Phishing i ransomware: wyjątkowo groźny tandem
Od lat jak bumerang powraca pytanie: czy i na jakich zasadach można liczyć na wygraną z cyberprzestępcami?
Narasta zjawisko podwójnego wymuszenia.
Płacić okup, czy nie płacić?
Co robić, gdy przy braku odpowiednich zabezpieczeń dojdzie już do zaszyfrowania cennych danych i paraliżu firmy? Oficjalne stanowisko organów ścigania i ekspertów niezmiennie brzmi: „nie płacić okupu”. W przeciwnym razie finansuje się cyberterroryzm i zachęca do kolejnych ataków. Jednakże statystyki rynkowe pokazują smutną prawdę – wiele firm płaci, kalkulując sobie, że koszt przestoju jest wyższy niż żądany okup.
– Od pewnego czasu spotykamy się ze zjawiskiem podwójnego wymuszenia. Przestępcy nie tylko szyfrują dane, ale wcześniej je kradną. Grożą wtedy i szantażują: „jeśli nie zapłacisz za klucz deszyfrujący, to opublikujemy dane twoich klientów w sieci”. Po czym ofiary częściej decydują się na zapłacenie okupu, ponieważ boją się kar RODO za wyciek danych i utraty reputacji. Należy jednak wiedzieć, że zapłacenie okupu nie gwarantuje odzyskania danych. Przestępcy to nie są zaufani partnerzy biznesowi. Często po wpłacie kontakt się urywa lub narzędzie deszyfrujące działa wadliwie – mówi Mariusz Wilczyński.
Statystyki są jednak ponure. Zgodnie z najnowszym raportem Sophosa, dotyczącym ransomware, aż 49 proc. ofiar na całym świecie zapłaciło okup, aby odzyskać swoje dane. I chociaż oznacza to niewielki spadek w porównaniu z 56 proc. w ubiegłym roku, jest to drugi najwyższy wskaźnik zapłaty okupu od sześciu lat.
– Współpraca z cyberprzestępcami jest nie tylko nieetyczna, lecz także z perspektywy obowiązującego w UE prawa może w wielu przypadkach prowadzić do naruszenia przepisów, zwłaszcza w obszarze sankcji oraz przeciwdziałania praniu pieniędzy. W praktyce jednak nie brakuje organizacji, które decydują się na zapłacenie okupu, zwykle pod presją czasu, skali przestoju i obawy przed utratą krytycznych danych. Jednak, jak pokazuje nasz raport Ransomware Trends and Proactive Strategies 2025, taka strategia jest nieskuteczna. Otóż niemal co piąta badana firma mimo zapłaty i tak nie odzyskała swoich danych. Konsekwentnie podkreślamy, że płacenie okupu nie gwarantuje niczego, ani pełnego odzyskania zasobów, ani tego, że przestępcy nie zaatakują ponownie – ostrzega Tomasz Krajewski.
Co robić w razie ataku?
W przypadku skutecznego ataku organizacje powinny działać według wcześniej przygotowanych procedur reagowania na incydent. W praktyce oznacza to izolację zaatakowanych segmentów, odtwarzanie systemów z bezpiecznych kopii oraz analizę przebiegu włamania. Ważnym elementem są również obowiązki regulacyjne. W zależności od profilu działalności firmy może to obejmować zgłoszenia do właściwych organów nadzorczych. Przykładowo unijne przepisy NIS 2 czy DORA wymagają raportowania incydentów naruszenia bezpieczeństwa w ściśle określonych terminach.
– W sytuacji cyberataku przed największym wyzwaniem stają te przedsiębiorstwa, które nie posiadają spójnie opracowanej procedury reakcji. Działanie „na gorąco” zwykle oznacza wydłużony czas podejmowania decyzji, większe ryzyko pochopnych ruchów, dłuższe przestoje i wyższe koszty przywracania środowiska do pełnej sprawności – uważa Maciej Iwanicki, Business Development Manager w polskim oddziale Fortinetu.
W praktyce, niezależnie od stanu zabezpieczeń, gdy dojdzie do udanego ataku ransomware, pierwszą reakcją jest najczęściej panika. Co następuje potem?
