Ransomware: jak naprawdę się bronić, a nie tylko płacić
Ataki ransomware rzadko zaczynają się od szyfrowania. Rozkładamy łańcuch ataku na czynniki i pokazujemy, gdzie najtaniej go przerwać.
W powszechnym wyobrażeniu atak ransomware to nagłe pojawienie się komunikatu o okupie. W rzeczywistości szyfrowanie danych to ostatni etap operacji, która trwała zwykle od kilku dni do kilku tygodni. To dobra wiadomość: każdy etap tego łańcucha daje szansę na wykrycie i zatrzymanie ataku, zanim dojdzie do najgorszego.
Anatomia typowego ataku
Większość incydentów, które analizujemy, przebiega według podobnego schematu:
- Wejście. Najczęściej przez przejęte konto (phishing, hasło bez MFA) lub niezałataną usługę wystawioną do internetu — VPN, RDP, serwer aplikacyjny.
- Utrwalenie dostępu. Atakujący zakłada mechanizmy zapewniające powrót do sieci nawet po restarcie czy zmianie hasła.
- Eskalacja uprawnień. Celem jest konto administratora domeny. Tu kluczową rolę odgrywają błędy w Active Directory i nadmiarowe uprawnienia.
- Rozpoznanie i ruch boczny. Mapowanie sieci, wyszukiwanie kopii zapasowych i krytycznych serwerów.
- Eksfiltracja danych. Coraz częściej dane są najpierw wykradane, a dopiero potem szyfrowane — to model podwójnego wymuszenia.
- Szyfrowanie. Często uruchamiane w weekend lub w nocy, gdy reakcja jest najwolniejsza.
Gdzie przerwać łańcuch
Obrona przed ransomware to nie pojedyncze narzędzie, lecz utrudnianie atakującemu każdego z powyższych kroków.
Ogranicz wejście. Wymuś uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach dostępu zdalnego i poczcie. To pojedyncza zmiana, która eliminuje większość ataków opartych na wykradzionych hasłach. Usługi takie jak RDP nigdy nie powinny być bezpośrednio dostępne z internetu.
Utrudnij eskalację. Regularny przegląd Active Directory pod kątem nadmiarowych uprawnień, nieużywanych kont i ścieżek ataku (narzędzia takie jak BloodHound) odcina atakującemu drogę do konta administratora domeny.
Spowolnij ruch boczny. Segmentacja sieci sprawia, że przejęcie jednej stacji nie oznacza dostępu do całej infrastruktury. Konta serwisowe powinny mieć minimalne, ściśle określone uprawnienia.
Kopie zapasowe — ostatnia linia obrony
Atakujący wiedzą, że kopie zapasowe to ich największy wróg, dlatego celują w nie w pierwszej kolejności. Kopia podłączona na stałe do sieci i dostępna z konta administratora zostanie zaszyfrowana razem z resztą.
Sprawdza się zasada 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, jedna w lokalizacji odseparowanej (offline lub niezmienna — immutable). Równie ważne jest regularne testowanie odtwarzania. Kopia, której nigdy nie próbowano przywrócić, jest tylko założeniem, a nie zabezpieczeniem.
Wykrywanie zamiast wyłącznie prewencji
Skoro atak trwa dniami, jest czas na jego wykrycie. Warto monitorować sygnały wczesnego ostrzegania: nietypowe logowania administracyjne, masowe operacje na plikach, uruchamianie narzędzi do zrzutu poświadczeń czy nagły wzrost ruchu wychodzącego (oznaka eksfiltracji). System EDR i centralne logowanie zdarzeń dają tu realną przewagę.
Ransomware jako usługa — z kim naprawdę walczysz
Współczesne grupy ransomware nie są samotnymi hakerami. To dojrzały ekosystem RaaS (Ransomware-as-a-Service): twórcy złośliwego oprogramowania wynajmują je „afiliantom”, którzy przeprowadzają ataki i dzielą się okupem. Osobni brokerzy dostępu (initial access brokers) sprzedają na forach przejęte konta VPN i RDP — często za kilkaset dolarów. Oznacza to, że wejście do Twojej sieci i samo szyfrowanie to zwykle dwie różne grupy, a między sprzedażą dostępu a atakiem może minąć kilka tygodni.
Dla obrońców płynie z tego praktyczny wniosek: wyciek pojedynczego hasła nie jest incydentem zamkniętym. Jeśli konto VPN pracownika pojawiło się w wycieku, trzeba założyć, że dostęp mógł już zostać odsprzedany — reset hasła bez MFA i przeglądu logów to za mało.
Model wymuszenia też ewoluował. Podwójne wymuszenie (szyfrowanie + groźba publikacji danych) jest dziś standardem, a część grup stosuje potrójne: dodatkowo kontaktuje się z klientami i partnerami ofiary albo zgłasza wyciek regulatorom. Właśnie dlatego same kopie zapasowe, choć konieczne, nie wystarczą — nie chronią przed publikacją wykradzionych danych.
Plan reagowania: co robić, gdy atak już trwa
Nawet najlepsza prewencja może zawieść, dlatego każda organizacja powinna mieć przećwiczony scenariusz. Kolejność działań ma znaczenie:
- Izoluj, nie wyłączaj. Odetnij zainfekowane maszyny od sieci (fizycznie lub przez VLAN), ale nie wyłączaj ich — w pamięci RAM mogą być klucze szyfrujące i ślady przydatne w analizie.
