BezpieczeństwoRansomware schodzi z afisza. Ale tylko po to, by wejść tylnymi drzwiami > Robert Kamiński Opublikowane 17 listopada 20250 0 222 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Na papierze wygląda to optymistycznie: w trzecim kwartale 2025 r. incydenty z użyciem ransomware stanowiły około 20% wszystkich przypadków. W poprzednim kwartale – 50%. Gdyby poprzestać na liczbach, można by wzruszyć ramionami: „kryzys zażegnany”.Cisco Talos studzi ten entuzjazm. Ransomware nie zniknęło, tylko stało się częścią większego krajobrazu. Co gorsza, w tym samym czasie zmienił się celownik. Po raz pierwszy od 2021 roku na szczycie listy ofiar znalazł się sektor publiczny – administracja centralna, samorządy, szkoły, szpitale. Miejsca, które mają najwięcej do stracenia, a najmniej przestrzeni na przestoje. To jest ten moment, kiedy statystyki trzeba czytać razem, a nie osobno. Mniej ransomware, ale za to częściej uderzają tam, gdzie uderzenie naprawdę boli.Gmina w roli ofiary „z definicji”Jeśli przyjrzeć się strukturze tych ataków, obraz jest boleśnie znajomy. Samorządy lokalne, szkoły, szpitale – instytucje, które żyją na styku wielkiej odpowiedzialności i małego budżetu. Systemy IT łatane przez lata, priorytet zawsze gdzieś dalej: „najpierw zróbmy, żeby działało, później pomyślimy, jak to zabezpieczyć”.Raport Talos pokazuje, że właśnie w takich miejscach krzyżują się dwa światy: świat obywatela, który oczekuje, że „system po prostu będzie działał”, i świat cyberprzestępców, dla których każdy taki system jest obietnicą danych, okupu albo wpływu.Tu ransomware spotyka się z APT. Z jednej strony grupy nastawione na zysk, z drugiej – te powiązane z Rosją, prowadzące skoordynowane kampanie wymierzone w instytucje publiczne. Jedni chcą pieniędzy, drudzy przewagi. Sektor publiczny staje się wspólnym polem walki.60 procent. Liczba, która powinna niepokoić bardziej niż „20”Najmocniejsza liczba z raportu wcale nie dotyczy ransomware. To ten moment, kiedy na wykresie przyczyny incydentów nagle wyskakuje słupek: ponad 60% ataków zaczęło się od luk w publicznie dostępnych aplikacjach. Kwartał wcześniej – mniej niż 10%.Źródło skoku jest dość konkretne. Fala ataków wymierzonych w lokalne serwery Microsoft SharePoint, z wykorzystaniem łańcucha ToolShell, pokazała, jak działa współczesny „przemysł cyberprzestępczy”. Ujawnia się luka, ktoś publikuje ostrzeżenie, a w tym samym czasie sieć jest już skanowana automatami w poszukiwaniu podatnych hostów.Lexi DiScola z Cisco Talos opowiada o przypadku, w którym po włamaniu z użyciem ToolShell ransomware uruchomiono po kilku tygodniach. To długa chwila ciszy, w której organizacja żyje w przekonaniu, że „nic złego się nie dzieje”, a atakujący spokojnie zwiedzają jej sieć. Dopiero na końcu pojawia się to, co widzimy w mediach: żądanie okupu, wyłączone systemy, komunikaty o „czasowym ograniczeniu dostępności usług”.W tym wszystkim najbardziej niepokojące jest tempo. Pierwsze ataki odnotowano dzień przed oficjalnym ostrzeżeniem od Microsoftu, większość – w ciągu dziesięciu dni. Administratorzy planują okno serwisowe, przestępcy w tym samym czasie mają już za sobą pierwsze włamania.Nowe twarze starych problemówRaport Talos wymienia nowe odmiany ransomware – Warlock, Babuk, Kraken – i stare, dobrze znane nazwy, jak Qilin czy LockBit. Można traktować je jak kolejne pokolenia tego samego gatunku. Zmienią się szczegóły, mechanika pozostaje: wejść, rozgościć się, zaszyfrować, zażądać.Qilin, który pojawił się na początku roku, zdążył już znacząco zwiększyć skalę ataków i, jak twierdzą analitycy, raczej szybko z krajobrazu nie zniknie. W jednym z opisanych przypadków ransomware odpalono po dwóch dniach od pierwszego włamania. Tu nie było tygodni z pozorami normalności, był sprint.Jest też ciekawostka z innego kierunku. Jedną z kampanii przypisano grupie Storm‑2603, działającej prawdopodobnie z Chin. Właściwie nie o samą grupę tu chodzi, ale