Pieniądze znikają w ciągu kilku minut. Przelew w bitcoinie, adres portfela wygenerowany przez przestępców, potwierdzenie transakcji na blockchainie — i koniec. Firma właśnie wpłaciła okup. Może sto tysięcy złotych. Może milion. Może więcej.
Teraz czeka.
Czeka na klucz szyfrujący, który ma odblokować jej systemy. Czeka na to, że hakerzy dotrzymają słowa. Czeka, żeby znowu móc pracować, wystawiać faktury, obsługiwać klientów. Zarząd nie śpi. Dział IT siedzi przy monitorach. Prawnicy stoją w gotowości.
I w pewnym momencie klucz faktycznie przychodzi. Albo nie przychodzi. Albo przychodzi uszkodzony.
To właśnie zaczyna się prawdziwy horror — ten, o którym w mediach prawie się nie pisze.
Jedna decyzja. Nieodwracalna.
W Polsce co piąta firma spotkała się z atakiem ransomware w 2023 roku. Spośród tych, które padły ofiarą, 39 procent zdecydowało się na zapłacenie okupu przestępcom. To nie jest abstrakcja — to setki polskich firm, instytucji, organizacji. Wiele z nich milczy. Część dlatego, że wstyd. Część dlatego, że musiała podpisać klauzule poufności. Część dlatego, że sprawa trafiła do prokuratury i nie wolno im mówić.
Ale dane mówią same za siebie.
Spośród polskich firm, które zapłaciły okup, połowa uiściła opłatę poniżej 500 tysięcy złotych. Niemal trzydzieści procent — od pół miliona do miliona. Trzynaście procent zapłaciło od jednego do pięciu milionów złotych. A siedem procent oddało przestępcom ponad pięć milionów.
Pięć milionów złotych. Przekazanych anonimowym przestępcom, w kryptowalucie, bez żadnej gwarancji, bez umowy, bez prawa do reklamacji.
I to tylko okup. Bo okup to dopiero początek rachunku.
Koszt, którego nie ma w żadnym cenniku
Kiedy eksperci od cyberbezpieczeństwa mówią o kosztach ataku ransomware, zazwyczaj myślą o jednej liczbie: kwocie, którą firma przekazała przestępcom. To błąd — i to poważny.
Prawdziwy koszt ataku rozciąga się na tygodnie, miesiące, czasem lata. I składa się z pozycji, których żadna firma nie wpisuje wprost do sprawozdania finansowego — bo nie chce, żeby ktoś to zobaczył.
Przestój operacyjny. Gdy systemy są zaszyfrowane, firma stoi. Nie wystawia faktur, nie obsługuje zamówień, nie może skontaktować się z klientami przez swoje kanały. Nawet po zapłaceniu okupu Colonial Pipeline potrzebował miesiąca, żeby przywrócić systemy finansowe do pełnej sprawności. A to tylko jeden przykład z listy firm, które liczyły straty w tygodniach, nie w dniach.
Odbudowa infrastruktury. Klucz szyfrujący — jeśli w ogóle działa — nie przywraca systemów do stanu sprzed ataku. To tylko narzędzie do odszyfrowania danych. Wszystko inne trzeba odbudować: serwery, konfiguracje, procedury, integracje. W jednym z badań nawet 92 procent firm nie było w stanie odzyskać wszystkich danych nawet po zapłaceniu okupu.
Kary RODO. Jeśli przy ataku doszło do wycieku danych osobowych klientów lub pracowników — a przy nowoczesnym ransomware tak jest prawie zawsze — firma ma obowiązek zgłosić incydent do UODO i poinformować poszkodowane osoby. Kary za RODO grożą także firmom będącym ofiarami ataków. Bycie ofiarą nie zwalnia z odpowiedzialności za ochronę cudzych danych.
Reputacja. Tego nie da się przeliczyć na złotówki, ale każdy wie, ile jest warta. Klienci odchodzą. Partnerzy pytają o bezpieczeństwo. Przetargi są przegrywane, bo w dokumentach pojawia się wzmianka o „incydencie bezpieczeństwa". W badaniu Cybereason 53 procent firm przyznało, że atak ransomware negatywnie odbił się na ich marce.
