Jak działa atak ransomware

11 dni do katastrofy: Dlaczego Twoje IT nie zauważy, że właśnie trwa atak ransomware?

Większość menedżerów i właścicieli firm wyobraża sobie atak ransomware jako nagłe uderzenie pioruna. Jedno kliknięcie, błysk na ekranie i napisy w kolorze krwistej czerwieni informujące o blokadzie plików. 

Rzeczywistość jest znacznie bardziej podstępna. Atak ransomware to nie incydent – to wieloetapowy proces, który zazwyczaj trwa od kilku dni do kilku tygodni. To metodyczne działanie, w którym szyfrowanie danych jest jedynie ostatnim akordem długiej operacji. 

Dobra wiadomość? Ten czas to Twoje „okno możliwości”. Na każdym etapie napastnicy zostawiają ślady. Zła wiadomość? Tradycyjne zespoły IT, zajęte bieżącym wsparciem użytkowników, rzadko mają narzędzia i czas, by te ślady dostrzec. Prześledźmy, jak wygląda te 11 dni, które mogą zadecydować o być albo nie być Twojej firmy.

Dzień 0: E-mail, który nie wzbudził podejrzeń ​

Jest poniedziałek, godzina 9:14. Anna z działu księgowości otwiera skrzynkę. Wśród dziesiątek wiadomości znajduje jedną zatytułowaną: „Pilne: faktura do weryfikacji – termin płatności dziś”. Nadawca wygląda znajomo, domena różni się tylko jedną literą od adresu stałego dostawcy. 

Anna otwiera załączony plik Excel. Program prosi o „Włączenie zawartości” w celu poprawnego wyświetlenia tabeli. Anna klika przycisk. To rutynowa czynność, którą wykonywała setki razy. 

Co stało się pod maską? 

Należy zauważyć, że w momencie kliknięcia ukryte makro natychmiast uruchomiło skrypt PowerShell, który stanowił pierwotny wektor ataku. Ten z kolei pobrał z sieci niewielką aplikację – tzw. loader. W praktyce to złośliwe oprogramowanie zainstalowało się w folderze tymczasowym i nawiązało ciche połączenie z serwerem C2 (Command & Control) należącym do hakerów.

Co istotne, komputer Anny wciąż działa normalnie, co skutecznie usypia czujność użytkownika. W rezultacie Anna spokojnie pije kawę, kompletnie nieświadoma, że właśnie otworzyła cyfrowe drzwi włamywaczom. Warto podkreślić, że na tym etapie tylko zaawansowana analiza zagrożeń i monitoring procesów w czasie rzeczywistym mogłyby wykryć tę anomalię, zanim hakerzy rozpoczną dalszą infiltrację.

Gdzie SOC wykryłby atak? 

Należy jednak podkreślić, że profesjonalne systemy monitoringu klasy EDR/XDR natychmiast wychwyciłyby taką anomalię. W praktyce algorytmy bezpieczeństwa uznałyby podejrzane wywołanie procesów PowerShell przez program Excel za działanie o wysokim ryzyku. Co więcej, systemy te automatycznie zablokowałyby każdą próbę nawiązania połączenia z serwerem o niskiej reputacji. W rezultacie odpowiednio skonfigurowane narzędzia zdusiłyby ten atak w zarodku, zanim hakerzy zdołaliby pobrać loader i przejąć kontrolę nad stacją roboczą.

Dzień 1–3: Ciche rozpoznanie terenu​

Hakerzy nie spieszą się. Przez kolejne trzy dni loader na komputerze Anny służy im jako przyczółek. Atakujący zbierają informacje: 

  • Jakie oprogramowanie jest zainstalowane w sieci? 
  • Jakie uprawnienia ma Anna? 
  • Gdzie znajdują się serwery z najważniejszymi danymi? 

To faza reconnaissance. Ruch generowany przez hakerów jest minimalny, by nie wzbudzić alertów prostych programów antywirusowych. 

Dzień 4–7: Przejęcie kluczy do królestwa​

Warto podkreślić, że zanim nastąpi atak właściwy, hakerzy realizują strategię, którą eksperci nazywają double extortion (podwójnym wymuszeniem). Dzieje się tak, ponieważ przestępcy doskonale wiedzą, że możesz posiadać sprawne kopie zapasowe. W związku z tym najpierw kradną Twoje najbardziej wrażliwe dane, aby w kolejnym kroku szantażować firmę ich publicznym ujawnieniem.

W praktyce napastnicy metodycznie kopiują bazy klientów, poufne umowy oraz kluczowe dane finansowe. Co istotne, transfer tych informacji odbywa się małymi paczkami – najczęściej w godzinach nocnych – przy wykorzystaniu standardowych portów HTTPS. W rezultacie proces ten niemal idealnie maskuje się pod postacią zwykłego ruchu internetowego, co czyni go praktycznie niewidocznym dla standardowych zabezpieczeń.

Dzień 11: Godzina zero i niedzielny poranek ​

Jest niedziela, godzina 3:00 nad ranem. To idealny moment – nikt nie patrzy na monitory, a zespół IT odpoczywa przed nowym tygodniem. Atakujący uruchamiają procedurę szyfrowania. 

W ciągu kilku godzin: 

  1. Szyfrowane są główne bazy danych i systemy ERP. 
  1. Usuwane są kopie zapasowe (Volume Shadow Copies) dostępne w sieci. 
  1. Na ekranach wszystkich komputerów pojawia się żądanie okupu: 50 BTC. 

W poniedziałek rano pracownicy zastają zablokowane stacje robocze. Firma staje w miejscu. Produkcja stoi, logistyka nie wie, gdzie wysłać towar, a zarząd dowiaduje się od mediów, że próbka ich danych wyciekła właśnie do dark webu. 

Podsumowanie: Czy można było tego uniknąć?

Poniższa tabela pokazuje, że hakerzy dali nam co najmniej kilka szans na zatrzymanie tej katastrofy: 

Jak SOC zmienia reguły gry? 

Security Operations Center (SOC) nie jest po to, by tylko blokować e-maile. Jego zadaniem jest detekcja anomalii w czasie rzeczywistym. 

Gdyby firma z naszej historii posiadała wsparcie SOC, atak prawdopodobnie skończyłby się w Dniu 0 izolacją komputera Anny i wymuszeniem zmiany hasła. Straty? 15 minut pracy księgowej. Koszt braku SOC? Setki tysięcy, a czasem miliony złotych strat operacyjnych i wizerunkowych. 

Nie czekaj na planszę z żądaniem okupu 

Atak ransomware to nie kwestia „czy”, ale „kiedy”. Prawdziwa różnica między drobnym incydentem a upadkiem firmy polega na tym, jak szybko zorientujesz się, że ktoś obcy jest w Twojej sieci.