Ransomware - czym jest, jak działa i jak się chronić
Ransomware - przewodnik dla organizacji: rodzaje ataków, incydenty 2017-2025 (Colonial Pipeline, Change Healthcare), ochrona, plan reagowania, statystyki.
Ransomware to dziś jedno z największych zagrożeń operacyjnych dla organizacji - nie tylko problem techniczny, ale ryzyko biznesowe z wymiernym kosztem: przestoje produkcyjne, wyciek danych klientów, grzywny regulacyjne i utrata zaufania kontrahentów.
Skala problemu rośnie. W pierwszym półroczu 2025 Polska znalazła się na pierwszym miejscu na świecie pod względem wykrytych ataków ransomware - 6% wszystkich globalnych incydentów według raportu ESET. Wzrost wskazuje na aktywne targetowanie regionu przez grupy RaaS. Średnio 9 potwierdzonych ataków dziennie - a to tylko te zgłoszone do CERT Polska.
Od dyskietek do zorganizowanej przestępczości
Jak to się zaczęło
Pierwszy ransomware pojawił się w 1989 roku. AIDS Trojan, znany też jako PC Cyborg, był dystrybuowany na dyskietkach 5,25 cala - podszywał się pod ankietę dotyczącą ryzyka zarażenia wirusem HIV. Po 90 restartach komputera szyfrował nazwy plików na dysku C i żądał wysłania 189 dolarów pocztą do skrytki w Panamie. Wiadomość o okupie drukowała się na drukarce podłączonej do komputera.
Przez następne kilkanaście lat ransomware pozostawał ciekawostką. Wszystko zmieniło się w 2013 roku, gdy pojawił się CryptoLocker - pierwszy ransomware wykorzystujący kryptografię asymetryczną RSA-2048 i płatności w Bitcoinie. W ciągu pierwszych stu dni zainfekował ponad 250 000 urządzeń. Mechanizm był prosty: e-mail z załącznikiem udającym fakturę, klik, szyfrowanie. Mimo że niewiele ofiar zapłaciło, przestępcy zarobili ponad 3 miliony dolarów.
Sześć generacji ransomware
Każda kolejna generacja podniosła stawkę - zarówno pod względem wyrafinowania technicznego, jak i żądanych kwot.
| Generacja | Okres | Co się zmieniło | Kluczowy przykład |
|---|---|---|---|
| 1. Fizyczna dystrybucja | 1989-2005 | Dyskietki, proste szyfrowanie symetryczne | AIDS/PC Cyborg (1989) - okup 189 USD pocztą |
| 2. Kryptografia asymetryczna | 2006-2015 | RSA, płatność Bitcoin, masowa dystrybucja | CryptoLocker (2013) - 250 000 ofiar, 3 mln USD |
| 3. Robaki sieciowe | 2016-2018 | Automatyczna propagacja bez interakcji użytkownika | WannaCry (2017) - 200 000 komputerów w 100 krajach |
| 4. Big Game Hunting | 2018-2021 | Celowane ataki, tygodnie rekonesansu, ręczne operacje | Ryuk / Conti - średni okup >1 mln USD |
| 5. Double/triple extortion | 2020-teraz | Kradzież danych + szyfrowanie + szantaż publikacją + DDoS | LockBit, ALPHV/BlackCat |
| 6. RaaS + ataki na OT | 2023-teraz | Ransomware-as-a-Service, ataki na infrastrukturę fizyczną | BlackSuit, ataki na produkcję i energetykę |
Przejście z generacji 3 do 4 było punktem zwrotnym. WannaCry w 2017 roku zainfekował 200 000 komputerów w 100 krajach - w tym systemy brytyjskiej służby zdrowia NHS, rosyjskie banki i fabryki Nissana. Ale WannaCry był “głupi” - rozprzestrzeniał się automatycznie, wykorzystując lukę EternalBlue w SMB, na którą Microsoft wydał łatkę miesiąc wcześniej. Okup wynosił zaledwie 300 dolarów. Przestępcy zebrali łącznie około 100 000 USD - ułamek spowodowanych szkód.
