Ransomware w 2026: jak przygotować firmę, żeby nie płacić okupu

Ransomware to dziś nie tylko „zaszyfrowane pliki”. Najczęściej uderza jednocześnie w trzy obszary: firma przestaje działać (bo systemy są zablokowane), rośnie ryzyko wycieku danych (bo napastnicy potrafią je najpierw wynieść), a do tego pojawia się presja czasu. Im dłużej trwa przestój, tym trudniej podejmować spokojne decyzje. I o to właśnie chodzi atakującym: o chaos, pośpiech i „drogie godziny”.

W firmach 50–500 użytkowników problem jest szczególnie dotkliwy, bo IT bywa małe i przeciążone, a część usług jest w rękach zewnętrznych dostawców. Wtedy kluczowe pytanie brzmi: czy potrafimy wrócić do działania bez płacenia? „Nie płacić” nie oznacza „mieć szczęście”. Oznacza odporność operacyjną: umiejętność odtworzenia działania firmy oraz gotowy sposób reagowania, żeby nie pogorszyć sytuacji w pierwszych godzinach. W praktyce liczą się też dwa proste parametry: RPO (ile danych możesz stracić) i RTO (jak szybko musisz wrócić). Jeśli te wartości są tylko „na papierze”, a nie weryfikowane testami, to w dniu ataku Ransomware mogą okazać się życzeniowe.

Ten tekst jest planem działania. Pokazuje typowy przebieg ataku Ransomware, miejsca, w których da się go przerwać, oraz konkretne minimum techniczne, które realnie zmniejsza ryzyko. Klucz jest jeden: da się to ogarnąć etapami — bez straszenia i bez „rewolucji w tydzień”.

Jak wygląda typowy atak Ransomware

Większość ataków ransomware zaczyna się banalnie. Ktoś kliknie w link, poda hasło na fałszywej stronie, albo w systemie jest niezałatana luka. Czasem wystarczy jedno przejęte konto do poczty lub VPN, żeby napastnik miał punkt zaczepienia. Potem celem staje się zdobycie większych uprawnień: atakujący szuka kont „mocnych”, które pozwolą mu wejść na serwery i poruszać się po firmie bez ograniczeń.

W wielu środowiskach takim „centrum dowodzenia” jest Active Directory, bo zarządza logowaniem i uprawnieniami. Jeśli ktoś przejmie AD, to często jest w stanie rozsyłać polecenia po sieci, wdrażać złośliwe zmiany i odcinać dostęp innym. Kolejny etap to rozpoznanie: napastnik mapuje sieć i szuka tego, co najbardziej boli — serwerów plików, systemów ERP/CRM, środowiska wirtualizacji oraz… kopii zapasowych.

I tu pojawia się element, o którym wiele firm myśli dopiero po incydencie: atakujący często próbuje najpierw uderzyć w „ratunek”. Wyłącza ochronę na stacjach i serwerach, usuwa snapshoty, atakuje repozytoria backupu albo zmienia ich ustawienia. Dopiero gdy jest pewny, że firma ma ograniczone możliwości odtworzenia, uruchamia szyfrowanie i presję, często dokładając groźbę publikacji danych.

Dlaczego „sam backup” czasem nie ratuje? Bo jeśli kopie są dostępne jak zwykły zasób w sieci, są spięte z domeną i da się je skasować kontem z dużymi uprawnieniami, to po przejęciu takiego konta napastnik potrafi usunąć albo zaszyfrować backup. Z perspektywy strategii „nie płacić” backup musi być nie tylko „robiony”, ale przede wszystkim odporny na sabotaż i odizolowany.

Żeby nie płacić: 4 rzeczy, które muszą działać

1. Utrudnij wejście
   MFA, aktualizacje i higiena logowania.

2. Zatrzymaj rozchodzenie się ataku
   Segmentacja sieci i sensowne uprawnienia.

3. Zadbaj o odtworzenie
   Kopie odporne na sabotaż oraz testy, które potwierdzają, że to działa.

4. Miej plan dowodzenia
   Kto podejmuje decyzje, kto komunikuje i co robimy krok po kroku w pierwszej godzinie i pierwszej dobie.