o narzędzie. Po raz pierwszy w takiej kampanii wykorzystano legalne rozwiązanie bezpieczeństwa – Velociraptor, służące do monitorowania i analizy systemów. Przestępcy po prostu odwrócili jego funkcję: zamiast bronić, zaczęło pomagać w utrzymaniu kontroli i zbieraniu danych.Jest w tym coś przewrotnie logicznego. Skoro narzędzie potrafi widzieć wszystko, co dzieje się w systemie, dlaczego by z tego nie skorzystać – tyle że po drugiej stronie?MFA to nie święty GraalKolejny fragment raportu wraca do tematu, który wielu administratorom daje poczucie względnego spokoju: uwierzytelnianie wieloskładnikowe. Wdrażamy MFA, możemy odhaczyć. Problem w tym, że rzeczywistość znów nie bardzo chce się zmieścić w checkboxach.Prawie jedna trzecia incydentów analizowanych w trzecim kwartale wiązała się z obejściem lub nadużyciem właśnie mechanizmów MFA. Chodzi o wszystkie te scenariusze, w których:użytkownik jest zasypywany powiadomieniami o logowaniu, aż w końcu coś „odruchowo” zaakceptuje,konfiguracja systemu zostawia luki, o których dowiadujemy się dopiero po fakcie,atakujący ma już login i hasło, a brakuje mu tylko jednego kliknięcia ofiary.MFA przestaje być magiczną tarczą. Staje się kolejnym elementem układanki, który trzeba projektować i nadzorować, a nie tylko „wdrożyć”.Co z tym wszystkim zrobić, jeśli nie jest się Cisco?W końcowej części raportu Talos są rekomendacje. Brzmią znajomo, ale w tej konkretnej historii układają się w dość prosty obraz.Po pierwsze, aktualizacje. To najmniej wdzięczna część pracy z bezpieczeństwem – bez fanfar, bez efektu „wow”, najczęściej z narzekaniem, że „znowu nam coś wyłączą”. A jednak to właśnie brak aktualnych poprawek okazał się przyczyną około 15% incydentów. Tu nie ma wielkiej filozofii: im dłużej czekamy, tym większa szansa, że ktoś wykorzysta to szybciej niż my załatamy.Po drugie, segmentacja sieci. Brzmi technicznie, ale sprowadza się do prostego pytania: jeśli napastnik wejdzie jednym oknem, czy może przejść po całym domu, czy natknie się na drzwi zamknięte od środka? W wielu instytucjach odpowiedź wciąż brzmi: „niestety, może przejść”.Po trzecie, logi i obserwacja. Bez rejestrowania zdarzeń bezpieczeństwa organizacja jest ślepa. Bez ich analizy – krótkowzroczna. Gdy atakujący potrafią wykorzystać nawet nasze narzędzia ochronne, nie wystarczy mieć system. Trzeba jeszcze mieć czas i ludzi, którzy rozumieją, co im ten system pokazuje.I wreszcie – MFA z głową. Nie jako mantra powtarzana w prezentacjach, tylko jako obszar, który wymaga tak samo uważnego projektowania jak reszta infrastruktury. Jeśli użytkownik ma być ostatnią linią obrony, powinien przynajmniej wiedzieć, kiedy ktoś próbuje go zmęczyć do kliknięcia „zatwierdź”.Mniej mitów, więcej higienyRaport Cisco Talos nie opowiada o rewolucji. Raczej o konsekwentnej ewolucji po stronie atakujących i powolnym nadganianiu po stronie ofiar.Ransomware z tła nie zniknęło – po prostu przestało być jedynym aktorem na scenie. Sektor publiczny stał się głównym celem nie dlatego, że ktoś postanowił „sprawdzić odporność państwa”, tylko dlatego, że tam jest dużo krytycznych usług i mało odporności. Luki w aplikacjach, opóźnione poprawki, źle ustawione MFA – to nie są filmowe wątki, tylko codzienne decyzje typu „zrobimy to po weekendzie”.W świecie, w którym pierwsze ataki pojawiają się dzień przed oficjalnym ostrzeżeniem, a kolejne rodziny ransomware rodzą się regularnie, paradoksalnie najważniejsze stają się rzeczy mało widowiskowe: higiena aktualizacji, sensownie pocięta sieć, logi, które ktoś naprawdę przegląda.To nie brzmi jak wielka strategia cyberbezpieczeństwa. Bardziej jak zwykła, żmudna praca u podstaw. Ale może właśnie tego najbardziej brakuje – zwłaszcza tam, gdzie na drzwiach budynku wisi tablica „Urząd”, „Szkoła” albo „Szpital”.Related PostsPrzeczytaj również! Ransomware powrócił do łask cyberprzestępców W 2013 będzie 2 miliardy smartfonów Systemy chmurowe: następny etap