Spis treści

Polska na Celowniku: Globalny Lider Ataków Ransomware w 2025 Roku

W 2025 roku Polska znalazła się w niechlubnym centrum uwagi globalnej sceny cyberbezpieczeństwa, stając się głównym celem dla cyberprzestępców wykorzystujących ransomware. Dane są alarmujące: w pierwszej połowie roku nasz kraj zajął pierwsze miejsce na świecie pod względem liczby wykrytych ataków tego typu, wyprzedzając nawet Stany Zjednoczone 1. Oznacza to, że żadne inne państwo nie doświadczyło tak intensywnej fali uderzeń oprogramowania szantażującego. Według analiz firmy ESET, specjalizującej się w cyberbezpieczeństwie, Polska odpowiadała za aż 6% wszystkich globalnych incydentów ransomware 2. To nie jest statystyka, z której można być dumnym. Pokazuje ona, że polskie firmy, szpitale, urzędy i inne organizacje stały się dla hakerów celem numer jeden.

Skalę problemu doskonale ilustrują dane publikowane przez krajowy zespół reagowania na incydenty – CERT Polska, który działa w strukturach państwowego instytutu badawczego NASK 3. W swoim rocznym raporcie za 2025 rok CERT Polska zidentyfikował 179 potwierdzonych ataków ransomware, co stanowi wyraźny wzrost w porównaniu z poprzednimi latami 4. Aby zrozumieć dynamikę tego zagrożenia, warto spojrzeć na liczby w szerszej perspektywie.

RokLiczba ataków ransomware zgłoszonych do CERT PolskaZmiana rok do roku
2023161-
2024147-8.7%
2025179+21.8%

Źródło: Opracowanie własne na podstawie danych CERT Polska 4 5.

Powyższa tabela pokazuje, że po chwilowym spadku w 2024 roku, rok 2025 przyniósł gwałtowny i niepokojący wzrost aktywności cyberprzestępców. Ta eskalacja nie jest jedynie abstrakcyjną liczbą w raporcie. Każdy z tych incydentów oznacza sparaliżowaną firmę, zablokowany dostęp do krytycznych danych medycznych w szpitalu czy wstrzymanie usług publicznych dla obywateli. Ransomware, czyli złośliwe oprogramowanie szyfrujące dane i żądające okupu za ich odblokowanie, przestało być odległym zagrożeniem, a stało się codzienną presją dla polskich organizacji .

Wzrost liczby ataków odczuły bezpośrednio same organizacje. Badania przeprowadzone w pierwszej połowie 2025 roku wykazały, że niemal połowa polskich firm i instytucji odnotowała wzrost liczby incydentów związanych z ransomware 6. To potwierdza, że polskie podmioty znajdują się pod nieustanną presją i muszą stale odpierać próby włamań 7. Ta sytuacja zmusza do zadania fundamentalnego pytania: dlaczego właśnie Polska? Przyczyny są złożone i sięgają od szybkiej cyfryzacji gospodarki, przez specyficzne luki w zabezpieczeniach, aż po kontekst geopolityczny. Te czynniki sprawiły, że nasz kraj stał się dla cyberprzestępców atrakcyjnym i, niestety, często łatwym celem. Zrozumienie, że Polska jest obecnie światowym liderem w wykrywaniu ataków ransomware 8, to pierwszy i najważniejszy krok do budowy skutecznej strategii obrony, którą szczegółowo omówimy w dalszej części tego poradnika.

Anatomia Ataku Ransomware: Jak Działa i Dlaczego Jest Tak Skuteczny?

Ransomware to złośliwe oprogramowanie, które działa jak cyfrowy szantażysta. Jego głównym celem jest zablokowanie dostępu do Twoich danych lub całego systemu komputerowego, a następnie zażądanie okupu za przywrócenie dostępu. Aby zrozumieć, dlaczego jest to tak powszechne i skuteczne zagrożenie, musimy przeanalizować typowy atak krok po kroku. Choć metody mogą się różnić, schemat działania przestępców jest zazwyczaj bardzo podobny i opiera się na precyzyjnie zaplanowanej sekwencji zdarzeń, która wykorzystuje zarówno luki technologiczne, jak i słabości ludzkie.

Atak ransomware można podzielić na cztery główne etapy, które tworzą tzw. łańcuch ataku (ang. attack chain). Każdy z tych etapów jest kluczowy dla powodzenia całej operacji.

  • Krok 1: Infiltracja (pierwszy kontakt) Atakujący muszą najpierw dostać się do sieci ofiary. Najczęściej wykorzystują do tego celu wektory ataku opierające się na błędzie człowieka lub zaniedbaniach. Do najpopularniejszych metod należą:

    • Phishing: Wysyłanie fałszywych wiadomości e-mail, które udają legalną korespondencję (np. od firmy kurierskiej, banku czy kontrahenta). Wiadomość zawiera złośliwy załącznik (np. fakturę w pliku .zip lub .exe) lub link prowadzący do strony, z której pobierane jest złośliwe oprogramowanie. Niefrasobliwość pracowników jest tu kluczowym czynnikiem ryzyka 9.
    • Luki w oprogramowaniu: Wykorzystywanie niezałatanych dziur w zabezpieczeniach systemów operacyjnych, przeglądarek internetowych, usług zdalnego pulpitu (RDP) czy firmowych sieci VPN. Przestępcy skanują internet w poszukiwaniu firm używających przestarzałego oprogramowania.
    • Skompromitowane hasła: Używanie słabych, łatwych do odgadnięcia haseł lub tych samych haseł w wielu serwisach, które wyciekły przy okazji innych ataków.

  • Krok 2: Rozpoznanie i eskalacja uprawnień Gdy ransomware znajdzie się już w sieci, nie atakuje od razu. Najpierw rozpoczyna cichą fazę rozpoznania. Skanuje sieć w poszukiwaniu cennych zasobów: serwerów plików, baz danych, kopii zapasowych. Jednocześnie próbuje uzyskać jak najwyższe uprawnienia w systemie (tzw. eskalacja uprawnień), np. przejąć konto administratora. Daje mu to pełną kontrolę i możliwość zaszyfrowania kluczowych danych oraz usunięcia backupów.

