Facebook Linkedin

Jak działa atak ransomware – droga od e‑maila do sparaliżowanej firmy 

Atak ransomware nie zaczyna się od szyfrowania, tylko od jednego kliknięcia

Warto zauważyć, że większość osób wyobraża sobie atak ransomware jako nagły, niemal błyskawiczny atak. W tym scenariuszu pewnego dnia systemy po prostu przestają działać, a na ekranach komputerów pojawia się żądanie okupu.

Należy jednak uznać, że w rzeczywistości atak to skomplikowany proces, który trwa dni, a niekiedy nawet tygodnie. W praktyce składa się on z serii cichych kroków, które zespół SOC może skutecznie wykryć – pod warunkiem, że organizacja posiada monitoring bezpieczeństwa 24/7.

W związku z tym w poniższym artykule prześledzimy pełny, realistyczny scenariusz incydentu: od niewinnego e‑maila, aż po moment, w którym hakerzy całkowicie paraliżują firmę. Co istotne, opisujemy przebieg zdarzeń oparty na wnikliwych analizach, jakie nasi eksperci przeprowadzają podczas codziennej pracy z realnymi zagrożeniami.

Etap 1: E-mail phishingowy – pierwsze kliknięcie (Dzień 0)

Poniedziałkowy poranek o godzinie 9:14. Właśnie wtedy pracowniczka działu księgowości odbiera wiadomość o alarmującej treści: „Pilne: brakująca faktura – prosimy o weryfikację do końca dnia”. Warto zauważyć, że nadawca budzi pełne zaufanie, ponieważ stosuje nazwę znanego dostawcy, oficjalne logo oraz nienaganną polszczyznę.

W konsekwencji kobieta bez obaw otwiera załączony plik Excel, jednak po chwili widzi znajomy komunikat: „Aby wyświetlić pełną treść, włącz makra”. Dzieje się tak, ponieważ hakerzy precyzyjnie wykorzystują przyzwyczajenia pracowników, dla których taka prośba systemu stanowi codzienność. W związku z tym pracowniczka bez wahania klika przycisk, czym nieświadomie uruchamia skrypt i otwiera napastnikom cyfrowe drzwi do całej organizacji

Co dzieje się w tle? 
  • uruchomione makro odpala skrypt PowerShell, 
  • skrypt pobiera z internetu mały program — tzw. loader, 
  • loader nawiązuje połączenie z serwerem sterującym cyberprzestępców (C2). 

Komputer działa normalnie. Nie ma żadnych oznak infekcji. 

Co wykryłby SOC? 
  • uruchomienie PowerShella przez Excel (bardzo podejrzane), 
  • połączenie z domeną o niskiej reputacji, 
  • pobranie i uruchomienie nieznanego pliku. 

Etap 2: Ciche rozpoznanie i przygotowanie ataku (Dni 1–3)

Profesjonalni atakujący nigdy nie szyfrują danych od razu po przejęciu stacji. Zamiast tego najpierw wykonują dokładne rozpoznanie środowiska, aby zmaksymalizować zyski z okupu. W praktyce zainstalowany loader natychmiast zaczyna zbierać kluczowe informacje, takie jak:

  • pełną nazwę komputera, domeny oraz zalogowanego użytkownika,
  • listę aktywnych procesów i usług,
  • szczegółową strukturę sieci wewnętrznej,
  • a także specyfikację wykorzystywanych aplikacji biznesowych.

W kolejnym kroku skrypt wykonuje agresywny skan sieci, który pozwala napastnikom sprawdzić:

  • jakie urządzenia pozostają dostępne w infrastrukturze,
  • które serwery pełnią krytyczne role dla ciągłości biznesu,
  • gdzie dokładnie znajdują się najbardziej wartościowe zasoby i kopie zapasowe.

Należy uznać, że ten etap to kluczowy moment dla obrońców. W związku z tym właściwa analiza powłamaniowa prowadzona przez SOC pozwala wykryć ten nietypowy ruch, zanim hakerzy wybiorą ostateczny wektor ataku i sparaliżują systemy.

Dlaczego IT tego nie widzi? 

Ruch generowany przez malware jest rozproszony i udaje normalną komunikację sieciową. 
Rzadko podnosi alarmy w antywirusie. 

Co wykryłby SOC? 
  • niestandardowe zapytania do kontrolera domeny, 
  • skanowanie portów, 
  • powtarzalne próby enumeracji sieci. 

Etap 3: Eskalacja uprawnień i ruch boczny (Dni 4–7)

Należy przede wszystkim zrozumieć, że na tym etapie napastnicy desperacko szukają wyższych uprawnień – ich głównym celem stają się konta administratorów oraz konta serwisowe. Niestety, w wielu organizacjach znajdują je zaskakująco łatwo.

W praktyce hakerzy wykorzystują do tego sprawdzone metody, takie jak:

  • wykradanie haseł zapisanych lokalnie w pamięci przeglądarek lub systemie,
  • używanie zaawansowanych narzędzi do przejmowania tokenów sesji,
  • bezpośredni atak na słabo zabezpieczone hasła do usług RDP,
  • a także wnikliwą analizę plików konfiguracyjnych, które często zawierają dane logowania otwartym tekstem.

W momencie, gdy przestępcy zdobywają uprawnienia administratora, zaczynają poruszać się lateralnie po całej sieci. Oznacza to, że metodycznie logują się na serwery plików, badają udziały sieciowe w poszukiwaniu wrażliwych danych, próbują sforsować bazy danych oraz instalują backdoory na kolejnych urządzeniach. W konsekwencji tworzą sobie stały dostęp do infrastruktury, który pozwala im na powrót do systemów nawet po restarcie komputerów.