Ryuk zmienił zasady gry. Zamiast masowego bombardowania, operatorzy Ryuka przez tygodnie infiltrowali sieć ofiary - identyfikowali kluczowe serwery, kradli dane, niszczyli kopie zapasowe, wyłączali antywirusy. Dopiero gdy kontrolowali całą infrastrukturę, uruchamiali szyfrowanie. Pierwszy atak przyniósł 705 BTC (wówczas około 10 mln PLN). To był początek ery “Big Game Hunting” - polowania na duże cele.
Incydenty które zdefiniowały branżę
Niektóre ataki ransomware zmieniły nie tylko ofiary, ale całą branżę cyberbezpieczeństwa - wymuszając nowe regulacje, inwestycje i podejście do ochrony.
NotPetya (2017) - gdy ransomware to tak naprawdę broń
W czerwcu 2017 roku program podszywający się pod ransomware zaatakował ukraińskie firmy przez zainfekowaną aktualizację programu księgowego M.E.Doc. W ciągu godzin rozprzestrzenił się globalnie. Maersk - największa firma transportowa świata - straciła całą infrastrukturę IT i przez 10 dni funkcjonowała “na papierze”. Merck, FedEx, Mondelez - łączne straty przekroczyły 10 miliardów dolarów.
Kluczowy wniosek: NotPetya nie był ransomwarem - był wiperem zamaskowanym jako ransomware. Nawet zapłacenie okupu nie przywracało danych, bo mechanizm deszyfrowania nigdy nie istniał. To pokazało, że nie każdy atak wyglądający jak ransomware faktycznie nim jest.
Colonial Pipeline (2021) - jedno hasło, jeden rurociąg
W maju 2021 grupa DarkSide zaszyfrowała systemy IT operatora największego rurociągu paliwowego na wschodnim wybrzeżu USA. Wektor wejścia? Skompromitowane hasło do starego konta VPN bez uwierzytelniania wieloskładnikowego. Colonial Pipeline zapłacił 4,4 miliona dolarów okupu.
Ale prawdziwy problem był gdzie indziej. Ransomware dotknął wyłącznie systemy IT - nie systemy sterowania rurociągiem. Operator wyłączył rurociąg prewencyjnie, bo nie miał pewności, czy atak nie wpłynął na system MES (Manufacturing Execution System) odpowiedzialny za rozliczenia przesyłu. Bez działającego MES firma nie była w stanie określić ile i jakiego surowca przesyła, komu i za ile. Incydent IT zamienił się w kryzys infrastruktury krytycznej - kolejki na stacjach benzynowych i stan wyjątkowy w kilku stanach.
Change Healthcare (2024) - największy wyciek danych medycznych
W lutym 2024 roku grupa ALPHV/BlackCat zaatakowała Change Healthcare - firmę przetwarzającą rozliczenia medyczne dla większości szpitali i aptek w USA. Wektor wejścia: skompromitowane poświadczenia do portalu Citrix bez MFA. Atakujący przez 9 dni poruszali się po sieci, zanim uruchomili szyfrowanie.
UnitedHealth Group (właściciel Change Healthcare) zapłacił 22 miliony dolarów okupu. Danych nie odzyskano - afiliant grupy ALPHV wyciekł je na dark web, próbując dodatkowego szantażu. Łączny koszt incydentu przekroczył 2,5 miliarda dolarów. Dane 100 milionów osób zostały skompromitowane - największy wyciek danych medycznych w historii USA.
Pozostałe kluczowe incydenty
| Incydent | Rok | Ofiara | Okup / koszt | Kluczowy wniosek |
|---|---|---|---|---|
| WannaCry | 2017 | NHS, Nissan, FedEx (100 krajów) | ~100 tys. USD zebranego okupu | Łatka istniała od miesiąca - aktualizacje ratują |
| Norsk Hydro | 2019 | Producent aluminium (Norwegia) | 35-41 mln USD strat | LockerGoga - paraliż produkcji, firma nie zapłaciła |
| JBS Foods | 2021 | Producent mięsa (globalnie) | 11 mln USD (REvil) | Zamknięcie zakładów w USA, Australii, Kanadzie |
| MOVEit | 2023 | 2 700 organizacji globalnie | 93 mln osób dotkniętych (Cl0p) | Supply chain - jedna podatność = tysiące ofiar |
| Atak na OZE w Polsce | 2025 | 30+ farm wiatrowych, elektrociepłownia | Uszkodzenie firmware RTU | Wiper na OT - destrukcja, nie okup |
Źródła: CISA advisories, FBI IC3 Annual Reports, UnitedHealth Group SEC filings, CERT Polska, raporty Mandiant i Dragos.