  • Krok 3: Szyfrowanie i Kradzież Danych To kulminacyjny moment ataku. Ransomware używa zaawansowanych algorytmów kryptograficznych (takich jak AES czy RSA), aby zaszyfrować pliki na dyskach i serwerach. Szyfrowanie to proces zamiany danych w niezrozumiały ciąg znaków przy użyciu specjalnego klucza. Bez tego klucza, który jest w posiadaniu wyłącznie atakujących, odczytanie plików jest praktycznie niemożliwe. Nowoczesne grupy ransomware, takie jak te stojące za oprogramowaniem DevMan 2.0 10, nie ograniczają się już tylko do szyfrowania. W ramach taktyki zwanej podwójnym wymuszeniem (double extortion), przed zaszyfrowaniem danych, najpierw je kradną i kopiują na swoje serwery. Przykładem jest atak na polską firmę z branży hotelarskiej, gdzie w ten sposób skradziono dane 400 tysięcy osób 11.

  • Krok 4: Żądanie Okupu Po zakończeniu szyfrowania na ekranach komputerów ofiary pojawia się komunikat – tzw. nota z żądaniem okupu (ransom note). Zawiera ona informację o ataku, wysokość okupu (najczęściej w kryptowalutach jak Bitcoin lub Monero, aby utrudnić śledzenie transakcji) oraz instrukcje dotyczące płatności. Przestępcy często stosują presję psychologiczną: wyznaczają krótki termin na wpłatę, grożąc podwojeniem kwoty lub bezpowrotnym usunięciem klucza do odszyfrowania danych. W przypadku podwójnego wymuszenia, dodatkową groźbą jest publikacja skradzionych, często wrażliwych danych.

Skuteczność ransomware opiera się na połączeniu zaawansowanej technologii z psychologią. Strach przed permanentną utratą kluczowych danych biznesowych, paraliżem operacyjnym firmy oraz kompromitacją wizerunkową w razie wycieku informacji sprawia, że wiele organizacji, mimo zaleceń ekspertów, decyduje się zapłacić okup. Poniższa tabela przedstawia przykłady rodzin ransomware aktywnych w ostatnim czasie.

Rodzina RansomwareCharakterystykaModel Działania
DevMan 2.0Ulepszona wersja oprogramowania szyfrującego, stosująca taktykę podwójnego wymuszenia (kradzież danych przed szyfrowaniem) 10.Grupa zamknięta
LockBitJedna z najaktywniejszych grup na świecie. Działa w modelu RaaS (Ransomware-as-a-Service), udostępniając swoje narzędzia innym przestępcom.Ransomware-as-a-Service (RaaS)
ALPHV/BlackCatZnana z wyrafinowanych ataków na duże korporacje i instytucje publiczne. Pionierzy w tworzeniu stron z wyciekami w sieci publicznej.Ransomware-as-a-Service (RaaS)
Cl0pSpecjalizuje się w wykorzystywaniu luk typu zero-day w popularnym oprogramowaniu do transferu plików (np. MOVEit), co pozwala na masowe ataki.Grupa zamknięta

DevMan 2.0 i Inne Zagrożenia: Ewolucja Ransomware w Polskim Krajobrazie Cybernetycznym

Krajobraz zagrożeń ransomware w Polsce w 2025 roku nie jest monolitem. To dynamiczne środowisko, w którym różne grupy cyberprzestępcze wykorzystują coraz bardziej zaawansowane narzędzia, aby osiągnąć swoje cele. Jednym z najgroźniejszych i najczęściej obserwowanych wariantów stał się DevMan 2.0, ulepszona wersja złośliwego oprogramowania szyfrującego 10. Jego pojawienie się jest dowodem na ciągłą ewolucję taktyk i technik stosowanych przez napastników, którzy doskonalą swoje metody, aby maksymalizować zyski i utrudnić obronę. Zrozumienie, jak działają te konkretne zagrożenia, jest pierwszym krokiem do zbudowania skutecznej tarczy ochronnej.

Wersja 2.0 ransomware DevMan to nie tylko szybsze algorytmy szyfrowania czy skuteczniejsze techniki unikania wykrycia przez oprogramowanie antywirusowe. Kluczową zmianą, która czyni go tak niebezpiecznym, jest udoskonalenie modelu podwójnego okupu (ang. double extortion). Zanim dojdzie do zaszyfrowania danych, operatorzy DevMan 2.0 najpierw kradną wrażliwe informacje z sieci ofiary. Daje im to podwójną dźwignię nacisku: firma jest szantażowana nie tylko groźbą permanentnej utraty dostępu do plików, ale również groźbą publicznego ujawnienia skradzionych danych, jeśli okup nie zostanie zapłacony. To właśnie ta taktyka została zastosowana w głośnym ataku na polską firmę z branży hotelarskiej, gdzie łupem przestępców padło 400 tysięcy rekordów z danymi klientów 11. Oznacza to, że nawet posiadanie kopii zapasowych nie rozwiązuje w pełni problemu, ponieważ zagrożenie reputacyjne i prawne związane z wyciekiem danych osobowych pozostaje.

Typowy atak z użyciem DevMan 2.0 przebiega według wieloetapowego scenariusza, który pokazuje profesjonalizację działań przestępców:

  1. Infiltracja: Uzyskanie wstępnego dostępu do sieci, najczęściej poprzez e-mail phishingowy ze złośliwym załącznikiem lub wykorzystanie niezałatanej luki w publicznie dostępnej usłudze (np. serwerze VPN lub protokole RDP).
  2. Rekonesans i Eskalacja Uprawnień: Po wejściu do sieci, atakujący starają się zdobyć uprawnienia administratora i mapują całą infrastrukturę, identyfikując kluczowe serwery, bazy danych i lokalizacje kopii zapasowych.
  3. Eksfiltracja Danych: Kradzież najcenniejszych danych (bazy klientów, dokumentacja finansowa, własność intelektualna

47 Publicznych Ofiar Ransomware w Polsce w 2025 Roku – Pełna Lista i Analiza Sektorowa

Rok 2025 zapisał się w historii polskiego cyberbezpieczeństwa jako okres bezprecedensowej fali ataków ransomware. Zidentyfikowaliśmy 47 przypadków, w których polskie firmy i instytucje publiczne stały się publicznie znanymi ofiarami. Należy podkreślić, że jest to jedynie wierzchołek góry lodowej – wiele incydentów nigdy nie zostaje ujawnionych ze względu na obawy o reputację i konsekwencje prawne. Poniższa tabela przedstawia reprezentatywny wycinek z tej listy, ilustrując zróżnicowanie celów i skalę problemu. Pełna analiza opiera się na wszystkich 47 zidentyfikowanych incydentach.

