Wyobraź sobie poniedziałkowy poranek. Pracownik działu księgowości otwiera maila z tytułem „Faktura korygująca – pilne". Klika załącznik. Nic się nie dzieje — przynajmniej z pozoru. Dwadzieścia minut później na ekranach kilkunastu komputerów pojawia się komunikat: „Twoje pliki zostały zaszyfrowane. Zapłać okup w ciągu 72 godzin." To nie jest scenariusz z filmu. W 2023 roku 91% wszystkich ataków ransomware rozpoczęło się od wiadomości e-mail — wynika z raportu Verizon Data Breach Investigations Report. W tym artykule przeprowadzimy Cię przez cały łańcuch ataku krok po kroku i pokażemy, co konkretnie możesz zrobić, żeby Twoja firma nie stała się kolejną ofiarą.
Czym jest ransomware i dlaczego email to jego ulubiony wektor
Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu (i w dostępnych zasobach sieciowych), a następnie żąda okupu za klucz deszyfrujący. Kwoty wahają się od kilku tysięcy złotych w przypadku małych firm do kilku milionów dolarów przy atakach na korporacje. Według danych Sophos (State of Ransomware 2023) średni okup zapłacony przez organizację wynosi ok. 1,54 mln USD — i to bez uwzględnienia kosztów przestoju, utraty danych i reputacji.
Poczta elektroniczna jest dla cyberprzestępców idealnym kanałem z kilku powodów: jest powszechna, tania w nadużywaniu i — co najważniejsze — wymaga tylko jednego błędu ludzkiego. Nie trzeba łamać firewalla ani exploitować podatności serwera. Wystarczy, że jeden pracownik kliknie w nieodpowiednim momencie.
Anatomia ataku: od skrzynki odbiorczej do zaszyfrowanej sieci
Poniżej przedstawiamy realistyczny, złożony scenariusz ataku ransomware przez email — oparty na wzorcach rzeczywistych incydentów (m.in. kampanie grup Emotet, LockBit, BlackCat). Każdy etap trwa krócej, niż myślisz.
Etap 1 — Rekonesans i przygotowanie wiadomości (dni/tygodnie przed atakiem)
Atakujący nie wysyła maila „w ciemno". Najpierw zbiera informacje: przegląda LinkedIn firmy, jej stronę www, stopki maili w publicznych wątkach na forach branżowych. Dowiaduje się, kto jest księgowym, kto odpowiada za zakupy, jaki system ERP firma stosuje. Na tej podstawie konstruuje wiadomość spear-phishingową — spersonalizowaną, wiarygodną, trudną do odróżnienia od prawdziwej korespondencji.
Wiadomość może podszywać się pod: dostawcę z prawdziwą fakturą, urząd skarbowy z „wezwaniem do korekty deklaracji", bank z alertem o podejrzanej transakcji, a nawet pod wewnętrznego pracownika (atak BEC — Business Email Compromise).
Etap 2 — Dostarczenie złośliwego ładunku
Złośliwy załącznik email to dziś rzadko plik .exe — filtry antyspamowe dawno nauczyły się go blokować. Atakujący używają bardziej podstępnych formatów:
- Dokumenty Office z makrami (.doc, .xls) — makro uruchamia się po kliknięciu „Włącz edycję"
- Pliki PDF z osadzonym JavaScriptem lub linkiem do złośliwej strony
- Archiwa ZIP/RAR z hasłem — hasło podane w treści maila, co omija skanowanie antywirusowe
- Pliki .iso / .img — montowane automatycznie przez Windows, zawierają plik .lnk uruchamiający skrypt
- Linki do fałszywych stron (phishing ransomware) — wyłudzają dane logowania lub pobierają dropper
Etap 3 — Wykonanie i eskalacja uprawnień (pierwsze minuty)
Po uruchomieniu złośliwego kodu na stacji roboczej ransomware nie szyfruje od razu. Najpierw loader (np. Emotet, Qakbot) pobiera właściwy payload i nawiązuje połączenie z serwerem C2 (Command & Control). Następnie złośliwe oprogramowanie próbuje eskalować uprawnienia — np. przez exploit CVE na niezałatanym systemie Windows lub przez kradzież hasła z pamięci procesu LSASS (technika Pass-the-Hash).
Na tym etapie atakujący mogą przejąć kontrolę nad kontem administratora domeny. To moment, w którym pojedyncza stacja robocza staje się przyczółkiem do ataku na całą infrastrukturę.