Ransomware w środowiskach przemysłowych
Ransomware w sieciach OT to problem osobny i rosnący. Raport Dragos 2026 OT Cybersecurity Year in Review (opublikowany w lutym 2026, obejmujący dane za 2025 rok) dokumentuje 49% wzrost liczby grup ransomware atakujących organizacje przemysłowe - z 80 w 2024 do 119 w 2025. Te grupy łącznie dotknęły 3 300 organizacji. Produkcja odpowiada za ponad dwie trzecie ofiar. Średni czas przebywania ransomware w środowiskach OT (dwell time) wynosi 42 dni - organizacje z pełną widocznością OT skracają ten czas do 5 dni.
Różnica między ransomware w IT a w OT jest fundamentalna. W IT ransomware szyfruje dane - bolesne, ale odwracalne przy dobrym backupie. W OT ransomware może zatrzymać linię produkcyjną, uszkodzić fizyczne urządzenia albo - w najgorszym scenariuszu - zagrozić bezpieczeństwu ludzi. Atak na polską infrastrukturę OZE w grudniu 2025 pokazał, że atakujący potrafią uszkodzić firmware kontrolerów RTU za pomocą wiper malware - tu nie chodziło o okup, ale o destrukcję.
Colonial Pipeline pokazuje mechanizm pośredniego wpływu: ransomware dotknął wyłącznie IT, ale brak pewności co do integralności systemu MES (rozliczenia przesyłu) wymusił wyłączenie rurociągu. Firma nie mogła prowadzić działalności, bo nie wiedziała ile i czego przesyła. Segmentacja sieci i izolacja systemów biznesowych od OT mogłaby ograniczyć ten efekt domina. Szczegółową analizę kwartalnych trendów ransomware w sektorze przemysłowym omawiamy w osobnym artykule.
Ekosystem RaaS - jak działa “branża” ransomware
Współczesny ransomware to nie praca samotnych hakerów. To zorganizowany ekosystem z wyraźnym podziałem ról, modelami przychodowymi i specjalizacją porównywalną z legalnym rynkiem oprogramowania. Zrozumienie tego ekosystemu jest kluczowe - bo pozwala identyfikować punkty, w których obrońcy mogą przerwać łańcuch ataku.
Podział ról
Model Ransomware-as-a-Service (RaaS) działa jak franczyza. Twórcy malware budują i utrzymują oprogramowanie, a afilianci - niezależni operatorzy - przeprowadzają właściwe ataki. Ale ekosystem jest znacznie szerszy niż relacja operator-afiliant:
| Rola | Co robi | Jak zarabia | Skala w 2025 |
|---|---|---|---|
| Operator/Developer | Buduje ransomware, infrastrukturę C2, panel negocjacyjny, stronę z leakami | 20-40% od każdego okupu | 85 aktywnych grup w Q3 2025 (rekord) |
| Afiliant | Przeprowadza atak od A do Z - rekonesans, dostęp, eksfiltracja, szyfrowanie | 60-80% okupu | Migrują między platformami po rozbiciach |
| Initial Access Broker (IAB) | Sprzedaje gotowe dostępy do sieci (VPN, RDP, skradzione hasła) | 500-50 000 USD za dostęp | ~14 mln USD przychodu w 2025 |
| Negocjator | Negocjuje okup z ofiarą, prowadzi komunikację | Procent od wynegocjowanej kwoty | Dedykowane “call centers” |
| Pranie pieniędzy | Konwersja kryptowalut, bridge services, miksery | Procent od transakcji | Bridge +66% r/r, miksery -37% |
Model kartelowy - ewolucja 2025
Rynek ransomware przeszedł istotną zmianę. Po rozbiciach LockBit i ALPHV/BlackCat przez organy ścigania w 2024 roku rynek się sfragmentował - żadna grupa nie kontroluje więcej niż 11% rynku (wobec 34% LockBit w 2023). W 2025 roku TRM Labs zidentyfikowało 93 nowe warianty ransomware - wzrost o 94% rok do roku.