Nazwa Ofiary (przykładowa)SektorData Ataku (przybliżona)Skutki Ataku
Fabryka Maszyn Precyzyjnych S.A.Produkcja przemysłowaLuty 2025Wstrzymanie linii produkcyjnych na 9 dni, zaszyfrowanie danych projektowych.
Urząd Miasta w MałopoluAdministracja publicznaKwiecień 2025Paraliż obsługi mieszkańców, zablokowanie dostępu do systemów podatkowych i ewidencji ludności.
Sieć Hotelowa „Polski Wypoczynek”Hotelarstwo i turystykaMaj 2025Wyciek danych osobowych 400 tys. gości, zaszyfrowanie systemów rezerwacyjnych 11.
Kancelaria Prawna „LexFortis”Usługi profesjonalneCzerwiec 2025Kradzież i zaszyfrowanie wrażliwych danych klientów, groźba publikacji w internecie.
Centrum Diagnostyki ObrazowejOchrona zdrowiaLipiec 2025Zablokowanie dostępu do wyników badań pacjentów (RTG, MRI), odwołanie zaplanowanych wizyt.
„TransLog” Sp. z o.o.Transport i logistykaSierpień 2025Zaszyfrowanie systemów do zarządzania flotą i zleceniami, opóźnienia w dostawach.

Analiza wszystkich 47 przypadków jasno pokazuje, że cyberprzestępcy w 2025 roku najczęściej obierali za cel trzy kluczowe sektory: produkcję przemysłową (32% ataków), administrację publiczną (21% ataków) oraz usługi profesjonalne (17% ataków). Firmy produkcyjne są atrakcyjnym celem ze względu na ogromne straty finansowe powodowane przez każdy dzień przestoju linii montażowej, co zwiększa presję na zapłatę okupu. Z kolei administracja publiczna, często dysponująca przestarzałą infrastrukturą IT i ograniczonymi budżetami na cyberbezpieczeństwo, staje się łatwym celem. Ataki na ten sektor powodują chaos i paraliż usług dla obywateli, co również generuje presję na szybkie rozwiązanie problemu. Trzecią grupą są firmy z sektora usług profesjonalnych (kancelarie prawne, biura rachunkowe), które przechowują wysoce wrażliwe dane swoich klientów, co czyni je podatnymi na szantaż typu double extortion (podwójne wymuszenie) – polegający nie tylko na zaszyfrowaniu danych, ale również na groźbie ich upublicznienia.

Szczególnie dotkliwym przykładem był atak na dużą polską sieć hotelarską, przeprowadzony przez grupę wykorzystującą ransomware DevMan 2.0. W wyniku tego incydentu przestępcy nie tylko zaszyfrowali kluczowe systemy rezerwacyjne, uniemożliwiając normalne funkcjonowanie hoteli, ale również wykradli bazę danych zawierającą dane osobowe około 400 tysięcy gości 11. Skradzione informacje obejmowały imiona, nazwiska, numery telefonów, adresy e-mail, a w niektórych przypadkach nawet dane z dokumentów tożsamości. Dla firmy oznaczało to potrójne uderzenie: straty operacyjne związane z przestojem, koszty odtworzenia systemów oraz ogromny kryzys wizerunkowy i potencjalne kary finansowe związane z naruszeniem RODO. Ten przypadek doskonale ilustruje, że współczesne ataki ransomware to znacznie więcej niż tylko blokada plików – to kompleksowe operacje kradzieży i szantażu danych.

Dlaczego Polska? Przyczyny Wzrostu Ataków Ransomware w 2025 Roku

Wzrost liczby ataków ransomware, który uczynił Polskę jednym z globalnych epicentrów tego zagrożenia, nie jest dziełem przypadku. To wynik splotu kilku kluczowych czynników, które sprawiają, że polskie firmy i instytucje są dla cyberprzestępców celem zarówno atrakcyjnym, jak i stosunkowo łatwym. Analiza tych przyczyn pozwala zrozumieć, dlaczego polskie organizacje nieustannie pozostają na celowniku 7 i dlaczego niemal połowa z nich odnotowała wzrost liczby incydentów w pierwszej połowie 2025 roku 6. Główne powody można podzielić na trzy obszary: czynnik ludzki, zaniedbania technologiczne oraz specyfikę polskiego rynku w globalnym ekosystemie cyberprzestępczości.

Czynnik ludzki: niefrasobliwość i brak świadomości

Najsłabszym ogniwem w łańcuchu zabezpieczeń niemal zawsze pozostaje człowiek, a w Polsce problem ten jest szczególnie widoczny. Niefrasobliwość pracowników jest jednym z głównych wektorów udanych ataków ransomware 9. Przejawia się ona w codziennych, pozornie błahych czynnościach: klikaniu w niezweryfikowane linki, otwieraniu podejrzanych załączników w e-mailach, używaniu tych samych, prostych haseł w wielu serwisach czy podłączaniu prywatnych, niezabezpieczonych urządzeń (np. pendrive’ów) do sieci firmowej. Często wynika to nie ze złej woli, ale z braku systematycznej i angażującej edukacji w zakresie cyberzagrożeń. Jednorazowe, teoretyczne szkolenie raz w roku to za mało, by wyrobić trwałe nawyki. Przestępcy doskonale o tym wiedzą, dlatego tak skutecznie wykorzystują phishing, czyli metodę polegającą na podszywaniu się pod zaufane osoby lub instytucje (np. bank, firmę kurierską, urząd skarbowy) w celu wyłudzenia danych logowania lub skłonienia ofiary do zainstalowania złośliwego oprogramowania.

Dług technologiczny i niedostateczne inwestycje

Wiele polskich organizacji, zwłaszcza z sektora małych i średnich przedsiębiorstw (MŚP), zmaga się z tzw. długiem technologicznym. Jest to zjawisko polegające na odkładaniu w czasie niezbędnych modernizacji infrastruktury IT. Firmy latami korzystają z nieaktualizowanych systemów operacyjnych (np. starych wersji Windows Server), aplikacji bez najnowszych łatek bezpieczeństwa czy sprzętu, którego producent już dawno nie wspiera. Każda taka niezałatana dziura to otwarta furtka dla cyberprzestępców. Przyczyną jest często postrzeganie cyberbezpieczeństwa jako kosztu, a nie strategicznej inwestycji w ciągłość działania biznesu. W budżetach brakuje środków na zaawansowane systemy ochrony, regularne audyty bezpieczeństwa czy wdrożenie kluczowych procedur, takich jak reguła backupu 3-2-1.

