Wprowadzenie
Wielu właścicieli MŚP myśli: „kto by chciał włamywać się do mnie?”. Tymczasem firmy 10–200-osobowe to dziś najczęstszy cel ransomware — mają dane warte okupu i najsłabsze zabezpieczenia. Większošć ataków jest zautomatyzowana: bot skanuje, bot phishuje, człowiek wchodzi dopiero przy negocjacji ceny.
Scenariusz włamania krok po kroku (Cyber Kill Chain)
1. Rozpoznanie (OSINT)
Atakujący zbiera dane publiczne: LinkedIn (kto siedzi w finansach), KRS, metadane PDF-ów, MX. Równolegle Shodan szuka wystawionych usług — RDP/3389, VPN bez 2FA, Exchange, NAS-ów w internecie.
Obrona: minimalizacja powierzchni ataku, panel za VPN, audyt assetów. Zobacz Firewall w małej firmie 2026.
2. Pierwsze wejście (Initial Access)
- spear-phishing z linkiem do podrobionego M365,
- password spray na konta bez 2FA,
- załącznik ISO/LNK omijający antyspam,
- hasła z wycieków (combo-listy z darknetu).
Obrona: obowiązkowe 2FA (FIDO2), conditional access, blokada starych protokołów, DMARC reject.
3. Wykonanie kodu (Execution)
User dostaje „fakturę” w Excelu z makrem albo ISO udające dokument. W tle PowerShell ściąga loader (Cobalt Strike, Sliver). Pracownik widzi tylko, że „Excel się zawiesił”.
Obrona: blokada makr z internetu przez GPO, AppLocker/WDAC, EDR z behavioral detection.
4. Eskalacja uprawnień
Atakujący szuka cached credentials (lsass dump), nadużywa GPO, poluje na konta serwisowe (Kerberoasting). W kilka godzin z usera robi się Domain Admin.
Obrona: LAPS, tiering AD, Protected Users, monitoring zdarzeń 4624/4672 w SIEM.
5. Ruch boczny (Lateral Movement)
Z kontem admina napastnik porusza się po sieci przez RDP, SMB i WinRM. Mapuje udziały, NAS-y, ESXi. Często wykorzystuje NTLM relay i Pass-the-Hash.
Obrona: segmentacja VLAN (produkcja, księgowość, IoT, gošcie osobno), SMB signing, wyłączony NTLMv1, NDR na ruch east-west.
6. Eksfiltracja danych
Zanim spadnie ransomware, dane lecą na zewnątrz — najczęściej przez Rclone do MEGA, Drive lub Dropbox po HTTPS. To model double extortion: zapłać za odszyfrowanie i osobno za niepublikowanie.
Obrona: kontrola DNS, DLP, alerty SIEM na nietypowy upload, NDR widzący TLS-SNI.
7. Ransomware i negocjacje
Dopiero teraz pada szyfrowanie — LockBit, Akira, BlackCat. Atakujący kasuje shadow copies, wyłącza Defendera, atakuje backupy online (Veeam, NAS). Rano pracownicy widzą notatkę z adresem .onion i terminem zapłaty w BTC/Monero. Kwoty dla MŚP to 20–200 tys. USD.
Dlaczego małe firmy przegrywają
- brak 2FA na poczcie i VPN,
- płaski LAN bez VLAN-ów,
- backup tylko na NAS w tej samej serwerowni,
- brak monitoringu — atak trwa średnio 7–21 dni,
- brak planu reagowania (kto, do kogo, w jakiej kolejnošci).
Jak zbudować backup, który przeżyje ransomware: Backup — dlaczego sam NAS to za mało.
Co robimy w LM Networks, żeby ograniczyć powierzchnię ataku
- Perimeter: firewall z IPS, geo-blocking, VPN z 2FA zamiast RDP,
- Tożsamošć: 2FA na M365, conditional access, LAPS, tiering AD,
- Endpoint: EDR, blokada makr, AppLocker,
- Sieć: VLAN-y, NDR na lateral movement,
- Backup: reguła 3-2-1-1-0, off-site i offline, testy odtworzenia,
- Monitoring: SIEM z alertami i playbookiem reakcji,
- Compliance: mapowanie na NIS2 w Polsce 2026.
Dla zdalnych pracowników — Dlaczego VPN to dziś podstawa.
Wniosek
Atak na małą firmę to nie pytanie „czy”, tylko „kiedy go wykryjesz”. Różnica między firmą wracającą do pracy w 8 godzin, a tą upadającą po 3 tygodniach przestoju nie leży w budżecie — leży w segmentacji i działającym backupie.