczą, bo Policja może pomóc w zabezpieczeniu materiału dowodowego zgodnie z procedurami, które będą miały znaczenie jeśli sprawa trafi do sądu.
Jeśli Twoja firma podlega pod NIS2 lub krajowe przepisy o cyberbezpieczeństwie, dochodzą dodatkowe obowiązki notyfikacyjne wobec właściwego CSIRT lub organu nadzorczego. Terminy i procedury zależą od tego, do jakiej kategorii podmiotów zalicza się Twoja firma.
Nowoczesne ataki ransomware bardzo często łączą szyfrowanie z wcześniejszym wykradzeniem danych. To tzw. podwójne wymuszenie: atakujący najpierw kopiuje dane na swoje serwery, a potem szyfruje je u ofiary. Groźba ujawnienia lub sprzedaży danych jest wtedy osobnym narzędziem nacisku, niezależnym od kwestii odtworzenia systemów. Zapłata okupu nie gwarantuje, że skradzione dane nie zostaną upublicznione lub nie trafią do kolejnych kupców na dark webie. Grupy ransomware-as-a-service mają własne strony, na których publikują próbki wykradzionych danych jako dowód i narzędzie presji
Okup: nie płacić. I tu nie ma wyjątków
Wiemy, że w środku kryzysu ta decyzja nie jest prosta. Kilkadziesiąt godzin przestoju to realne kwoty. Presja zarządu jest ogromna. Kwota żądanego okupu często wydaje się niższa niż wyliczone koszty przestoju. A cyberprzestępcy specjalizują się w tworzeniu poczucia pilności i oferowaniu “korzystnych warunków” dla szybko płacących.
Ale odpowiedź jest jednoznaczna: nie płacić.
Argument pierwszy: zapłata nie gwarantuje odzyskania danych. To nie jest transakcja z kontrahentem, który ma prawny obowiązek wywiązać się z umowy. Badania pokazują, że znacząca część firm, które zapłaciły okup, nie odzyskała wszystkich danych. Część dostała klucz deszyfrujący, który działał tylko częściowo. Część nie dostała nic.
Argument drugi: płacenie finansuje kolejne ataki. Na siebie i na innych. Grupy ransomware działają jak biznesy. Reinwestują przychody w infrastrukturę, narzędzia i ludzi. Każdy okup zwiększa budżet na kolejne kampanie. Co więcej, firma która zapłaciła trafia na listy “płatników” i staje się bardziej atrakcyjnym celem dla kolejnego ataku, tym razem z wyższym żądaniem.
Argument trzeci: ryzyko prawne. W zależności od tego z jaką grupą ransomware masz do czynienia, płatność może naruszać sankcje nałożone przez Unię Europejską, USA lub ONZ. Grupy powiązane z Rosją, Koreą Północną czy Iranem są często objęte sankcjami. Przelew kryptowalut do portfela takiej grupy może być traktowany jako naruszenie przepisów o finansowaniu podmiotów objętych sankcjami. Zanim ktokolwiek w firmie rozważy płatność, powinna to ocenić kancelaria prawna z doświadczeniem w prawie cyfrowym.
Co zamiast płacenia? Zanim w ogóle dojdzie do rozmowy o okupie, sprawdź dwie rzeczy. Pierwsza: czy masz backupy i czy są sprawne (o tym za chwilę). Druga: sprawdź portal No More Ransom. To projekt wspierany przez Europol i Interpol, który udostępnia darmowe narzędzia deszyfrujące dla dziesiątek znanych wariantów ransomware. Zdarza się, że jest tam klucz do konkretnego wariantu który Cię dotknął, szczególnie jeśli to starszy lub słabiej utrzymany ransomware.
Narzędzie do rozpoznania wariantu ransomware na podstawie rozszerzenia zaszyfrowanych plików lub treści żądania okupu znajdziesz na ID Ransomware.
Backup: jedyna polisa, która naprawdę działa
Tu dochodzimy do sedna. Wszystkie poprzednie kroki są ważne, ale to co wydarzy się po ataku zależy w 90% od tego, jaką politykę backupu miałaś przed atakiem. Możesz mieć najlepszy firewall, najnowszy EDR i przeszkolonych pracowników. Jeśli nie masz dobrego backupu, ransomware i tak może zakończyć działalność firmy.