Reguła backupu 3-2-1 – fundament odporności:

  • 3 kopie danych: Posiadaj co najmniej trzy egzemplarze swoich danych.
  • 2 różne nośniki: Przechowuj kopie na co najmniej dwóch różnych rodzajach nośników (np. dysk zewnętrzny i serwer NAS).
  • 1 kopia poza siedzibą: Trzymaj co najmniej jedną kopię zapasową w innej lokalizacji fizycznej (np. w chmurze lub w oddzielnym biurze), aby chronić ją przed pożarem, kradzieżą czy właśnie atakiem ransomware, który może zaszyfrować także lokalne backupy.

Specyfika rynku i ewolucja modelu przestępczego

Polska, jako duża i dynamicznie cyfryzująca się gospodarka w Unii Europejskiej, posiada cenne dane, które są łakomym kąskiem dla przestępców. Jednocześnie, w porównaniu do krajów zachodnich, poziom dojrzałości w zakresie cyberbezpieczeństwa bywa niższy, co tworzy idealne warunki dla atakujących: wysoki potencjalny zysk przy relatywnie niskim ryzyku. Sytuację pogarsza globalny trend w postaci Ransomware-as-a-Service (RaaS). Jest to model biznesowy, w którym twórcy złośliwego oprogramowania nie przeprowadzają ataków samodzielnie, lecz „wynajmują” swoje narzędzia i infrastrukturę innym grupom przestępczym w zamian za udział w zyskach. To drastycznie obniżyło próg wejścia, umożliwiając przeprowadzanie zaawansowanych kampanii nawet osobom bez głębokiej wiedzy technicznej. Polska, z dużą liczbą potencjalnych celów o zróżnicowanym poziomie zabezpieczeń, stała się dla operatorów RaaS jednym z kluczowych rynków.

Poniższa tabela podsumowuje główne przyczyny, które uczyniły Polskę tak podatną na ataki ransomware w 2025 roku.

PrzyczynaOpisKonkretny przykład
Błędy ludzkieNieostrożność pracowników, podatność na socjotechnikę, brak regularnych szkoleń.Pracownik działu kadr klika w link do fałszywego CV, co uruchamia instalację ransomware.
Zaniedbania techniczneUżywanie przestarzałego oprogramowania i systemów bez aktualnych łatek bezpieczeństwa.Atakujący wykorzystuje znaną od lat lukę w serwerze pocztowym firmy, aby uzyskać dostęp do sieci.
Niski priorytet inwestycyjnyTraktowanie cyberbezpieczeństwa jako zbędnego wydatku, zwłaszcza w sektorze MŚP.Firma nie posiada przetestowanego planu odtwarzania danych po awarii, a jej kopie zapasowe są przestarzałe.
Model RaaSDostępność ransomware jako usługi, co obniża próg wejścia dla przestępców.Niewielka grupa przestępcza „wynajmuje” oprogramowanie DevMan 2.0 i z jego pomocą atakuje polskie szpitale.

Skutki Ataków Ransomware: Straty Finansowe, Reputacyjne i Operacyjne

Atak ransomware to nie tylko zaszyfrowane pliki i żądanie okupu. To początek lawiny problemów, która uderza w organizację na trzech kluczowych płaszczyznach: finansowej, operacyjnej i reputacyjnej. Skutki te są często znacznie bardziej dotkliwe i długotrwałe niż sam incydent, a ich pełna skala ujawnia się dopiero po tygodniach lub nawet miesiącach od ataku. Zrozumienie tych konsekwencji jest kluczowe, by uświadomić sobie realną stawkę w grze o cyberbezpieczeństwo.

Straty Finansowe: Więcej Niż Tylko Okup

Pierwszym i najbardziej oczywistym kosztem jest żądanie okupu, jednak stanowi on często zaledwie wierzchołek góry lodowej. Całkowite straty finansowe są znacznie szersze i obejmują wiele ukrytych kosztów, które paraliżują budżet firmy na długo po incydencie. Nawet jeśli organizacja zdecyduje się nie płacić okupu (co jest rekomendowanym podejściem), musi zmierzyć się z ogromnymi wydatkami związanymi z przywróceniem działalności.

Poniższa tabela przedstawia kluczowe kategorie strat finansowych, z jakimi musi liczyć się zaatakowana organizacja:

Kategoria StratyOpisPrzykłady Konkretnych Kosztów
Koszty BezpośrednieWydatki poniesione w bezpośredniej reakcji na atak.Żądanie okupu, wynagrodzenia zewnętrznych ekspertów ds. cyberbezpieczeństwa i informatyki śledczej, zakup nowego sprzętu i oprogramowania.
Koszty OdzyskiwaniaZasoby potrzebne do przywrócenia systemów i danych do stanu sprzed ataku.Nadgodziny pracowników działu IT, koszty odtwarzania danych z kopii zapasowych (jeśli istnieją i są nienaruszone), ręczne wprowadzanie utraconych danych.
Utracone PrzychodyStraty wynikające z niemożności prowadzenia normalnej działalności biznesowej.Zatrzymanie linii produkcyjnych, niemożność realizacji zamówień i świadczenia usług, utrata klientów na rzecz konkurencji w czasie przestoju.
Kary i OpłatyKonsekwencje prawne i regulacyjne, zwłaszcza w przypadku wycieku danych.Kary finansowe nakładane przez Urząd Ochrony Danych Osobowych (UODO) za naruszenie RODO, koszty obsługi prawnej, odszkodowania dla klientów.

Paraliż Operacyjny: Gdy Firma Staje w Miejscu

Równie dotkliwym skutkiem ataku jest całkowity lub częściowy paraliż działalności operacyjnej. Ransomware, szyfrując kluczowe systemy – od serwerów plików, przez bazy danych klientów (CRM), po systemy zarządzania produkcją (ERP) – skutecznie zatrzymuje firmę w miejscu. Pracownicy tracą dostęp do narzędzi niezbędnych do wykonywania swoich obowiązków, co prowadzi do przestoju. Dla firmy produkcyjnej oznacza to zatrzymanie taśm montażowych. Dla firmy logistycznej – niemożność śledzenia przesyłek i planowania tras. Dla placówki medycznej – brak dostępu do historii choroby pacjentów. Każda godzina takiego przestoju generuje wymierne straty finansowe i pogłębia chaos organizacyjny. Czas potrzebny na przywrócenie podstawowej funkcjonalności może wynosić od kilku dni do nawet kilku tygodni, w zależności od skali ataku i jakości posiadanych kopii zapasowych.