Utrata kadr. Prawie jedna trzecia firm zaatakowanych ransomware straciła top management — przez zwolnienia lub rezygnacje. 29 procent było zmuszonych do redukcji etatów. Zarząd odpowiada. Dyrektor IT odchodzi. Ktoś musi wziąć winę.
Zamknięcie. Ćwierć firm, które wzięły udział w badaniu, przyznała że atak ransomware doprowadził do zamknięcia organizacji. Jedna czwarta. Nie przetrwała. Skończyła.
„Zapłaciliśmy. Potem zaatakowali nas znowu."
Jest coś, o czym firmy mówią szeptem. Coś, czego nie ma w komunikatach prasowych ani w raportach dla rady nadzorczej.
Po zapłaceniu okupu wracają.
Badanie firmy Cybereason przeprowadzone wśród ponad tysiąca dwustu ekspertów ds. bezpieczeństwa wykazało, że 80 procent organizacji, które zapłaciły okup, doświadczyło drugiego ataku. Prawie połowa z nich uważa, że był to ten sam sprawca — który wiedział, że ofiara zapłaci i tym razem zażądał jeszcze więcej.
Mechanizm jest prosty i brutalny. Kiedy firmy płacą, wywieszają niejako szyld: „Jesteśmy otwarci na interesy." Przestępcy atakują te ofiary ponownie, zanim zdążą poprawić zabezpieczenia.
Znane są przypadki, w których firmy decydowały się zapłacić okup bez przeprowadzenia należytego audytu bezpieczeństwa własnej sieci. Przestępcy wykorzystywali odkryte wcześniej luki ponownie. Zaszyfrowane pierwotnie dane wprawdzie odzyskiwano, ale na krótko.
Krótko — to znaczy kilka tygodni. Kilka miesięcy. Tyle czasu potrzebowali hakerzy, żeby wrócić tą samą dziurą, przez którą weszli za pierwszym razem.
Spośród firm, które doświadczyły drugiego ataku, 63 procent zostało poproszonych o zapłacenie jeszcze wyższego okupu.
Drugi atak był droższy. I niespodzianki tu nie ma — skoro wiadomo, ile firma jest gotowa zapłacić.
Tajemnica branży odzyskiwania danych
Jest jeszcze jeden aktor tej historii, o którym rzadko się mówi. Firma odzyskiwania danych.
Kiedy do zarządu przychodzi informacja o ataku ransomware, pierwszym odruchem jest zadzwonić do kogoś, kto „to naprawi". W Polsce i na świecie wyrosła cała branża firm oferujących „odzyskiwanie danych po ransomware". Brzmi profesjonalnie. Brzmi jak ratunek.
Ale za kulisami dzieje się coś zaskakującego.
Tak zwane firmy odzyskiwania danych działają według udokumentowanego schematu: pozycjonują się jako legalni pośrednicy, płacą okup za zamkniętymi drzwiami, a następnie wystawiają ofierze lub ubezpieczycielowi rachunek wielokrotnie przewyższający rzeczywisty okup — za „usługi serwisowe". Twierdzą, że używają narzędzi, które nie istnieją. A sam okup trafia wprost do hakerów.
Jeden z hakerów grupy REvil, aresztowany i osądzony w USA, opisał to zjawisko wprost: widział w panelu negocjacyjnym wiadomości od firm odzyskiwania danych, które pytały o liczbę zainfekowanych komputerów i proponowały ofierze cenę dwa, trzy razy wyższą niż rzeczywiste żądanie. Według jego relacji firmy te wystawiały ubezpieczycielom faktury na sześćdziesiąt, osiemdziesiąt tysięcy dolarów, nawet gdy okup wynosił dziesięć tysięcy — twierdząc, że użyły „komputera kwantowego" do odszyfrowania plików. W rzeczywistości po prostu płaciły hakerom.
Ofiara płaciła dwukrotnie: raz hakerowi, raz pośrednikowi. I nie wiedziała o żadnym z tych przelewów.
Dane, które nie znikają nawet po zapłaceniu
Współczesny ransomware nie szyfruje już tylko danych. On je najpierw kradnie.
Od 2020 roku popularna stała się taktyka „potrójnego wymuszenia": haker najpierw wymusza okup za klucz pozwalający na odszyfrowanie dysków, następnie grozi wyciekiem danych, które wcześniej wykradł, a na koniec albo kontaktuje się z osobami, których dane posiada, albo wraca do oryginalnej ofiary i informuje, że w zanadrzu ma kolejny atak.