Dlatego ten temat zasługuje na więcej miejsca niż jeden akapit.
Reguła 3-2-1. I dlaczego sama reguła to za mało
Reguła 3-2-1 to standard, który od lat funkcjonuje w środowiskach IT jako minimum. Mówi: 3 kopie danych, na 2 różnych typach nośników, z czego 1 off-site. Trzy kopie po to, żeby pojedyncza awaria nie kończyła historii. Dwa typy nośników po to, żeby awaria jednego rodzaju nośnika (np. wszystkich dysków HDD) nie zniszczyła wszystkiego. Jedna kopia off-site po to, żeby pożar, zalanie lub fizyczna kradzież sprzętu w serwerowni nie przekreślała możliwości odtworzenia.
Problem w tym, że ransomware zmienił krajobraz zagrożeń w sposób, którego reguła 3-2-1 nie rozwiązuje. Nowoczesny ransomware celuje w systemy backupu jako jeden z pierwszych celów. Jeśli agent backupu jest zainfekowany, jeśli serwer backupu jest osiągalny z zainfekowanego hosta, jeśli konto z dostępem do backupu zostało przejęte, atakujący może zaszyfrować lub usunąć kopie zapasowe zanim w ogóle włączy szyfrowanie środowiska produkcyjnego.
Dlatego dziś mówi się o regule 3-2-1-1-0: dodatkowe “1” oznacza jedną kopię offline lub air-gap (odizolowaną od sieci), a “0” oznacza zero błędów weryfikacji, czyli każda kopia jest regularnie testowana pod kątem integralności i możliwości odtworzenia.
Immutable backup: kopia, której ransomware nie może dotknąć
Immutable backup to kopia zapasowa, której nie można zmodyfikować ani usunąć przez określony czas od momentu jej utworzenia. Mechanizm WORM (Write Once, Read Many) oznacza, że nawet jeśli atakujący uzyska dostęp do systemu backupu i będzie miał uprawnienia administracyjne, nie może usunąć ani zaszyfrować kopii objętych blokadą.
Zabezpieczenie tego typu jest dostępne na kilku poziomach: na poziomie systemu plików (np. S3 Object Lock w chmurze, XFS reflinks), na poziomie dedykowanych repozytoriów backupu z wbudowaną obsługą WORM i na poziomie taśmy, która jest fizycznie odłączona od sieci po nagraniu.
Immutable backup obsługuje wiele rozwiązań. W Veeam jest to Hardened Repository, dedykowany serwer backupu z bardzo ograniczonymi uprawnieniami sieciowymi, na którym konta backupu mają jedynie uprawnienia do zapisu, bez możliwości modyfikacji ani usunięcia istniejących danych przez zdefiniowany okres. Jeśli środowisko opiera się na XCP-ng, mechanizmy ochrony kopii są dostępne natywnie, bez dodatkowych licencji.
RTO i RPO: liczby, które mają znaczenie podczas kryzysu
RTO (Recovery Time Objective) to maksymalny akceptowalny czas przestoju: jak długo firma może nie działać zanim straty staną się krytyczne. RPO (Recovery Point Objective) to maksymalna akceptowalna utrata danych: do jak starego punktu w czasie możemy cofnąć dane i jest to wciąż do przyjęcia.
Te dwa parametry powinny być określone przed atakiem, nie podczas. I powinny przekładać się na konkretną architekturę backupu.
Firma z RTO 4 godzin i RPO 1 godziny potrzebuje zupełnie innej infrastruktury niż firma, która akceptuje 48 godzin przestoju i utratę danych z ostatnich 24 godzin. Pierwsza musi mieć replikację w czasie zbliżonym do rzeczywistego, gotowe środowisko do natychmiastowego uruchomienia maszyn wirtualnych z backupu (Instant VM Recovery) i przećwiczone procedury przełączenia awaryjnego. Druga może sobie pozwolić na prostszą architekturę.
Problem, który widzimy często: firmy nie znają swoich RTO i RPO, bo nigdy ich nie ustaliły. Dowiadują się w trakcie kryzysu, że “tydzień przestoju to za dużo”, ale nie mają infrastruktury pozwalającej na szybsze odtworzenie.