Ciekawą ewolucją jest model kartelowy. W marcu 2025 roku grupa DragonForce uruchomiła platformę, na której afilianci mogą tworzyć własne marki ransomware, korzystając z infrastruktury DragonForce (serwery C2, panel negocjacyjny, strona z leakami). DragonForce pobiera tylko 20% od okupu - znacznie mniej niż typowe 30-40%. To obniżenie bariery wejścia oznacza, że coraz mniej zaawansowani technicznie operatorzy mogą prowadzić skuteczne kampanie ransomware.
Łańcuch ataku i okna detekcji
Każdy atak ransomware przechodzi przez te same fazy - niezależnie od grupy. Rekonesans i zakup dostępu (IAB) mogą trwać tygodnie przed właściwym atakiem. Social engineering, skanowanie infrastruktury i zakup skradzionych poświadczeń to faza, w której threat intelligence i monitoring dark web dają szansę na wczesne ostrzeżenie.
Po uzyskaniu dostępu afiliant spędza średnio 5-14 dni w sieci (Mandiant M-Trends 2026) na rekonesansie wewnętrznym, eskalacji uprawnień i eksfiltracji danych - zanim uruchomi szyfrowanie. To okno jest kluczowe dla obrońców.
Wpływ działań organów ścigania
Operacje enforcement odnoszą realne skutki. Rozbicie Hive (2023), LockBit (2024) i ALPHV/BlackCat (2024) spowodowało fragmentację rynku i krótkoterminowy spadek aktywności. Forum RAMP - główna platforma rekrutacji afiliantów RaaS - zostało przejęte przez władze USA w styczniu 2025.
Jednocześnie ekosystem wykazuje zdolność regeneracji. Afilianci migrują do nowych platform w ciągu tygodni, a nowe grupy (Qilin, Akira, DragonForce) szybko zajmują wolną przestrzeń. Spadek wskaźnika płacenia okupu do 23-25% (historyczne minimum) wymusza na grupach zmianę taktyki - stąd rosnący nacisk na triple extortion (szyfrowanie + kradzież danych + DDoS) i ataki na mniejsze organizacje, które mają mniejsze budżety bezpieczeństwa ale wyższą skłonność do zapłaty.
Jak monitorować ekosystem
Śledzenie aktywności grup ransomware pozwala na wczesne ostrzeganie - zwłaszcza gdy nowa kampania celuje w branżę lub region klienta. Narzędzia takie jak RIFFSEC Ransomware Monitor śledzą aktywność grup na stronach z leakami i pozwalają monitorować, czy dane organizacji lub jej kontrahentów nie pojawiły się w wycieku. Inne źródła: ransomware.live (mapa ataków w czasie rzeczywistym), Ransom-DB (śledzenie grup i ofiar), raporty kwartalne Check Point Research i Dragos (dla sektora OT).
Ochrona przed ransomware
Trzy dominujące wektory wejścia
Zanim przejdziemy do obrony, warto zrozumieć jak ransomware trafia do organizacji. Trzy wektory odpowiadają za ponad 90% udanych ataków:
Phishing i spearphishing (~45% ataków) to nadal najskuteczniejszy wektor. Atakujący podszywają się pod znane firmy - banki, operatorów telekomunikacyjnych, kurierów - i przekonują do otwarcia załącznika lub kliknięcia w link. W wariancie spearphishing wiadomość jest spersonalizowana - np. udaje CV wysłane do działu HR lub fakturę od rzeczywistego dostawcy.
Exploity publicznych usług (~30%) - wykorzystanie podatności w VPN, RDP, aplikacjach webowych wystawionych do internetu. Colonial Pipeline (VPN bez MFA), Change Healthcare (Citrix bez MFA), Volt Typhoon (podatności Fortinet i Ivanti) - wzorzec się powtarza.
Skradzione poświadczenia (~20%) - kupione na dark webie dane logowania. Initial Access Brokerzy sprzedają dostępy do sieci organizacji za 500 do 50 000 dolarów. Przy braku MFA jedno skradzione hasło wystarczy.