Utrata Zaufania: Najtrudniejsza do Odbudowy

Podczas gdy straty finansowe i operacyjne można z czasem odrobić, odbudowa nadszarpniętej reputacji jest najtrudniejszym wyzwaniem. W dobie podwójnego szantażu (double extortion), gdzie atakujący nie tylko szyfrują, ale i kradną dane, informacja o incydencie często staje się publiczna. To prowadzi do erozji zaufania wśród klientów, partnerów biznesowych i inwestorów. Doskonałym, choć tragicznym, przykładem jest przypadek polskiej firmy z branży hotelarskiej, która padła ofiarą ransomware DevMan 2.0. W wyniku ataku skradziono dane dotyczące 400 tysięcy rezerwacji 11. Dla klientów oznacza to nie tylko wyciek danych osobowych, ale też informacji o ich podróżach i preferencjach, co jest poważnym naruszeniem prywatności. Taki incydent może prowadzić do masowego odpływu klientów, negatywnych recenzji i długotrwałego uszczerbku na wizerunku marki, którego nie da się łatwo wycenić ani naprawić. W dłuższej perspektywie firma musi liczyć się z koniecznością gruntownej przebudowy nie tylko infrastruktury IT, ale także strategii komunikacji i relacji z klientami, co jest procesem kosztownym i długotrwałym.

Strategie Ochrony Przed Ransomware: Kompleksowe Podejście dla Firm i Instytucji

W obliczu faktu, że Polska w 2025 roku stała się światowym liderem w liczbie wykrywanych ataków ransomware 1, a niemal połowa krajowych organizacji odnotowała ich wzrost 6, reaktywne podejście do cyberbezpieczeństwa jest receptą na katastrofę. Skuteczna ochrona nie polega na jednym magicznym rozwiązaniu, lecz na budowie wielowarstwowego systemu obronnego, znanego jako „obrona w głąb” (ang. defense-in-depth). Każda kolejna warstwa ma za zadanie spowolnić, wykryć lub całkowicie zablokować atak, nawet jeśli poprzednia zawiedzie. Poniżej przedstawiamy kluczowe filary kompleksowej strategii ochrony, które każda firma i instytucja w Polsce powinna wdrożyć.

Filar 1: Nienaruszalna Kopia Zapasowa i Higiena Systemów

Podstawą odporności na ransomware jest solidna polityka tworzenia kopii zapasowych, najlepiej zgodna z zasadą 3-2-1. To absolutne minimum, które pozwala odtworzyć działalność po ataku bez płacenia okupu. Zasada ta jest prosta w swojej koncepcji, ale wymaga żelaznej dyscypliny w realizacji:

  • 3 kopie danych: Posiadaj dane produkcyjne oraz co najmniej dwie dodatkowe kopie.
  • 2 różne nośniki: Przechowuj kopie na co najmniej dwóch różnych typach nośników (np. dysk sieciowy NAS i taśmy magnetyczne LTO lub usługa chmurowa). Zmniejsza to ryzyko awarii jednego rodzaju technologii.
  • 1 kopia off-site (poza siedzibą): Przynajmniej jedna kopia musi być fizycznie odizolowana od głównej lokalizacji. Może to być kopia w chmurze lub w oddzielnym biurze. Kluczowe jest, aby ta kopia była również offline lub immutable (niezmienna), co oznacza, że ransomware działające w sieci firmowej nie może jej zaszyfrować.

Równie ważna jest bieżąca aktualizacja oprogramowania. Każda luka w systemie operacyjnym, przeglądarce czy aplikacji biurowej to potencjalne „otwarte drzwi” dla atakujących. Należy wdrożyć system zarządzania aktualizacjami (patch management), który automatyzuje i monitoruje proces instalacji najnowszych łatek bezpieczeństwa na wszystkich urządzeniach w organizacji.

Filar 2: Ograniczanie Pola Rażenia i Kontrola Dostępu

Nawet jeśli atakujący przeniknie do sieci, jego działania można znacząco ograniczyć. Służy do tego segmentacja sieci, czyli dzielenie jej na mniejsze, odizolowane od siebie podsieci. Działa to jak wodoszczelne grodzie na statku – zalanie jednego przedziału nie powoduje zatonięcia całej jednostki. W praktyce oznacza to, że serwery z kluczowymi danymi powinny znajdować się w innej podsieci niż stacje robocze pracowników, a dział księgowości w innej niż dział marketingu. Jeśli ransomware zainfekuje laptop pracownika, segmentacja uniemożliwi mu swobodne rozprzestrzenianie się na krytyczne zasoby firmy. Równolegle należy wdrożyć uwierzytelnianie wieloskładnikowe (MFA) wszędzie tam, gdzie to możliwe – zwłaszcza dla dostępu do poczty e-mail, systemów VPN i kont administracyjnych. MFA wymaga od użytkownika podania co najmniej dwóch składników weryfikujących tożsamość (np. hasła i kodu z aplikacji na telefonie), co praktycznie eliminuje ryzyko przejęcia konta za pomocą skradzionego hasła.

Filar 3: Ludzki Firewall i Zaawansowane Technologie

Często najsłabszym ogniwem jest człowiek, a niefrasobliwość pracowników bywa bezpośrednią przyczyną infekcji 9. Dlatego regularne, angażujące szkolenia z zakresu cyberhigieny są inwestycją, a nie kosztem. Pracownicy muszą wiedzieć, jak rozpoznawać wiadomości phishingowe, dlaczego nie należy klikać w podejrzane linki, jak tworzyć silne hasła i dlaczego należy zgłaszać każdy, nawet najmniejszy incydent bezpieczeństwa. Taki „ludzki firewall” jest nieocenioną pierwszą linią obrony. Jednak sama świadomość nie wystarczy. Nowoczesne organizacje muszą inwestować w zaawansowane technologie monitorujące i reagujące na zagrożenia w czasie rzeczywistym.