- Odetnij dostęp zdalny. Zablokuj VPN, konta serwisowe i dostęp administracyjny do czasu ustalenia, które konta są przejęte.
- Zabezpiecz kopie zapasowe. Natychmiast odizoluj infrastrukturę backupu — jeśli atak jeszcze trwa, kopie są celem numer jeden.
- Uruchom komunikację kryzysową. Wyznacz jedną osobę do kontaktu z zarządem, prawnikami i ewentualnie mediami. Komunikuj się kanałem niezależnym od firmowej poczty — mogła zostać przejęta.
- Zgłoś incydent. CERT Polska (cert.pl), a w przypadku danych osobowych — UODO w ciągu 72 godzin. Podmioty objęte NIS2 mają dodatkowe obowiązki raportowe (wczesne ostrzeżenie w 24 godziny).
- Nie negocjuj samodzielnie. Jeśli rozważana jest jakakolwiek komunikacja z atakującymi, prowadź ją przez wyspecjalizowaną firmę i prawników — również ze względu na sankcje międzynarodowe.
Wymogi prawne: RODO i NIS2
Atak ransomware to niemal zawsze także incydent prawny. Jeżeli zaszyfrowane lub wykradzione zostały dane osobowe, RODO wymaga zgłoszenia naruszenia do UODO w ciągu 72 godzin od jego stwierdzenia, a przy wysokim ryzyku — także powiadomienia osób, których dane dotyczą. Podmioty ważne i kluczowe w rozumieniu NIS2 muszą przekazać wczesne ostrzeżenie w ciągu 24 godzin i raport wstępny w 72 godziny. Brak działającego planu reagowania oznacza, że te terminy mijają, zanim organizacja w ogóle ustali, co się stało.
Od czego zacząć: pięć działań o największym zwrocie
Jeśli mielibyśmy wskazać minimalny sensowny plan na najbliższy kwartał, wyglądałby tak:
- MFA wszędzie tam, gdzie jest dostęp zdalny i poczta — koszt niski, efekt największy.
- Inwentaryzacja usług wystawionych do internetu i zamknięcie/załatanie wszystkiego, co zbędne lub przestarzałe.
- Niezmienna (immutable) kopia zapasowa + test odtworzenia — z mierzonym czasem przywrócenia kluczowych systemów.
- Przegląd Active Directory pod kątem ścieżek eskalacji i kont z nadmiarowymi uprawnieniami.
- Godzinne ćwiczenie sztabowe (tabletop) z zarządem: kto decyduje, kto komunikuje, gdzie są kontakty awaryjne.
Czy płacić okup?
Płacenie nie gwarantuje odzyskania danych ani tego, że nie zostaną one i tak opublikowane. Finansuje też kolejne ataki. Z naszego doświadczenia organizacje, które zainwestowały wcześniej w działające kopie zapasowe i plan reagowania, niemal nigdy nie stają przed tym dylematem — odtwarzają środowisko z backupu.
Podsumowanie
Ransomware nie jest atakiem, przed którym nie da się obronić. Jest atakiem wieloetapowym, a to oznacza wiele okazji do jego przerwania: MFA, hardening Active Directory, segmentacja, niezmienne kopie zapasowe i wykrywanie anomalii. Jeśli chcesz sprawdzić, jak daleko w Twojej sieci zaszedłby atakujący, umów test penetracyjny — przeprowadzimy kontrolowany scenariusz i wskażemy słabe punkty.
Najczęstsze pytania (FAQ)
Jak długo trwa atak ransomware, zanim dojdzie do szyfrowania? Zwykle od kilku dni do kilku tygodni od pierwszego wejścia do sieci. To okno, w którym atak można wykryć i zatrzymać — pod warunkiem, że ktoś monitoruje logi i alerty EDR. W skrajnych przypadkach (np. gotowy dostęp kupiony od brokera i zautomatyzowany atak) całość może zamknąć się w kilkanaście godzin.
Czy mała firma naprawdę jest celem? Tak — właśnie dlatego, że atak jest zautomatyzowany. Skanery grup ransomware nie sprawdzają wielkości firmy, tylko otwarte porty i podatne wersje usług. Małe firmy padają ofiarą rzadziej opisywanych, ale częstszych ataków „oportunistycznych”, a okup jest kalibrowany do ich przychodów.
Mamy backup w chmurze. Czy to wystarczy? Zależy od konfiguracji. Jeśli kopia jest zsynchronizowana na bieżąco i dostępna z tych samych kont co środowisko produkcyjne, zostanie zaszyfrowana albo usunięta razem z nim. Kluczowe są: wersjonowanie, niezmienność (immutability/object lock), osobne poświadczenia oraz regularny test odtworzenia.
Czy ubezpieczenie cyber pokryje straty? Coraz częściej tak, ale polisy wymagają wykazania konkretnych zabezpieczeń (MFA, EDR, kopie offline) — ich brak może oznaczać odmowę wypłaty. Ubezpieczenie nie zastępuje też planu reagowania: przestój operacyjny i utrata zaufania klientów nie znikają po wypłacie odszkodowania.
Od czego zacząć, jeśli nie mamy nic z powyższej listy? Od MFA na dostępie zdalnym i poczcie oraz od jednej przetestowanej kopii zapasowej odpornej na nadpisanie. Te dwa kroki przerywają najczęstsze scenariusze. Kolejny krok to audyt bezpieczeństwa, który ułoży resztę działań według realnego ryzyka.