Według specjalistów przede wszystkim liczy się czas. Przedsiębiorcy, którzy mają przygotowane procedury, uruchamiają Incident Response, poprzez odcięcie zainfekowanych maszyn i segmentów sieci, zatrzymanie rozprzestrzeniania ataku, zabezpieczenie kopii zapasowych, analizę wektora wejścia oraz ocenę, czy doszło do wycieku danych oraz powiadomienie służb (CSIRT, NASK), ewentualnie inspektora ochrony danych (UODO). Na drugim biegunie są firmy, w których procedura Incident Response nie istnieje, zwłaszcza te z sektora MŚP. Wtedy reakcja na ransomware to improwizacja, w ramach której dział IT próbuje gasić pożar.
– Często odtwarza się systemy zanim ustali wektor wejścia, a decyzje o komunikacji czy ewentualnych negocjacjach zapadają pod presją czasu. To wszystko wydłuża przestój i zwiększa ryzyko powtórnego ataku. A bez pierwotnej przyczyny problemu organizacja wraca do pracy w tym samym, podatnym stanie – mówi Mariusz Wilczyński.
AI po obu stronach barykady
Od lat jak bumerang powraca pytanie: czy i na jakich zasadach można liczyć na wygraną z cyberprzestępcami? W najbliższej przyszłości postęp w walce z phishingiem i ransomware może wynikać z dalszego rozwoju i integracji zaawansowanych technologii sztucznej inteligencji.
– Podejście łączące AI, automatyzację, segmentację i współpracę zespołów, może znacząco zwiększyć odporność organizacji na phishing i ransomware, dając przewagę nad coraz bardziej zaawansowanymi technicznie cyberprzestępcami – uważa Marcin Klimowski.
Przewaga w walce z zagrożeniami ma wynikać ze stosowania telemetrycznej, zautomatyzowanej obrony, zdolnej działać szybciej niż napastnik, w połączeniu z bezpieczniejszymi fundamentami ochrony (m.in. uwierzytelnianiem bezhasłowym i rygorystycznym egzekwowaniem konfiguracji). Takie podejście już przynosi wymierne efekty, redukując skuteczność ataków mimo ich rosnącej liczby.
Niestety, postęp technologiczny zachodzi po obu stronach barykady. Także cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję zarówno w klasycznych kampaniach phishingowych (masowo rozsyłanych wiadomościach poprzez e-mail lub komunikatory), jak i w szeroko rozumianym podszywaniu się pod osoby czy instytucje. Algorytmy AI potrafią generować perfekcyjnie brzmiące wiadomości w dowolnym języku i coraz doskonalszy sposób zmanipulowane nagrania głosu i wideo.
– Choć wielu chciałoby wierzyć, że szybki rozwój sztucznej inteligencji, zwłaszcza dużych modeli językowych, stanie się wreszcie panaceum na problemy związane z phishingiem i ransomware, rzeczywistość jest znacznie bardziej skomplikowana. Owszem, AI daje obrońcom potężne, wcześniej niedostępne narzędzia, ale z tej samej technologii korzystają coraz sprawniej cyberprzestępcy, automatyzując swoje kampanie, generując perfekcyjnie brzmiące wiadomości czy tworząc treści, które jeszcze niedawno zdradzały się choćby drobnym błędem językowym – mówi Maciej Twardy.
Dlatego czeka nas dalszy wyścig zbrojeń, który dla broniących oznacza doskonalenie narzędzi ochrony, automatyzację reakcji na incydenty, ściślejszą integrację systemów bezpieczeństwa z rozwiązaniami do ochrony i odzyskiwania danych oraz konieczność dostosowywania się do coraz bardziej wymagających regulacji.
Podobne artykuły
SOC na trzy sposoby
Budowa własnego centrum bezpieczeństwa kosztuje kilka milionów złotych i większość polskich organizacji nie stać na taką inwestycję. Rozwiązaniem tego problemu mogą być modele usługowy i hybrydowy.
Koniec gry w chowanego: jak Trellix NDR znajduje hakerów w sieci
Haker może działać niewykryty w sieci przez kilka tygodni, a nawet miesięcy. Zwłaszcza, że tradycyjne systemy bezpieczeństwa i przestarzałe paradygmaty mają coraz większe trudności z identyfikacją intruzów. Tym bardziej trzeba sięgnąć po nowe rozwiązania, takie jak NDR.
OpenText SMAX: zarządzanie usługami
OpenText wykorzystuje agentów AI, inteligentną automatyzację oraz precyzyjne mapy usług, zmieniając reaktywne „gaszenie pożarów” z lawiną ticketów serwisowych w proaktywne zapobieganie incydentom z samoobsługą użytkowników.