„Nas to nie dotyczy” – Polska na celowniku ataków ransomware

„Nas to nie dotyczy”? Czy aby na pewno?

W pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware, odpowiadając za 6% wszystkich globalnych incydentów i wyprzedzając nawet Stany Zjednoczone – podają specjaliści ESET.

Telefon dzwoni wcześniej niż zwykle. Zaspany administrator loguje się do systemu, by sprawdzić, co się dzieje. Skrzynki mailowe nie działają. Pracownicy tracą dostęp do plików. Ekran wyświetla komunikat o zaszyfrowaniu danych. Chwilę później pojawia się żądanie okupu.

W międzyczasie ktoś chwali się sukcesem na zamkniętym forum dla cyberprzestępców. W prasie – zaledwie krótka wzmianka. Firma zostaje z kosztowną ciszą. To awaria, której nie da się wytłumaczyć jednym postem na Facebooku.

Tak wygląda realny scenariusz ataków APT (Advanced Persistent Threats) i ransomware.

Atakującym nie chodzi już tylko o rządy czy instytucje finansowe. Celem może być każdy: firma z sektora spożywczego, lokalny operator IT, średnia firma transportowa, również Twoja firma.

A skoro tak, warto zadać sobie pytanie – czy jesteś gotowy?

Kto atakuje?

Advanced Persistent Threats (APT) to zorganizowane, wysoce wyspecjalizowane grupy cyberhakerów – często sponsorowane przez państwa (zwłaszcza Rosję). Ich celem są dane, destabilizacja, wpływy – a coraz częściej również pieniądze z okupów. Działają w ukryciu tygodniami lub miesiącami. Cicho. Strategicznie.

Najbardziej znane grupy:

Polska na celowniku

Grupy APT nie omijają Polski. Przeciwnie – rosnące zaangażowanie naszego kraju w pomoc Ukrainie, inwestycje w infrastrukturę i obecność firm z kluczowych sektorów czynią nas wyjątkowo atrakcyjnym celem.

Botnetowa wojna propagandowa

W połowie lipca 2025 służby ds. cyberbezpieczeństwa 12 krajów, w tym Polski, przeprowadziły operację wymierzoną w prorosyjską sieć cyberprzestępczą NoName057(16). Udało się wyłączyć znaczną część infrastruktury gangu służącą do ataków. Aresztowano 2 osoby, wydano 8 nakazów aresztowania, powiadomiono o odpowiedzialności karnej ponad 1 tys. osób wspierających grupę. Szacuje się, że sieć zwolenników grupy może liczyć aż 4 tys. osób.

Grupa NoName057(16) najpierw za cel wzięła Ukrainę, potem kraje NATO, stosując ataki typu DDoS. W 2023 r. w Polsce zaatakowała m.in, strony PKP PLK i Metra Warszawskiego. Natomiast w 2024 r. atakowała infrastrukturę krytyczną oraz systemy ICS/OT i SCADA, co miało wpływ na funkcjonowanie kluczowych sektorów, takich jak energetyka, wodociągi, transport i produkcja. Grupa atakowała też instytucje publiczne, takie jak Polskie Radio, NBP, ePuAP, czy port w Gdyni. 

Jaki był cel tych ataków? Nie tyle paraliż, co demonstracja siły i budowanie nastroju zagrożenia. Klasyczna broń psychologiczna XXI wieku.

Ransomware w Herbapolu

W lipcu 2025 doszło do zaszyfrowania systemów IT w znanej firmie spożywczej. Sprawcy zażądali okupu – według nieoficjalnych źródeł nawet 900 000 USD. Choć firma szybko podjęła działania i nie uległa szantażystom, skutki incydentu były dotkliwe:

To klasyczny przykład ransomware double extortion — najpierw dane są szyfrowane, potem grożono ich ujawnieniem.

Ataki na sektor zdrowia

W marcu 2025 roku głośnym było o ataku ransomware na szpital MSWiA w Krakowie. Szpitalowi udało się zachować ciągłość działania placówki tylko dzięki przejściu na pracę z wykorzystaniem papierowych dokumentów, co jest ważne w kontekście planów odchodzenia od papieru w administracji publicznej.

W sektorze zdrowia działo się niestety więcej. W listopadzie 2023 roku nastąpił największy wyciek danych medycznych w Polsce. Hakerzy udostępnili dane 54 000osób, które wykonywały badania w ALAB Laboratoria. Wyciekły m.in. imiona i nazwiska pacjentów, nr PESEL, adresy zamieszkania i wyniki badań. Miesiąc później doszło tam do kolejnego wycieku danych. Tym razem hakerzy udostępnili dane kilku tysięcy współpracowników i dostawców ALAB Laboratoria.

W styczniu 2023 roku ofiarą ataku ransomware padło Centrum Medyczne TW-Med w Otwocku. W listopadzie 2022 roku Szpital Matki Polki w Łodzi został zaatakowany przez grupę LockBit 3.0. W lutym 2022 roku zaszyfrowano dane 30 tys. pacjentów SPZOZ w Pajęcznie.

Te incydenty pokazują, że ataki nie dotyczą już tylko dużych graczy – grupy APT interesują się także słabiej chronionymi celami o dużym znaczeniu społecznym.

Phishing jako wstęp do APT

CERT Polska regularnie publikuje ostrzeżenia o nowych kampaniach phishingowych. W 2025 roku zaobserwowano szczególne nasilenie:

W wielu przypadkach phishing był pierwszym krokiem do ataków APT, np. instalacji backdoora, zbudowania przyczółku i prowadzenia dalszej infiltracji sieci.

Sama technologia to za mało

CRACE – trening realny jak atak

Cyberprzestępcy nieustannie doskonalą metody ataku i wykorzystują najnowsze technologie. Tradycyjne szkolenia dla specjalistów ds. cyberbezpieczeństwa nie wystarczają. Potrzebny jest im program ciągłej nauki oparty o prawdziwe i aktualne kampanie APT.

CRACE (Certified Real Attack Campaign Expert) to symulacja biznesowa, która uczy, jak bronić się, jak profesjonaliści. CRACE obejmuje co miesiąc nowe wyzwanie oparte o prawdziwe kampanie APT i cybercrime. Wszystko to zasymulowane na platformie CyberBastion, która umożliwia przygotowanie obrony, wdrożenie działań i analizę skutków ataku. CRACE i platforma CyberBastion zostały opracowane przez ekspertów Fundacji Cyberbezpieczna Przestrzeń i wykorzystywane od lat do rozwoju kompetencji z obszaru cybersecurity.

Jak działa CRACE?

Dla kogo?

Nie pytaj, czy jesteś celem. Zapytaj, kiedy.

APT nie atakują tylko rządów. Nie potrzebują pozwolenia. Nie pytają o zgodę.
Atakują, gdy mogą. Brak przygotowania nie usprawiedliwia. Brak reakcji – kosztuje.

CRACE to Twoje wirtualne pole walki – zanim stawką stanie się Twoja firma i prawdziwe dane.