Warto też wspomnieć, że jeśli Twoja infrastruktura opiera się na XCP-ng, masz wbudowany system backupu od ręki, co samo w sobie znacząco obniża koszty całego środowiska. Veeam doskonale integruje się z XCP-ng jeśli potrzebujesz bardziej zaawansowanych funkcji, ale już sam XCP-ng daje solidną podstawę.
Segmentacja sieci i Zero Trust: jak zatrzymać ransomware, który już jest w środku
Nawet najlepsza ochrona brzegu sieci nie zagwarantuje, że atakujący nigdy do niej nie wejdzie. Phishing działa. Ludzie klikają. Podatności są odkrywane szybciej, niż firmy wgrywają patche. Dlatego architektura bezpieczeństwa musi zakładać, że atakujący prędzej czy później znajdzie się w środku.
Pytanie brzmi nie “jak nie dopuścić do wejścia”, ale “jak ograniczyć co może zrobić po wejściu”.
Sieć płaska to raj dla ransomware
W tradycyjnej architekturze sieciowej cały ruch wewnętrzny jest traktowany jako zaufany. Jeśli urządzenie jest w sieci firmowej, może rozmawiać z innymi urządzeniami bez większych ograniczeń. To był model sensowny, gdy sieć była fizycznie odizolowana i wszyscy pracownicy siedzieli w jednym budynku.
Dziś to model niebezpieczny. W sieci płaskiej ransomware, który zainfekował stację roboczą pracownika działu HR, może bez przeszkód:
- skanować całą podsieć w poszukiwaniu udziałów SMB i szyfrować wszystkie dostępne pliki,
- łączyć się z serwerem baz danych i szyfrować dane,
- dosięgnąć serwera backupu i usuwać lub szyfrować kopie zapasowe,
- dotrzeć do kontrolera domeny i przejąć pełną kontrolę nad infrastrukturą.
Wszystko to bez żadnego dodatkowego przełamywania zabezpieczeń. Po prostu dlatego, że sieć na to pozwala.
Mikrosegmentacja: każdy segment to osobna bariera
Mikrosegmentacja polega na podziale sieci na mniejsze strefy z precyzyjnie zdefiniowanymi regułami komunikacji między nimi. Zamiast reguły “wszystkie urządzenia w sieci 192.168.1.0/24 mogą rozmawiać ze wszystkimi”, masz reguły określone na poziomie hosta źródłowego, hosta docelowego i konkretnego portu oraz protokołu.
Stacje robocze działu HR mogą łączyć się z serwerem aplikacji kadrowej na porcie 443. Nie mogą łączyć się bezpośrednio z serwerem baz danych, z serwerem backupu ani z innymi stacjami roboczymi. Serwer backupu jest w dedykowanej strefie z ograniczonym dostępem wyłącznie z serwera Veeam. Kontroler domeny przyjmuje połączenia tylko z wyznaczonych stacji administracyjnych.
W praktyce takie reguły wymagają dobrego NGFW (firewalla nowej generacji) lub dedykowanych narzędzi do mikrosegmentacji. Na poziomie sieci wirtualnej, jeśli środowisko jest zwirtualizowane, można to realizować przez wbudowane w hiperwizor mechanizmy filtrowania ruchu.
Efekt: nawet jeśli jedna stacja robocza zostaje zainfekowana, ransomware nie ma drogi do serwera plików, serwera backupu ani kontrolera domeny. Zasięg ataku jest zamknięty w jednej strefie.
Zero Trust: nie ufaj nikomu, weryfikuj wszystko
Zero Trust to podejście, które mówi: nie ma czegoś takiego jak “zaufana sieć wewnętrzna”. Każde żądanie dostępu, niezależnie skąd pochodzi, wymaga weryfikacji. MFA, zasada minimalnych uprawnień, ciągła weryfikacja sesji. Nawet częściowe wdrożenie znacznie utrudnia atakującemu poruszanie się po sieci po tym jak już do niej wejdzie. Temat Zero Trust opisujemy szczegółowo w osobnym artykule: Zero Trust Security: 3 błędy, które zagrażają Twojej firmie.
Dostęp administracyjny: najczęstszy cel, najsłabiej chroniony
Konta administratorów są priorytetowym celem dla ransomware z oczywistego powodu: kto ma uprawnienia admina, może zaszyfrować wszystko. Dlatego ochrona kont administracyjnych zasługuje na osobny akapit.