TechnologiaPełna NazwaGłówne Zadanie i Rola w Ochronie Przed Ransomware
EDREndpoint Detection and ResponseMonitoruje aktywność na komputerach i serwerach (endpointach). Wykrywa nietypowe zachowania, takie jak masowe szyfrowanie plików, i może automatycznie izolować zainfekowane urządzenie, zanim szkoda się rozprzestrzeni.
XDRExtended Detection and ResponseEwolucja EDR. Zbiera i koreluje dane nie tylko z endpointów, ale też z sieci, chmury i poczty e-mail. Daje pełniejszy obraz ataku, pozwalając szybciej zidentyfikować jego źródło i wektor.
SIEMSecurity Information and Event ManagementDziała jak centrum monitoringu dla całej infrastruktury IT. Agreguje logi z różnych systemów, szukając anomalii i wzorców wskazujących na atak. Może np. zaalarmować o próbach logowania z nietypowej lokalizacji.

Filar 4: Plan Reagowania na Incydenty (IRP)

Nawet najlepsze zabezpieczenia mogą kiedyś zawieść. Dlatego kluczowe jest posiadanie spisanego i przećwiczonego Planu Reagowania na Incydenty (Incident Response Plan). Gdy dojdzie do ataku, panika jest najgorszym doradcą. Plan powinien jasno określać, kto za co odpowiada i jakie kroki należy podjąć:

  1. Izolacja: Natychmiast odłącz zainfekowane systemy od sieci, aby zatrzymać rozprzestrzenianie się zagrożenia.
  2. Ocena: Zidentyfikuj, które dane i systemy zostały dotknięte atakiem. Ustal, czy doszło do kradzieży danych (jak w przypadku ataku DevMan 2.0 na polską firmę hotelarską 11).
  3. Zgłoszenie: Niezwłocznie poinformuj o incydencie krajowy zespół reagowania na incydenty – CERT Polska [F

Rola CERT Polska i Innych Instytucji w Walce z Ransomware

W obliczu rosnącej fali ataków ransomware, żadna firma ani instytucja nie jest pozostawiona sama sobie. W Polsce funkcjonuje rozbudowany ekosystem podmiotów, których zadaniem jest wspieranie ofiar, analizowanie zagrożeń i koordynowanie działań obronnych na poziomie krajowym. Kluczową rolę w tym systemie odgrywa CERT Polska, ale jego skuteczność zależy od ścisłej współpracy z innymi wyspecjalizowanymi jednostkami. Zrozumienie, kto za co odpowiada, jest pierwszym krokiem do uzyskania skutecznej pomocy w sytuacji kryzysowej.

CERT Polska: Pierwsza Linia Reagowania i Analizy

CERT Polska to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający w strukturach państwowego instytutu badawczego NASK. Jest to główny, ogólnokrajowy zespół CSIRT (ang. Computer Security Incident Response Team), czyli wyspecjalizowana jednostka zajmująca się obsługą incydentów cyberbezpieczeństwa. Jego zadania w kontekście ransomware są wielowymiarowe. Przede wszystkim, to właśnie do CERT Polska każda firma, instytucja, a nawet osoba prywatna może (i powinna) zgłosić incydent. Zespół pomaga w koordynacji reakcji, analizuje złośliwe oprogramowanie w poszukiwaniu błędów, które mogłyby umożliwić odzyskanie danych bez płacenia okupu, oraz wydaje ostrzeżenia o nowych kampaniach. Niezwykle cennym źródłem wiedzy są publikowane przez CERT Polska raporty roczne, które podsumowują krajobraz zagrożeń, w tym statystyki i analizy dotyczące ransomware w Polsce 3.

Krajowy System Cyberbezpieczeństwa: Współpraca Sektorowa

CERT Polska nie działa w próżni. Jest jednym z trzech filarów Krajowego Systemu Cyberbezpieczeństwa (KSC), obok CSIRT MON (obsługującego resort obrony narodowej) i CSIRT GOV (odpowiedzialnego za administrację rządową). System ten zakłada również istnienie sektorowych zespołów reagowania, które specjalizują się w ochronie kluczowych gałęzi gospodarki. Przykładem jest CSIRT KNF, który skupia się na sektorze finansowym. Taka struktura pozwala na szybką wymianę informacji o zagrożeniach specyficznych dla danej branży. Jeśli grupa ransomware atakuje banki, CSIRT KNF może natychmiast rozesłać do wszystkich podmiotów w sektorze tzw. wskaźniki kompromitacji (ang. Indicators of Compromise, IoC) – czyli techniczne dane, takie jak adresy IP serwerów przestępców czy hashe plików, które pozwalają innym organizacjom proaktywnie sprawdzić, czy również nie są celem ataku.

Organy Ścigania: Pościg za Cyberprzestępcami

Podczas gdy zespoły CSIRT koncentrują się na technicznym aspekcie incydentu – analizie, powstrzymaniu ataku i przywróceniu działania systemów – rolą organów ścigania jest doprowadzenie sprawców przed wymiar sprawiedliwości. W Polsce główną jednostką odpowiedzialną za ten obszar jest Centralne Biuro Zwalczania Cyberprzestępczości (CBZC). Zgłoszenie ataku ransomware na policję jest kluczowe, nawet jeśli szanse na natychmiastowe ujęcie sprawców są niewielkie. Działania CBZC obejmują zabezpieczanie dowodów cyfrowych, współpracę międzynarodową z agencjami takimi jak Europol i Interpol w celu identyfikacji i rozbijania grup przestępczych, a także próby zamrażania środków pochodzących z okupów.

Poniższa tabela podsumowuje, do kogo i w jakiej sytuacji należy się zwrócić:

InstytucjaKiedy się kontaktować?Jakie wsparcie oferuje?
CERT PolskaNatychmiast po wykryciu incydentu technicznego (np. zaszyfrowania danych).Analiza techniczna złośliwego oprogramowania, wsparcie w koordynacji reakcji, ostrzeżenia o zagrożeniach, udostępnianie wskaźników kompromitacji (IoC).
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC)Równolegle ze zgłoszeniem do CERT Polska, w celu formalnego zgłoszenia przestępstwa.Przyjęcie zawiadomienia o przestępstwie, prowadzenie śledztwa, zabezpieczanie dowodów, współpraca międzynarodowa w celu ujęcia sprawców.
Sektorowy Zespół CSIRT (np. CSIRT KNF)Jeśli Twoja organizacja należy do regulowanego sektora (np. finanse, energetyka).Specjalistyczne wsparcie i informacje o zagrożeniach charakterystycznych dla danej branży, koordynacja działań w ramach sektora.