 

Dlaczego IT tego nie zauważa? 

Z punktu widzenia systemów wygląda to jak legalna aktywność administratora. 
Używane są prawidłowe dane logowania. 

Co wykryłby SOC? 
  • logowania z nietypowego urządzenia lub godziny, 
  • próby dostępu do zasobów, do których admin nigdy wcześniej nie wchodził, 
  • podejrzane użycie narzędzi typu PsExec lub RDP do wielu maszyn naraz. 

Etap 4: Kradzież danych (exfiltration) – przygotowanie do podwójnego wymuszenia (Dni 8–10)

Zanim cokolwiek zaszyfrują, atakujący kradną dane.  Dlaczego? 

Bo współczesne ransomware działa w modelu double extortion: 

  1. Żądanie okupu za odszyfrowanie danych, 
  1. Żądanie okupu za niewypuszczenie skradzionych danych do internetu. 

Atakujący pobierają: 

  • dane klientów, 
  • faktury i dokumenty finansowe, 
  • umowy, 
  • dane HR, 
  • bazy mailowe i CRM. 

Transferują je powoli, małymi porcjami, przez port 443, aby wyglądało to jak normalny ruch www. 

Dlaczego IT często to przeocza? 

Ruch https → nie wygląda podejrzanie. 
Wysyłka małymi plikami → nie wywołuje alertów. 

Co wykryłby SOC? 
  • anomalia w wielkości i rytmie ruchu wychodzącego, 
  • przesyłanie danych do nieznanych lokalizacji, 
  • kompresja dużych plików przez procesy, które nigdy tego nie robiły. 

Etap 5: Szyfrowanie – ostateczne uderzenie (Dzień 11)

Atakujący wybierają najgorszy możliwy moment:  sobota, godzina 3:00 w nocy. 

Wtedy: 

  • ludzie śpią, 
  • helpdesk nie działa, 
  • mało kto monitoruje systemy. 

Odpalają ransomware na wszystkich uprawnionych urządzeniach: 

  • pliki zostają masowo zaszyfrowane, 
  • serwery padają jeden po drugim, 
  • kopie zapasowe są usuwane lub nadpisywane, 
  • na każdym ekranie pojawia się żądanie okupu.

     

Dlaczego dopiero teraz wychodzi na jaw, że coś jest nie tak? 

Bo to pierwszy moment, kiedy atak staje się głośny. 
Cała wcześniejsza faza była cicha, ukryta i nie generowała widocznych symptomów. 

Co wykryłby SOC w tej fazie? 
  • masową modyfikację plików, 
  • uruchomienie procesów szyfrujących, 
  • wywołania systemowe typowe dla ransomware, 
  • próbę wyłączenia usług bezpieczeństwa. 

Etap 6: Rano firma budzi się sparaliżowana

Pracownicy logują się w poniedziałek rano. 

System ERP nie działa. 
Księgowość nie działa. 
Bazy danych nie działają. 
Pliki są zaszyfrowane. 

Na ekranach urządzeń widnieje komunikat: „Your files have been encrypted. Pay 50 BTC within 72 hours.” 

Zarząd ma kilka godzin na decyzję: 

  • płacić okup? 
  • zatrudniać firmy od incident response? 
  • zgłaszać do UODO (RODO – 72h)? 
  • informować klientów i partnerów? 

Koszty rosną z minuty na minutę: 

  • przestój operacyjny, 
  • utrata przychodów, 
  • reputacja, 
  • kary regulacyjne, 
  • koszty odbudowy.

Gdzie w tym łańcuchu SOC mógł zatrzymać atak? 

Właściwie… na każdym etapie. 

SOC wykrywałby sygnały: 
  • podejrzany PowerShell wywołany przez Excel (Dzień 0), 
  • skanowanie sieci (Dni 1–3), 
  • nietypowe logowania admina (Dni 4–7), 
  • transfer danych do zewnętrznych adresów (Dni 8–10), 
  • masową zmianę plików (Dzień 11). 

W praktyce oznacza to, że atak ransomware można zatrzymać: 

  • po kilku minutach, 
  • po kilku godzinach, 
  • lub najpóźniej po kilku dniach. 

Bez SOC organizacja dowiaduje się dopiero wtedy, gdy szkody są już nieodwracalne.

Podsumowanie: ransomware to proces — a proces można przerwać

Należy przede wszystkim zrozumieć, że ransomware to nie nagłe wydarzenie, lecz rozciągnięty w czasie ciąg działań. Właśnie dlatego każdy etap ataku pozostawia cyfrowe sygnały, które sprawny zespół SOC może skutecznie wykryć.

Oczywiście jedno niefortunne kliknięcie nie musi kończyć się paraliżem całej firmy. Dzieje się tak jednak tylko pod warunkiem, że wykwalifikowani specjaliści obserwują sieć, logi i anomalie w trybie 24/7. W konsekwencji szybka reakcja pozwala zdusić zagrożenie w zarodku, zanim hakerzy zaszyfrują kluczowe dane.

W związku z tym warto zadać sobie pytanie: czy Twoja firma wykryłaby atak ransomware na jednym z jego wczesnych etapów? Jeśli chcesz to sprawdzić, skontaktuj się z Knoxtera i umów bezpłatną konsultację bezpieczeństwa lub przetestuj naszą skuteczność podczas Proof of Concept SOC.