Konto administratora domenowego nie powinno być używane do codziennej pracy. Administrator powinien mieć oddzielne konto do normalnej pracy (e-mail, dokumenty) i oddzielne konto z podwyższonymi uprawnieniami, używane wyłącznie do zadań administracyjnych z dedykowanej, chronionej stacji.
Dostęp administracyjny (SSH, RDP, WinRM) powinien być możliwy wyłącznie z wyznaczonych hostów. Nie z dowolnego miejsca w sieci, nie przez ogólny VPN, tylko z konkretnych, zarządzanych stacji administracyjnych.
PAW (Privileged Access Workstation) to dedykowana stacja robocza do zadań administracyjnych, która nie jest używana do przeglądania internetu, czytania e-maila ani żadnej innej codziennej pracy. Nawet jeśli codzienna stacja robocza administratora zostanie zainfekowana, atakujący nie ma automatycznego dostępu do kont z podwyższonymi uprawnieniami.
Po ataku: nie wracaj do punktu wyjścia
Firmy, które przeżyły atak ransomware i dobrze zarządziły kryzysem, mają jedną wspólną cechę: traktują go jako sygnał do gruntownej zmiany, a nie jako wypadek, który się zdarzył i się skończy.
To jest bolesna, kosztowna lekcja, ale jeśli ma przynieść coś pozytywnego, to właśnie zmianę podejścia do bezpieczeństwa IT. Firmy, które po ataku wracają do dokładnie tego samego środowiska bez żadnych zmian, statystycznie są bardziej narażone na kolejny atak.
Reset haseł i MFA: minimum, które trzeba zrobić zaraz
Natychmiast po opanowaniu incydentu i przed odtworzeniem środowiska produkcyjnego zresetuj hasła do wszystkich kont. Nie tylko tych, które były bezpośrednio powiązane z atakiem. Zakładaj, że atakujący, który przebywał w Twojej sieci tygodniami przed uruchomieniem szyfrowania, zebrał znacznie więcej danych uwierzytelniających niż widzisz w logach.
Zmień hasła do: kont użytkowników domenowych, kont administratorów lokalnych na wszystkich maszynach, kont serwisowych, kont w systemach backupu, kont do routerów, przełączników i firewalli, kont w systemach zewnętrznych.
Jednocześnie wdróż MFA wszędzie tam, gdzie jeszcze go nie ma. Szczególnie dla dostępu zdalnego (VPN, RDP), dla kont z podwyższonymi uprawnieniami i dla poczty e-mail. MFA nie jest stuprocentową ochroną, ale radykalnie podnosi koszt przejęcia konta.
Aktualizacje: nudny obowiązek, który realnie chroni
Ransomware nagminnie wykorzystuje znane podatności, dla których łatki istnieją od miesięcy. EternalBlue, podatności w Exchange, Log4Shell, słabości w urządzeniach VPN różnych producentów, to luki, które były intensywnie wykorzystywane przez ransomware długo po wydaniu poprawek.
Polityka zarządzania aktualizacjami nie jest biurokratyczną procedurą. Jest realną barierą dla ataku. Niezałatany system to otwarta furtka, przez którą atakujący wchodzi bez większego wysiłku.
Zakres aktualizacji po ataku: systemy operacyjne na wszystkich maszynach, oprogramowanie VPN i urządzenia brzegowe (NGFW, routery), oprogramowanie RDP i usługi zdalnego dostępu, firmware urządzeń sieciowych, biblioteki i zależności w aplikacjach wewnętrznych.
EDR: czego nie widzi tradycyjny antywirus
Tradycyjny antywirus bazuje na sygnaturach: zna wzorzec złośliwego oprogramowania i blokuje je, gdy je rozpozna. To podejście działa na znane zagrożenia. Nie działa na ataki bezplikowe (fileless malware), gdzie złośliwy kod jest uruchamiany wyłącznie w pamięci bez zapisywania pliku na dysku. Nie działa na nowe warianty ransomware, których sygnatur jeszcze nie ma w bazie. Nie działa na ataki, które używają legalnych narzędzi systemowych.
EDR (Endpoint Detection and Response) monitoruje zachowanie procesów, nie tylko sygnatury. Widzi: który proces co uruchomił, jakie pliki modyfikował, z jakimi adresami komunikował się przez sieć, czy zachowanie procesu odbiega od normy. Potrafi zablokować atak, który wygląda jak normalne narzędzie administracyjne, ale zachowuje się jak ransomware.