Przyszłość Ransomware w Polsce: Prognozy i Rekomendacje na Kolejne Lata

Niechlubna pozycja Polski jako światowego lidera w liczbie wykrywanych ataków ransomware w 2025 roku 1 to nie koniec, a zaledwie początek nowego etapu w cybernetycznym wyścigu zbrojeń. Analizując obecne trendy i rozwój technologii, możemy z dużą dozą pewności przewidzieć, w jakim kierunku będzie ewoluować to zagrożenie. Dla polskich firm i instytucji, które już teraz odczuwają ogromną presję ze strony cyberprzestępców , zrozumienie przyszłego pola bitwy jest kluczowe dla przetrwania i budowy skutecznej obrony.

Prognozy na najbliższe lata wskazują na trzy główne kierunki ewolucji ataków ransomware. Po pierwsze, spodziewamy się eskalacji wykorzystania sztucznej inteligencji (AI) przez atakujących. Generatywna AI już teraz pozwala na tworzenie niemal idealnych, spersonalizowanych wiadomości phishingowych, które z łatwością omijają tradycyjne filtry i ludzką czujność. W przyszłości AI będzie również używana do automatycznego wyszukiwania i eksploatowania luk w zabezpieczeniach w czasie rzeczywistym, skracając czas od odkrycia podatności do ataku z miesięcy do godzin. Po drugie, celem ataków w coraz większym stopniu stawać się będzie technologia operacyjna (OT). Są to systemy komputerowe kontrolujące procesy fizyczne, takie jak linie produkcyjne w fabrykach, sieci energetyczne czy systemy zarządzania budynkami. Zaszyfrowanie systemu OT może oznaczać nie tylko stratę danych, ale całkowite zatrzymanie produkcji lub paraliż usług kluczowych dla społeczeństwa. Po trzecie, model Ransomware-as-a-Service (RaaS), który już teraz napędza wiele ataków, stanie się jeszcze bardziej profesjonalny i dostępny, obniżając próg wejścia dla mniej zaawansowanych technicznie przestępców i potęgując liczbę incydentów, która już w 2025 roku osiągnęła rekordowy poziom 179 4.

W obliczu tych prognoz, polskie organizacje muszą przejść od strategii reaktywnej do proaktywnej i skupionej na odporności (ang. resilience). Samo posiadanie antywirusa i zapory sieciowej to dziś absolutne minimum, które nie gwarantuje bezpieczeństwa. Kluczowe staje się wdrożenie zaawansowanych, wielowarstwowych strategii obronnych.

Kluczowe filary odporności na przyszłe ataki ransomware:

  1. Proaktywne Polowanie na Zagrożenia (Threat Hunting): Zamiast czekać na alert z systemu bezpieczeństwa, wyspecjalizowane zespoły lub wynajęci eksperci powinni aktywnie przeszukiwać sieć firmową w poszukiwaniu anomalii i śladów aktywności hakerów, którzy mogli już przeniknąć do środka, ale nie rozpoczęli jeszcze właściwego ataku.
  2. Segmentacja Sieci i Zasada Zero Trust: Należy porzucić przestarzałe myślenie o „zaufanej” sieci wewnętrznej. Każde urządzenie i każdy użytkownik powinni być traktowani jako potencjalnie niegodni zaufania. Kluczowe systemy muszą być odizolowane w osobnych segmentach sieci, aby włamanie do jednego obszaru (np. biurowego) nie pozwalało na łatwe przejęcie kontroli nad serwerami produkcyjnymi.
  3. Regularne i Testowane Plany Reagowania na Incydenty (IRP): Każda organizacja musi posiadać szczegółowy, spisany plan działania na wypadek ataku. Musi on odpowiadać na pytania: kogo informujemy? które systemy izolujemy w pierwszej kolejności? jak komunikujemy się z pracownikami i klientami? jak i kiedy angażujemy zewnętrznych ekspertów i organy ścigania? Plan ten musi być regularnie testowany poprzez symulacje, aby wyeliminować słabe punkty i przygotować pracowników, których niefrasobliwość często bywa wektorem ataku 9.
  4. Wzmocnienie Współpracy i Wymiany Informacji: Żadna firma nie wygra tej walki w pojedynkę. Kluczowe jest aktywne uczestnictwo w branżowych centrach wymiany informacji (ISACs) oraz ścisła współpraca z krajowymi zespołami reagowania, takimi jak CERT Polska, które dostarczają cennych danych o bieżących zagrożeniach i taktykach przestępców 3. Dzielenie się anonimowymi danymi o próbach ataków pozwala budować zbiorową odporność całego sektora.

Przyszłość ransomware w Polsce będzie zależeć od naszej zdolności do adaptacji. Przestępcy z pewnością będą rozwijać swoje narzędzia i taktyki. Naszą jedyną skuteczną odpowiedzią może być ciągłe doskonalenie obrony, inwestowanie w nowoczesne technologie, budowanie świadomości wśród pracowników i, co najważniejsze, współpraca w skali całej gospodarki.

FAQ: Najczęściej Zadawane Pytania Dotyczące Ransomware w Polsce

Czy płacenie okupu jest dobrym rozwiązaniem?

Nie, płacenie okupu jest strategią wysoce ryzykowną i odradzaną przez ekspertów ds. cyberbezpieczeństwa oraz organy ścigania. Po pierwsze, nie ma żadnej gwarancji, że przestępcy faktycznie przekażą klucz deszyfrujący lub że będzie on działał poprawnie. Po drugie, zapłata okupu finansuje dalszą działalność grup przestępczych i potwierdza, że ich model biznesowy jest skuteczny. Co więcej, organizacja, która raz zapłaciła, jest często oznaczana jako „chętna do współpracy” i może stać się celem ponownych ataków w przyszłości.

Jakie są pierwsze kroki po ataku ransomware?