Etap 4 — Ruch boczny i eksfiltracja danych (godziny)
Mając uprawnienia administratora, atakujący poruszają się po sieci wewnętrznej (ang. lateral movement). Mapują zasoby: serwery plików, backupy, bazy danych, systemy ERP. Często celowo czekają kilka dni lub tygodni, kopiując dane przed szyfrowaniem — to podwójny szantaż: „zapłać, albo opublikujemy Twoje dane klientów".
Eksfiltracja danych osobowych klientów oznacza dla firmy dodatkowe problemy prawne. Art. 33 RODO nakłada obowiązek zgłoszenia naruszenia danych osobowych do UODO w ciągu 72 godzin od jego wykrycia. Art. 34 może wymagać poinformowania samych osób, których dane dotyczą. Kary za naruszenie mogą sięgnąć 20 mln EUR lub 4% rocznego obrotu.
Etap 5 — Szyfrowanie i żądanie okupu (minuty)
Gdy atakujący uznają, że zebrali wystarczająco dużo — uruchamiają właściwy ransomware. Nowoczesne warianty (np. LockBit 3.0) potrafią zaszyfrować 100 000 plików w mniej niż 5 minut, używając silnego szyfrowania AES-256 + RSA-4096. Backupy podłączone do sieci są szyfrowane razem z resztą. Na ekranach pojawia się nota z żądaniem okupu i odliczanie czasu.
Dlaczego tradycyjny antywirus nie wystarczy
Wiele firm wciąż wierzy, że zainstalowany antywirus chroni przed ransomware. To niebezpieczne złudzenie. Klasyczne rozwiązania antywirusowe opierają się na sygnaturach znanych zagrożeń — a grupy ransomware regularnie modyfikują kod, żeby go ominąć. Według AV-TEST w 2023 roku nowe warianty złośliwego oprogramowania pojawiały się w tempie ponad 450 000 próbek dziennie.
Sama ochrona endpointów to za mało. Bezpieczeństwo poczty firmowej musi być wielowarstwowe — bo atak zaczyna się właśnie tam.
Jak chronić firmową pocztę przed ransomware — konkretne działania
Poniżej znajdziesz sprawdzone metody ochrony, które realnie zmniejszają ryzyko. Nie są to ogólniki — każda daje się wdrożyć w firmie MŚP.
1. Uwierzytelnianie nadawcy: SPF, DKIM, DMARC
Trzy rekordy DNS, które razem tworzą solidną barierę przed podszywaniem się pod Twoją domenę (i weryfikują nadawców przychodzących wiadomości). SPF określa, które serwery mogą wysyłać maile w imieniu domeny. DKIM podpisuje każdą wiadomość kryptograficznie. DMARC definiuje politykę dla wiadomości, które nie przejdą weryfikacji — i dostarcza raporty o próbach podszywania się.
Według badania Global Cyber Alliance tylko 66% polskich firm z sektora MŚP ma poprawnie skonfigurowany SPF, a zaledwie co trzecia wdrożyła DMARC z polityką reject. Brak tych rekordów to otwarta furtka dla atakujących podszywających się pod Twój adres.
2. Filtrowanie załączników i sandboxing
Brama pocztowa (email gateway) powinna blokować lub poddawać kwarantannie ryzykowne typy plików. Sandboxing to technika, w której podejrzany załącznik jest otwierany w izolowanym środowisku wirtualnym — jeśli próbuje wykonać złośliwy kod, zostaje zablokowany zanim dotrze do skrzynki pracownika.
Warto skonfigurować blokadę rozszerzeń: .exe, .bat, .vbs, .js, .iso, .img, .lnk. Dokumenty Office z makrami powinny być otwierane tylko w trybie Protected View lub konwertowane do PDF przed dostarczeniem.
3. Wieloskładnikowe uwierzytelnianie (MFA) na skrzynkach pocztowych
Nawet jeśli atakujący wykradnie hasło pracownika (np. przez phishing), MFA uniemożliwia mu zalogowanie się do skrzynki bez drugiego składnika (kodu SMS, aplikacji authenticator, klucza sprzętowego FIDO2). Microsoft podaje, że MFA blokuje 99,9% zautomatyzowanych ataków na konta. To jeden z najłatwiejszych i najtańszych kroków — i wciąż pomijany przez wiele firm.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