Po ataku wdrożenie lub weryfikacja EDR na wszystkich stacjach i serwerach to jedno z pierwszych zadań. Bez tego środowisko jest praktycznie ślepe na to co się w nim dzieje.
Incident Response Plan: dokument, który musi działać o 3 w nocy
Wiele firm ma Incident Response Plan gdzieś w dokumentacji. Znacznie mniej firm wie czy ten plan działa w praktyce.
Dobry IRP to nie dokument opisujący co robić “w razie ataku”. To szczegółowy scenariusz postępowania z konkretnymi procedurami, przypisanymi osobami (z kontaktami do wszystkich, w tym do osób zastępczych kiedy ktoś jest na urlopie), określonymi ścieżkami eskalacji i zewnętrznymi kontaktami.
Co powinno być w IRP dla scenariusza ransomware: kto jest odpowiedzialny za decyzję o izolacji sieci, jak kontaktować się z pracownikami gdy systemy e-mail nie działają, kto informuje zarząd i kiedy, kto odpowiada za komunikację zewnętrzną (klienci, partnerzy, media), kiedy i jak angażować zewnętrznych ekspertów ds. cyberbezpieczeństwa, jak przebiega zgłoszenie do UODO i CERT Polska.
IRP bez ćwiczeń to fikcja. Raz na rok warto przeprowadzić ćwiczenie na podstawie scenariusza ataku: usiąść z kluczowymi osobami i przejść przez sytuację kryzysową krok po kroku, żeby sprawdzić czy procedury są realistyczne i czy wszyscy wiedzą co mają robić.
Ochrona warstwowa: jak wygląda środowisko odporne na ransomware
Atak ransomware to zawsze wypadkowa kilku zaniedbań, rzadko kiedy tylko jedno słabe ogniwo. Dlatego ochrona też musi być warstwowa. Żadna pojedyncza technologia nie wystarczy.
Warstwa dostępu. Zero Trust zamiast “ufamy wszystkiemu w sieci wewnętrznej”. MFA dla wszystkich użytkowników. Zasada minimalnych uprawnień: każde konto ma dostęp tylko do tego czego bezwzględnie potrzebuje. Osobne konta do zadań administracyjnych i do codziennej pracy. Regularne przeglądy uprawnień.
Warstwa detekcji. Monitoring infrastruktury sieciowej (w naszych wdrożeniach często LibreNMS). SIEM zbierający i łączący zdarzenia bezpieczeństwa ze wszystkich źródeł. EDR na stacjach końcowych i serwerach. Aktywna analiza alertów, nie tylko ich zbieranie. Bez monitoringu środowisko jest ślepe na to co się w nim dzieje.
Warstwa ochrony brzegu sieci. NGFW z aktywnym IPS/IDS, filtrowaniem URL i inspekcją SSL/TLS. Mikrosegmentacja ograniczająca przemieszczanie się atakującego po sieci. Szczelna polityka dostępu do usług zdalnych. Regularne przeglądy reguł firewalla, bo nieaktualne reguły to otwarte drzwi.
Warstwa backupu. Reguła 3-2-1-1-0. Immutable storage dla co najmniej jednej kopii. Regularne, automatyczne testy odtwarzania (SureBackup w Veeam). Określone RTO i RPO. Serwer backupu w odizolowanej strefie sieciowej, niedostępnej bezpośrednio z sieci produkcyjnej. Konta backupu z minimalnymi uprawnieniami.
Warstwa ludzka. Szkolenia z phishingu i inżynierii społecznej, regularne, nie jednorazowe. Symulowane ataki phishingowe. Jasne procedury zgłaszania podejrzanych e-maili i, co ważne, kultura w której nikt nie boi się zgłosić że kliknął coś podejrzanego. Firma, w której pracownicy ukrywają pomyłki ze strachu przed karą, jest bardziej narażona na atak niż firma, w której błędy są zgłaszane szybko.
Każda z tych warstw osobno jest niewystarczająca. Razem tworzą środowisko, w którym ransomware napotka opór na każdym etapie, a nawet jeśli wejdzie do sieci, zasięg ataku będzie ograniczony i odtworzenie realistyczne.
Kiedy warto sięgnąć po wsparcie z zewnątrz?