Minimum techniczne – co naprawdę robi różnicę

1) Dostępy i logowanie

1. MFA w kluczowych miejscach
   Zacznij od poczty, VPN i paneli administracyjnych (backup, firewall, wirtualizacja). To najkrótsza droga do dużego zmniejszenia ryzyka, bo odbiera atakującemu możliwość wykorzystania samego hasła jako przepustki.

2. Wyłączenie starych metod logowania
   W wielu środowiskach da się zalogować „starą metodą”, która omija MFA. Jeśli to działa, to MFA jest tylko częściową tarczą. W praktyce warto sprawdzić, czy nie ma wyjątków i „starych integracji”, które niepostrzeżenie zostawiają otwartą furtkę.

3. Rozdzielenie kont admin od zwykłej pracy
   Konto administracyjne nie powinno służyć do maila i przeglądarki. To prosta zasada, ale często łamana „bo wygodniej”. A to właśnie wygoda bywa najdroższa w skutkach.

4. Porządek w hasłach lokalnych administratorów
   Jedno hasło lokalnego admina na wielu komputerach to klasyczny przyspieszacz ataku Ransomware. Rotacja haseł (np. LAPS) ogranicza ryzyko, że przejęcie jednego urządzenia otwiera drzwi do kolejnych.

5. Ograniczenie RDP
   RDP jest często potrzebne, ale powinno być używane mądrze: z ograniczonych źródeł, najlepiej przez bezpieczny „jump host”, a nie „z każdego miejsca do każdego serwera”.

Najczęstszy błąd to MFA wdrożone tylko częściowo oraz admin działający na jednym koncie do wszystkiego. W wielu firmach samo uporządkowanie tego obszaru daje szybki i bardzo odczuwalny spadek ryzyka.

2) AD, serwery i komputery (hardening)

Tu chodzi o to, żeby przejęcie jednego komputera nie dawało atakującemu kluczy do całej firmy. W praktyce oznacza to kilka zasad, które nie są „efektowne”, ale są skuteczne. Po pierwsze, praca uprzywilejowana powinna być rozdzielona od zwykłej: konta z dużymi uprawnieniami nie logują się na stacje użytkowników, a administracja odbywa się z wydzielonych stacji lub wydzielonego środowiska. To ogranicza ryzyko, że zwykła infekcja „przeskoczy” na konto, które ma dostęp do wszystkiego.

Po drugie, trzeba myśleć o narzędziach i ścieżkach „przechodzenia po sieci”. Jeśli stacja użytkownika zostanie zainfekowana, nie powinna mieć prostego przejścia do paneli administracyjnych, serwerów krytycznych i systemów backupu. Po trzecie, aktualizacje są naprawdę strategiczne — szczególnie VPN, usługi wystawione do internetu, hypervisor oraz kluczowe serwery. To nie jest „ładny proces”, tylko fundament bezpieczeństwa.

Wreszcie EDR. Działa wtedy, gdy jest wdrożony konsekwentnie (również na serwerach), ma ustawione polityki i jest zabezpieczony przed łatwym wyłączeniem. W incydencie liczy się też możliwość izolacji hosta, bo to często najprostszy sposób, żeby zatrzymać rozchodzenie się ataku Ransomware bez robienia blackout’u całej firmy.

Najczęstszy błąd: EDR jest, ale można go wyłączyć, a aktualizacje są odkładane miesiącami. Klasyczny scenariusz wygląda tak: przejęte konto admina → wyłączenie ochrony → usunięte snapshoty → szyfrowanie plików i serwerów → firma traci szybkie „cofnięcie”.