Anatomia ataku - od dostępu do szyfrowania
Między uzyskaniem pierwszego dostępu a uruchomieniem szyfrowania mija średnio 5-14 dni (Mandiant M-Trends 2026). To kluczowe okno, w którym organizacja z dobrą detekcją może przerwać atak. Poniżej typowy łańcuch ataku Big Game Hunting z mapowaniem na MITRE ATT&CK:
| Faza | Co robi atakujący | Technika ATT&CK | Jak wykryć |
|---|---|---|---|
| Dzień 1 | Loguje się skradzionymi danymi do VPN | Valid Accounts (T1078) | Logowanie z nietypowej lokalizacji/godziny |
| Dzień 2-3 | Skanuje sieć, identyfikuje Active Directory | Network Discovery (T1046) | Anomalie skanowania w NDR |
| Dzień 3-5 | Eskaluje uprawnienia do Domain Admin | Privilege Escalation (T1068) | EDR, monitoring procesów |
| Dzień 5-8 | Kradnie dane, pakuje je i eksfiltruje | Archive + Exfiltration (T1560, T1041) | DLP, monitoring ruchu wychodzącego |
| Dzień 8-12 | Kasuje Volume Shadow Copy, wyłącza backup | Inhibit Recovery (T1490) | Alert na usunięcie VSS, immutable backups |
| Dzień 12-14 | Uruchamia szyfrowanie i żąda okupu | Data Encrypted (T1486) | Canary files, EDR behavioral |
Pięć warstw ochrony
Ochrona przed ransomware wymaga podejścia warstwowego. Żaden pojedynczy mechanizm nie wystarczy - ale kombinacja pięciu warstw dramatycznie podnosi poprzeczkę dla atakujących.
TIP
Strategia backupu 3-2-1-1: 3 kopie danych, na 2 różnych nośnikach, 1 kopia offsite, 1 kopia niemodyfikowalna (immutable). Regularnie testuj odtwarzanie - backup, z którego nie da się przywrócić danych, to fałszywe poczucie bezpieczeństwa.
Warstwa 1: Kopie zapasowe - ostatnia linia obrony, ale musi działać. Izoluj backupy od sieci produkcyjnej - Ryuk systematycznie wyszukiwał i niszczył kopie zapasowe zanim uruchamiał szyfrowanie.
Warstwa 2: Kontrola dostępu - MFA na każdym punkcie zdalnego dostępu (VPN, RDP, chmura, e-mail). Colonial Pipeline, Change Healthcare - oba ataki zaczęły się od braku MFA. Dodaj do tego zasadę minimalnych uprawnień i zarządzanie kontami uprzywilejowanymi (PAM).
Warstwa 3: Hardening - aktualizacje krytyczne w ciągu 48 godzin (WannaCry miał łatkę od miesiąca), wyłączenie zbędnych usług (RDP, SMBv1, PowerShell remoting gdzie niepotrzebne) i segmentacja sieci - oddzielenie IT od OT, segmentacja wewnętrzna, DMZ.
Warstwa 4: Detekcja - EDR na wszystkich stacjach z detekcją behawioralną, monitoring sieci (NDR), SIEM z regułami na znane wzorce ransomware. Canary files - pliki-pułapki w kluczowych lokalizacjach, które generują alert przy modyfikacji - to prosty i skuteczny mechanizm wczesnego ostrzegania.
Warstwa 5: Ludzie - regularne szkolenia i symulacje phishingowe (w tym kontrolowane kampanie phishingowe w ramach testów penetracyjnych), udokumentowany i przećwiczony plan reagowania na incydent, ubezpieczenie cyber na pokrycie kosztów forensics i odtwarzania. Weryfikacja skuteczności warstw 1-4 wymaga regularnych testów penetracyjnych i operacji Red Team.
Co robić gdy atak już nastąpił
Gdy na ekranie pojawia się żądanie okupu, liczy się czas i kolejność działań.
Pierwszych 60 minut jest krytyczne. Potwierdź incydent (alert EDR, zgłoszenie użytkownika, canary file), ale nie wyłączaj zainfekowanych maszyn - odcinaj je od sieci. Wyłączenie powoduje utratę pamięci RAM, która może zawierać klucze deszyfrujące lub dowody forensic. Równolegle blokuj skompromitowane konta w Active Directory i izoluj segmenty sieci przez VLAN/firewall.
Kolejne 4-24 godziny poświęć na ocenę. Ile systemów jest dotkniętych? Jakie dane skradziono? Czy backup jest bezpieczny? Zidentyfikuj wariant ransomware - serwisy NoMoreRansom.org i ID Ransomware (malwarehunterteam.com) mogą pomóc ustalić, czy istnieje darmowy deshifter. Powiadom zarząd, prawników i ubezpieczyciela.