Zarządzanie bezpieczeństwem IT jest złożone i pochłania dużo zasobów. Działy IT w średnich firmach rzadko mają czas, żeby jednocześnie utrzymywać infrastrukturę, aktualizować polityki bezpieczeństwa, analizować alerty i nadążać za nowymi zagrożeniami.
Nie ma w tym niczego złego. To kwestia zasobów i specjalizacji, nie kompetencji. Tak samo jak firma produkcyjna zatrudnia specjalistę od logistyki zamiast samodzielnie zarządzać łańcuchem dostaw, zlecenie wybranych obszarów IT wyspecjalizowanemu partnerowi jest racjonalną decyzją biznesową.
Z naszego doświadczenia obszary, w których zewnętrzne wsparcie przynosi największą wartość to: zarządzanie backupem i testowanie odtwarzania (bo to wymaga regularnej uwagi, którą wewnętrzny IT rzadko ma), monitoring bezpieczeństwa i reagowanie na alerty (bo alerty trzeba analizować bez przerwy, nie tylko w godzinach pracy), projektowanie i utrzymanie segmentacji sieci (bo polityki firewalla wymagają regularnych przeglądów i aktualizacji) i audyty przed incydentem (bo lepiej wiedzieć o słabych punktach przed atakiem niż w trakcie).
FAQ
Czy można odzyskać dane po ataku ransomware bez płacenia okupu?
Tak, jeśli masz sprawne kopie zapasowe lub jeśli istnieje publiczny deszyfrator dla danego wariantu ransomware. Portal No More Ransom (nomoreransom.org) to pierwsze miejsce, które warto sprawdzić. Narzędzie do rozpoznania wariantu: ID Ransomware (id-ransomware.malwarehunterteam.com).
Czy firma ma obowiązek zgłosić atak ransomware?
Jeśli doszło do naruszenia danych osobowych: UODO w ciągu 72 godzin od wykrycia. Poważne incydenty cyberbezpieczeństwa zgłasza się do CERT Polska (incydent.cert.pl). Firmy objęte NIS2 mają dodatkowe obowiązki notyfikacyjne.
Jak długo trwa odtworzenie po ataku ransomware?
To zależy wyłącznie od jakości backupu i przygotowania infrastruktury. Przy regule 3-2-1-1-0 i regularnie testowanych kopiach, krytyczne systemy można postawić w kilka godzin. Przy braku backupu lub gdy backup jest zainfekowany, odtworzenie może zająć tygodnie albo nie być możliwe.
Czy zapłacenie okupu jest nielegalne?
W Polsce sam akt zapłaty nie jest automatycznie przestępstwem, ale może naruszać sankcje wobec grup przestępczych powiązanych z Rosją, Koreą Północną lub Iranem. Każdy przypadek wymaga konsultacji z prawnikiem. Niezależnie od aspektu prawnego, radzimy nie płacić.
Jak sprawdzić, czy nasze backupy są bezpieczne?
Wykonaj test odtworzenia na odizolowanym środowisku. Sprawdź czy serwer backupu jest w osobnej strefie sieciowej niedostępnej bezpośrednio z sieci produkcyjnej. Sprawdź czy używasz immutable storage lub air-gap dla co najmniej jednej kopii. Sprawdź datę ostatniego testu odtwarzania. Jeśli minęły ponad 3 miesiące, czas to zrobić.
Czy małe i średnie firmy są atakowane przez ransomware?
Tak, i to bardzo często. Nowoczesne grupy ransomware-as-a-service działają na modelu, w którym partnerzy kupują dostęp do narzędzi i atakują tysiące celów jednocześnie. Firmy średniej wielkości są często atrakcyjniejszym celem niż korporacje, bo mają wartościowe dane, ale słabsze zabezpieczenia. Przekonanie “jesteśmy za mali żeby ktoś nas atakował” to mit, który kosztuje.
Co to jest ransomware-as-a-service?
To model, w którym twórcy ransomware udostępniają swoje narzędzia innym przestępcom za udział w zyskach z okupów. Oznacza to, że możliwości do przeprowadzania zaawansowanych ataków są dostępne dla każdego kto zapłaci, a skala ataków rośnie wykładniczo. Grupy takie jak LockBit, BlackCat/ALPHV czy Cl0p działały właśnie w tym modelu.