3) Segmentacja sieci (żeby ograniczyć szkody ataku ransomware)

1. Wydzielone strefy
   Oddziel użytkowników od serwerów, backupu i sieci administracyjnej.

2. Ograniczony dostęp do paneli zarządzania
   Panele do backupu, wirtualizacji i firewalli powinny być dostępne tylko z sieci administracyjnej.

3. Kontrola protokołów „do rozchodzenia”
   SMB/RPC i podobne rzeczy powinny działać tylko tam, gdzie naprawdę muszą.

Najczęstszy błąd to płaska sieć, gdzie „wszyscy widzą wszystko”, a backup stoi obok użytkowników. W takim układzie jedna zainfekowana stacja potrafi stać się początkiem problemu na poziomie całej organizacji.

Backup odporny na ransomware

Jeśli chcesz nie płacić, musisz mieć kopie, które przeżyją atak Ransomware. W praktyce oznacza to co najmniej jedną kopię odizolowaną (offline) lub niemodyfikowalną (immutable), a także rozdzielenie dostępu do backupu od zwykłych kont domenowych. To rozdzielenie jest ważne: jeśli atakujący przejmie domenę, nie może „z automatu” przejąć też backupu.

Bardzo ważny jest też element, który firmy często pomijają: testy odtworzeń. Backup nie jest strategią, jeśli nie wiesz, czy da się z niego wrócić w realnym czasie. Odtworzenie w izolacji potrafi szybko pokazać „ukryte zależności” – np. to, że aplikacja niby działa, ale bez DNS/certyfikatów/integracji nie obsłuży użytkowników. I dopiero taka wiedza daje sensowne RTO/RPO.

Warto traktować zasadę 3-2-1-1-0 jako kierunek: kopie w więcej niż jednym miejscu, w tym przynajmniej jedna odporna na sabotaż, oraz regularna weryfikacja, że odtwarzanie działa i mieści się w oczekiwanym czasie.

Co robić w incydencie: pierwsza godzina i pierwsza doba

Pierwsza godzina

1. Izolujesz podejrzane komputery lub segmenty sieci.

2. Blokujesz podejrzane konta i dostępy, zwłaszcza zdalne.

3. Przechodzisz na komunikację poza firmową pocztą.

4. Ustalasz obraz sytuacji: co padło, co działa, czy są oznaki wycieku.

Pierwsza doba

1. Ustalasz, co musi wrócić jako pierwsze, żeby firma działała.

2. Decydujesz, czy odtwarzasz z kopii, czy odbudowujesz systemy „od zera”.

3. Przygotowujesz jasne komunikaty do pracowników i klientów.

4. W razie potrzeby uruchamiasz wsparcie prawne, ubezpieczeniowe albo zewnętrzny zespół reagowania.

Ważne: nie płać w panice i nie przywracaj systemów do tej samej, potencjalnie zainfekowanej sieci. To prosta droga do „drugiej rundy” ataku Ransomware.

Plan na 30 dni (dla MŚP)

W pierwszym tygodniu warto uporządkować to, co krytyczne dla działania firmy, oraz zamknąć najczęstszą furtkę, czyli logowanie: MFA i konta admin. W drugim tygodniu dokładamy ochronę na stacjach i serwerach oraz ograniczamy zdalne dostępy, żeby atak Ransomware nie miał prostej drogi do „przejścia po firmie”. Trzeci tydzień to kopie odporne na sabotaż i pierwsze odtworzenia w izolacji — bo to najszybciej weryfikuje, czy „nie płacić” jest realne. Czwarty tydzień to spięcie planu działania, ćwiczenie decyzyjne i techniczny test odtworzenia kluczowej usługi.

Chcesz sprawdzić, czy Twoje kopie i środowisko naprawdę pozwalają wrócić do działania bez płacenia okupu? W Dataone Business Solutions robimy przegląd backup + AD + EDR oraz praktyczny test odtworzenia, żebyś znał realny czas powrotu do pracy. Skontaktuj się już dziś

Zobacz też: Rozbudowa sieci Wi-FI | Dług technologiczny