Zapłacenie pierwszego okupu nie usuwa danych z serwerów przestępców. Dane zostały skopiowane. Żyją swoim życiem. Mogą trafić na darkwebowe fora. Mogą zostać sprzedane innym grupom. Mogą pojawić się za rok, dwa lata — przy zupełnie nowym ataku.
W Polsce przekonało się o tym laboratorium medyczne ALAB. Cyberprzestępcy wykradli dane medyczne pacjentów, których część opublikowali w ramach szantażu, a pozostałą — po tym jak ALAB odmówił zapłaty ocupu. ALAB nie zapłacił. Dane i tak wyciekły.
Ale firmy, które płacą? Mają złudzenie bezpieczeństwa. Hakerzy usuwają dane z publicznych stron — bo taka jest umowa. Ale nikt nie sprawdza, co dzieje się z kopiami na prywatnych serwerach.
Firma otrzymuje łatkę łatwego celu i „płatnika", którego można w prosty sposób zastraszyć. Żadna firma nie chce mieć takiej reputacji, bo może to być równoznaczne z namalowaniem tarczy strzelniczej na jej plecach.
Ubezpieczenie, które pogarsza sprawę
Logika podpowiada: wykupię ubezpieczenie od cyberataków i będę bezpieczny. Ubezpieczyciel pokryje okup. Firmę ochroni polisa.
Logika się myli.
Podmioty, które współpracowały z zewnętrznymi firmami zajmującymi się reagowaniem na incydenty, były najbardziej skłonne płacić hakerom — tak odpowiedziała nieco ponad połowa badanych. Co ciekawe, posiadanie ubezpieczenia od cyberataków wiązało się z płaceniem znacznie wyższych okupów — średnio 771 tysięcy dolarów, zamiast znacznie niższych kwot u firm bez polisy.
Dlaczego? Skoro ktoś inny płaci za ofiarę — ofiara jest skłonna zapłacić więcej. A hakerzy do wynajęcia wiedzą, że cel ma ubezpieczenie. Wiedzą, zanim zaatakują.
Badania wykazały, że 77 procent organizacji posiadających ubezpieczenie od cyberataków doświadczyło co najmniej jednego skutecznego ataku ransomware, w porównaniu do 65 procent firm bez ubezpieczenia. Może to oznaczać, że cyberprzestępcy celowo polują na organizacje z ubezpieczeniem, wierząc, że ubezpieczyciel pokryje okup.
Ubezpieczenie stało się — paradoksalnie — magnesem na hakerów.
Co mówią ci, którzy przeżyli
Firmy rzadko mówią publicznie o atakach. Jeszcze rzadziej o tym, ile zapłaciły. Ale kiedy przychodzi do rozmów za zamkniętymi drzwiami — z analitykami, prawnikami, specjalistami od cyberbezpieczeństwa — wyłania się pewien wzorzec.
Regret. Żal.
Żal, że zapłacono. Żal, że nie zainwestowano wcześniej w kopie zapasowe. Żal, że nie było planu awaryjnego. Żal, że pierwszą decyzją było zamknięcie się w pokoju z zarządem i liczenie bitcoinów zamiast zadzwonić do CERT Polska.
Płacenie okupu nie tylko poprawia sytuację finansową hakerów, ale także spowalnia reakcję na incydent naruszenia danych. Ostatecznie zwiększa to i tak wysokie koszty usunięcia szkód po cyberataku.
Jeden ze świadków ataku ransomware na firmę technologiczną obsługującą tysiące innych firm opisał to tak: „Patrzyłem jak moje życie przelatuje mi przed oczami. Bezsilnie obserwowałem, jak 28 lat krwi, potu i łez rozpuszcza się w nicość. Myślałem o lawinach pozwów, które prawdopodobnie nastąpią, o zerwanych kontraktach i ogromu kosztów odbudowy, które na nas czekają. Psychologiczny wpływ na mnie, mojego wspólnika, cały nasz zespół i ich rodziny był wystarczający, żeby zepchnąć normalnych ludzi w bardzo ciemne miejsca."
To nie jest opis spektakularnego ataku na wielką korporację. To opis tego, co poczuł zwykły dyrektor firmy w zwykłym środę rano, gdy otworzył komputer.