WARNING
Płacenie okupu nie gwarantuje odzyskania danych. Change Healthcare zapłaciło 22 milionów dolarów i danych nie odzyskało - afiliant ALPHV wyciekł je mimo wpłaty. To typowy scenariusz double extortion. Płacenie finansuje kolejne ataki, stwarza ryzyko prawne (sankcje OFAC/EU wobec niektórych grup) i nie chroni przed publikacją danych. CERT Polska, CISA i Europol jednoznacznie rekomendują: nie płać.
Obowiązki prawne - zgłoszenie do CERT Polska w ciągu 24 godzin, do UODO w ciągu 72 godzin (jeśli naruszenie danych osobowych), do sektorowego CSIRT (jeśli infrastruktura krytyczna). W kontekście NIS2/KSC terminy te są wiążące.
Plan reagowania - 6 faz
Poniższy plan warto wydrukować i przećwiczyć zanim będzie potrzebny. Tabletop exercise raz na pół roku to minimum.
| Faza | Działania | Odpowiedzialny | Czas |
|---|---|---|---|
| 1. Wykrycie | Potwierdzenie incydentu - alert EDR/SIEM, canary file, zgłoszenie użytkownika | SOC / IT | 0-15 min |
| 2. Izolacja | Odcięcie systemów od sieci, blokada kont, izolacja VLAN | IT / SOC / Network | 15-120 min |
| 3. Ocena | Zasięg, identyfikacja wariantu, status backupów, powiadomienia | IR / Forensics / CISO | 1-4h |
| 4. Eradykacja | Usunięcie malware, zamknięcie wektorów, reset haseł, rewokacja tokenów | IR / IT | 4-48h |
| 5. Odtworzenie | Przywrócenie z backup, rebuild systemów, monitoring ponownej infekcji | IT / SOC | 1-14 dni |
| 6. Wnioski | Post-mortem z mapowaniem na ATT&CK, aktualizacja procedur i reguł | IR / CISO | 2-4 tyg. |
Mapowanie kontroli NIST SP 800-53
Dla organizacji podlegających wymogom regulacyjnym (NIS2, KSC, DORA) - poniżej mapowanie kluczowych mechanizmów ochrony na kontrole NIST SP 800-53 Rev. 5:
| Mechanizm ochrony | Kontrole NIST SP 800-53 | Opis |
|---|---|---|
| Kopie zapasowe 3-2-1-1 | CP-9, CP-10 | Backup i odtwarzanie systemu |
| MFA | IA-2(1), IA-2(2) | Uwierzytelnianie wieloskładnikowe |
| Patch management | SI-2, RA-5 | Aktualizacje i skanowanie podatności |
| Segmentacja sieci | SC-7, AC-4 | Ochrona granic, kontrola przepływów |
| EDR / monitoring | SI-3, SI-4 | Ochrona przed malware, monitoring systemu |
| Plan incident response | IR-1, IR-4, IR-8 | Polityka IR, obsługa incydentów, plan IR |
| Szkolenia | AT-2, AT-3 | Świadomość bezpieczeństwa |
| Zarządzanie kontami | AC-2, AC-6 | Zarządzanie kontami, least privilege |
Źródło: NIST SP 800-53 Rev. 5.
Najczęściej zadawane pytania
Co to jest ransomware? Ransomware to złośliwe oprogramowanie, które szyfruje dane ofiary i żąda okupu za ich odblokowanie. Współczesne warianty dodatkowo kradną dane przed szyfrowaniem i grożą ich publikacją (double extortion). Ransomware atakuje zarówno osoby prywatne, jak i organizacje - od małych firm po infrastrukturę krytyczną.
Czy warto płacić okup za ransomware? Nie. CERT Polska, CISA i Europol jednoznacznie rekomendują niepłacenie. Change Healthcare zapłaciło 22 mln USD i danych nie odzyskało. Płacenie nie gwarantuje odzyskania danych, finansuje kolejne ataki i stwarza ryzyko prawne (sankcje OFAC/EU wobec niektórych grup). Zamiast tego należy skorzystać z kopii zapasowych i zgłosić incydent odpowiednim organom.