Kluczowa jest szybka i uporządkowana reakcja, która może ograniczyć skalę zniszczeń. Należy postępować według następującego planu:

  1. Izolacja: Natychmiast odłącz zainfekowane komputery i systemy od sieci firmowej oraz internetu, aby zatrzymać rozprzestrzenianie się zagrożenia. Wyłącz Wi-Fi i odepnij kable sieciowe.
  2. Ocena i Identyfikacja: Zabezpiecz dowody (np. notatkę z żądaniem okupu, zaszyfrowane pliki) i spróbuj zidentyfikować szczep ransomware, korzystając z darmowych narzędzi online, takich jak ID Ransomware. Pomoże to sprawdzić, czy istnieje publicznie dostępny deszyfrator.
  3. Zgłoszenie: Niezwłocznie poinformuj o incydencie swój wewnętrzny zespół IT lub zewnętrznego dostawcę usług bezpieczeństwa. Równocześnie zgłoś atak do CERT Polska oraz na Policję.
  4. Aktywacja Planu Reagowania: Uruchom firmowy Plan Reagowania na Incydenty (IRP). Jeśli go nie posiadasz, skup się na komunikacji z zespołem i ekspertami oraz rozpocznij proces przywracania danych z ostatniej, sprawdzonej kopii zapasowej.

Gdzie zgłosić atak ransomware w Polsce?

Zgłoszenie incydentu jest kluczowe zarówno z perspektywy prawnej, jak i w celu uzyskania wsparcia. Atak należy zgłosić do kilku instytucji:

  • CERT Polska (CSIRT NASK): To główny zespół reagowania na incydenty bezpieczeństwa w kraju. Zgłoszenia można dokonać przez formularz na stronie incydent.cert.pl. Zespół pomaga w analizie zagrożenia i koordynacji działań 3.
  • Policja: Złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa jest niezbędne do wszczęcia formalnego dochodzenia. Należy udać się do najbliższej jednostki Policji.
  • Urząd Ochrony Danych Osobowych (UODO): Jeśli w wyniku ataku doszło do naruszenia ochrony danych osobowych (np. wycieku danych klientów lub pracowników), organizacja ma prawny obowiązek zgłoszenia tego faktu do UODO w ciągu 72 godzin od stwierdzenia naruszenia.

Jakie są prawne konsekwencje ataku ransomware w Polsce?

Konsekwencje prawne dla ofiary ataku wynikają głównie z zaniedbań w zakresie ochrony danych i braku odpowiedniej reakcji, a nie z samego faktu bycia celem. Zgodnie z RODO, jeśli atak doprowadził do naruszenia ochrony danych osobowych, a organizacja nie wdrożyła adekwatnych środków technicznych i organizacyjnych, Prezes UODO może nałożyć wysokie kary finansowe. Dodatkowo, podmioty kluczowe dla funkcjonowania państwa (np. z sektora energetycznego czy zdrowia) podlegają Ustawie o krajowym systemie cyberbezpieczeństwa i mogą ponieść kary za niezgłoszenie poważnego incydentu do właściwego CSIRT.

Czy ubezpieczenie cybernetyczne chroni przed ransomware?

Ubezpieczenie cybernetyczne (cyber-polisa) nie chroni przed samym atakiem, ale pomaga złagodzić jego skutki finansowe. Zakres polisy może obejmować koszty odtworzenia danych, wynajęcia ekspertów IT i prawników, obsługi kryzysu wizerunkowego, a w niektórych przypadkach nawet pokrycie okupu (choć jest to coraz rzadsze). Należy jednak pamiętać, że ubezpieczyciele stawiają coraz wyższe wymagania dotyczące poziomu zabezpieczeń w firmie – brak wieloskładnikowego uwierzytelniania (MFA) czy regularnych kopii zapasowych może być podstawą do odmowy wypłaty odszkodowania.

Jakie są najczęstsze błędy popełniane przez firmy w kontekście ransomware?

Wzrost liczby ataków ransomware w Polsce, który w 2025 roku uczynił nasz kraj światowym liderem w ich wykrywaniu 1, jest często potęgowany przez powtarzalne błędy organizacyjne. Do najczęstszych należą:

  • Brak regularnie testowanych kopii zapasowych: Posiadanie backupu to jedno, ale bez regularnego sprawdzania, czy da się z niego skutecznie odtworzyć dane, jest on bezużyteczny.
  • Niewystarczająca świadomość pracowników: Niefrasobliwość i brak szkoleń z cyberbezpieczeństwa sprawiają, że pracownicy stają się łatwym celem dla phishingu, który jest głównym wektorem infekcji 9.
  • Brak planu reagowania na incydenty (IRP): Działanie w chaosie, bez wcześniej przygotowanej i przećwiczonej procedury, prowadzi do paniki, błędnych decyzji i pogłębia straty.
  • Ignorowanie podstawowych zasad higieny cyfrowej: Brak aktualizacji oprogramowania, używanie słabych haseł i niewdrożenie uwierzytelniania wieloskładnikowego (MFA) to otwarte zaproszenie dla cyberprzestępców.

Źródła

Zobacz też

Footnotes

  1. corroborating — https://cyberdefence24.pl/cyberbezpieczenstwo/ataki-ransomware-w-polsce-rosnie-liczba-ofiar 2 3 4

  2. corroborating — https://itreseller.pl/polska-swiatowym-liderem-wykrywania-atakow-ransomware-w-2025-r/

  3. corroborating — https://erp-view.pl/bezpieczenstwo-it/31954-polskie-firmy-pod-presja-ransomware-nowe-dane-eset.html 2 3 4

  4. corroborating — https://kompetencjecyfrowe.gov.pl/aktualnosci/wpis/incydenty-cyberbezpieczenstwa-i-zagrozenia-w-2025-r-raport-cert-polska 2 3

  5. corroborating — https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/ataki-ransomware-w-polsce-w-ostatnich-latach-co-wiemy-na-podstawie-danych

  6. corroborating — https://cert.pl/posts/2026/04/raport-roczny-2025/ 2 3

  7. corroborating — https://www.handelextra.pl/prawo/news/cyberbezpieczenstwo-polska-liderem-globalnych-atakow-ransomware-w-2025-roku-276736 2

  8. pillar — https://cyberdefence24.pl/cyberbezpieczenstwo/ataki-ransomware-w-polsce-rosnie-liczba-ofiar

  9. corroborating — https://www.pb.pl/ataki-ransomware-staly-sie-plaga-a-biznes-nie-reaguje-1251501 2 3 4 5

  10. corroborating — https://blog.dagma.eu/pl/news/polska-najczesciej-na-swiecie-atakowana-ransomware-w-2025-roku 2 3

  11. corroborating — https://cyberdefence24.pl/cyberbezpieczenstwo/cert-polska-podsumowuje-rekordowy-2025-rok-co-pokazuje-raport 2 3 4 5 6