Jak wygląda rozmowa z hakerem
Jest jeszcze jeden element tej układanki, który zostaje zwykle poza kadrem.
Kiedy firma „negocjuje" z grupą ransomware, robi to przez specjalny panel internetowy — dostępny zazwyczaj przez sieć Tor. Jest tam czat. Są instrukcje. Jest pole na wpisanie adresu portfela. Czasem — jak w przypadku większych ofiar — jest prawdziwy negocjator po drugiej stronie, który odbiera wiadomości w godzinach pracy, robi przerwy na lunch i mówi po angielsku bez akcentu.
Stojące za atakami grupy cyberprzestępcze żądają dwóch okupów: pierwszego za odszyfrowanie danych, a drugiego za niepublikowanie wykradzionych danych w sieci. Konsekwencją niezapłacenia drugiego żądania jest publiczny wyciek wykradzionych plików.
To nie jest atak. To biznes. Mają regulamin. Mają obsługę klienta. Mają politykę cenową i rabaty dla firm, które płacą szybko.
I mają coraz bardziej szczegółową wiedzę o swoich ofiarach. W przypadku ransomware obsługiwanego przez człowieka, grupa atakujących bada firmę przed atakiem, aby zrozumieć jej słabe punkty. W niektórych przypadkach odkrywa dokumenty finansowe, które pomagają im ustalić wysokość żądanego okupu.
Nie losują kwoty. Sprawdzają przychody firmy. Patrzą na polisy ubezpieczeniowe. Liczą, ile ofiara może zapłacić — i żądają tyle, żeby bolało, ale nie tyle, żeby firma odmówiła.
Jedna liczba, którą warto zapamiętać
Eksperci od lat powtarzają, że nie należy płacić. FBI odradza. Europejskie agencje cyberbezpieczeństwa odradzają. CERT Polska odradza.
A mimo to — firmy płacą.
Bo jest piątek wieczór. Bo w poniedziałek są dostawy do klientów. Bo serwer z danymi klientów przestał odpowiadać o trzeciej w nocy. Bo zarząd jest przerażony. Bo nikt nie wdrożył polityki kopii zapasowych. Bo alternatywa wydaje się gorsza.
I wtedy przychodzi jedna liczba: kwota okupu. I decyzja: zapłacić albo nie.
Kiedy ofiara natychmiast płaci, co powstrzymuje hakerów przed zwykłym podniesieniem żądania po spełnieniu pierwszego? Płacenie mówi hakerom: wygraliście. To naturalnie sprawia, że firma staje się bardziej prawdopodobnym celem kolejnego ataku. A jeśli drugi atak nastąpi — okup będzie wyższy.
Statystyki są bezlitosne. Tylko 47 procent organizacji, które zdecydowały się zapłacić okup, było w stanie odzyskać swoje pliki. Pozostałe albo nie odzyskały danych, albo odzyskały je w stanie uszkodzonym.
Prawie połowa zapłaciła. I nic nie dostała w zamian.
Epilog: Co zamiast
Jest wyjście z tej pułapki. Ale wymaga działania, zanim haker zapuka.
Kopie zapasowe — trzymane offline, poza zasięgiem zaszyfrowanego systemu. Plan reagowania na incydenty — opracowany, wydrukowany i przetestowany, kiedy nic się nie dzieje. Segmentacja sieci — tak żeby infekcja jednego serwera nie oznaczała infekcji wszystkich. Szkolenia pracowników — bo phishing to nadal najpowszechniejszy rodzaj ataku hakerskiego, a zaledwie 22 procent pracowników zdaje sobie sprawę z tego, czym jest ransomware.
I gotowość do powiedzenia „nie" — nawet gdy boli, nawet gdy kosztuje, nawet gdy zarząd patrzy na datę najbliższej dostawy.
Bo okup to nie koniec problemu.
To często jego początek.
Artykuł powstał na podstawie raportów Sophos „State of Ransomware Poland 2024", badania Cybereason, danych CERT Polska za rok 2024, raportów Barracuda Networks i Coveware oraz publicznie dostępnych materiałów sądowych z USA. Wszystkie cytowane incydenty dotyczące polskich podmiotów są udokumentowane w oficjalnych komunikatach lub raportach branżowych.