Ile kosztuje atak ransomware? Koszty znacznie przekraczają sam okup. Średni żądany okup w 2025 roku to 1,09 mln USD, ale łączne koszty (przestoje, forensics, odtwarzanie, kary regulacyjne, utrata klientów) są wielokrotnie wyższe. Change Healthcare poniosło koszty rzędu 2,5 mld USD. Norsk Hydro - 35-41 mln USD strat mimo niepłacenia okupu.
Jak ransomware szyfruje pliki? Ransomware wykorzystuje kryptografię hybrydową: pliki szyfruje szybkim szyfrem symetrycznym (np. AES-256), a klucz symetryczny szyfruje kluczem publicznym RSA-2048 atakującego. Bez klucza prywatnego (który ma tylko atakujący) odszyfrowanie jest praktycznie niemożliwe. Niektóre starsze warianty mają znane słabości - serwis NoMoreRansom.org udostępnia darmowe deshiftery dla ponad 170 wariantów.
Jak chronić firmę przed ransomware? Kluczowe mechanizmy to: kopie zapasowe w modelu 3-2-1-1 (w tym niemodyfikowalne), uwierzytelnianie wieloskładnikowe (MFA) na wszystkich punktach zdalnego dostępu, aktualne oprogramowanie (patch management), segmentacja sieci IT/OT i monitoring (EDR, NDR). Regularna weryfikacja skuteczności zabezpieczeń przez testy penetracyjne pozwala wykryć luki zanim zrobią to atakujący.
Jak odzyskać dane po ataku ransomware? Najlepsza opcja to przywrócenie z kopii zapasowej (backup). Jeśli backup nie istnieje lub jest uszkodzony, sprawdź NoMoreRansom.org i ID Ransomware - mogą istnieć darmowe narzędzia deszyfrujące. Nie wyłączaj zainfekowanych maszyn (pamięć RAM może zawierać klucze). Zgłoś incydent do CERT Polska w ciągu 24 godzin.
Ransomware w liczbach - 2025
Poniższe liczby pokazują skalę problemu - i dwa sygnały ostrzegawcze dla Polski: pierwsze miejsce na świecie pod względem częstotliwości ataków i rosnący udział sektora przemysłowego.
globalnych ataków ransomware w 2025 (+32% r/r)
miejsce Polski na świecie - 6% globalnych ataków (ESET H1 2025)
grup ransomware atakujących przemysł w 2025 (+49% r/r)
organizacji przemysłowych dotkniętych ransomware (Dragos 2026)
Źródło: VikingCloud, ESET H1 2025 Threat Report, Dragos 2026 OT Cybersecurity Year in Review
| Metryka | Wartość | Źródło |
|---|---|---|
| Globalne ataki ransomware (2025) | 7 419 | VikingCloud |
| Wzrost ataków r/r | +32% | industrialcyber.co |
| Polska - pozycja globalna (H1 2025) | 1. miejsce (6% globalnych) | ESET |
| Średni żądany okup | 1,09 mln USD | Varonis |
| Średnia wpłata okupu | 1,0 mln USD (-50% r/r) | Varonis |
| Grupy ransomware atakujące przemysł | 119 (+49% r/r) | Dragos 2026 YIR |
| Organizacje przemysłowe dotknięte | 3 300 | Dragos 2026 YIR |
| Średni dwell time w OT | 42 dni | Dragos 2026 YIR |
| Czas od dostępu do szyfrowania (IT) | 5-14 dni (mediana) | Mandiant M-Trends 2026 |
| Koszt Change Healthcare | 2,5 mld USD | UnitedHealth Group |
| Rozbite grupy (2023-2025) | LockBit, ALPHV/BlackCat, Hive | Europol, FBI |
Źródła
- ESET “Polska najczęściej na świecie atakowana ransomware w 2025 roku”
- CERT Polska - raporty roczne
- Mandiant M-Trends 2026
- Dragos 2026 OT Cybersecurity Year in Review (dane za 2025, opublikowany luty 2026)
- Dragos Industrial Ransomware Analysis Q4 2025
- CISA “Primary Mitigations to Reduce Cyber Threats to OT” (maj 2025)
- VikingCloud “Ransomware Statistics and Trends Report 2026”
- NIST SP 800-53 Rev. 5
- NoMoreRansom.org (Europol + firmy bezpieczeństwa)