01/04/2026 / Cybersecurity /

Ataki na małe firmy – jak wygląda realny scenariusz włamania?

Konsola atakującego z kodem złośliwego oprogramowania — scenariusz włamania do firmy

Wprowadzenie

Wielu właścicieli MŚP myśli: „kto by chciał włamywać się do mnie?”. Tymczasem firmy 10–200-osobowe to dziś najczęstszy cel ransomware — mają dane warte okupu i najsłabsze zabezpieczenia. Większošć ataków jest zautomatyzowana: bot skanuje, bot phishuje, człowiek wchodzi dopiero przy negocjacji ceny.

Scenariusz włamania krok po kroku (Cyber Kill Chain)

1. Rozpoznanie (OSINT)

Atakujący zbiera dane publiczne: LinkedIn (kto siedzi w finansach), KRS, metadane PDF-ów, MX. Równolegle Shodan szuka wystawionych usług — RDP/3389, VPN bez 2FA, Exchange, NAS-ów w internecie.

Obrona: minimalizacja powierzchni ataku, panel za VPN, audyt assetów. Zobacz Firewall w małej firmie 2026.

2. Pierwsze wejście (Initial Access)

  • spear-phishing z linkiem do podrobionego M365,
  • password spray na konta bez 2FA,
  • załącznik ISO/LNK omijający antyspam,
  • hasła z wycieków (combo-listy z darknetu).

Obrona: obowiązkowe 2FA (FIDO2), conditional access, blokada starych protokołów, DMARC reject.

3. Wykonanie kodu (Execution)

User dostaje „fakturę” w Excelu z makrem albo ISO udające dokument. W tle PowerShell ściąga loader (Cobalt Strike, Sliver). Pracownik widzi tylko, że „Excel się zawiesił”.

Obrona: blokada makr z internetu przez GPO, AppLocker/WDAC, EDR z behavioral detection.

4. Eskalacja uprawnień

Atakujący szuka cached credentials (lsass dump), nadużywa GPO, poluje na konta serwisowe (Kerberoasting). W kilka godzin z usera robi się Domain Admin.

Obrona: LAPS, tiering AD, Protected Users, monitoring zdarzeń 4624/4672 w SIEM.

5. Ruch boczny (Lateral Movement)

Z kontem admina napastnik porusza się po sieci przez RDP, SMB i WinRM. Mapuje udziały, NAS-y, ESXi. Często wykorzystuje NTLM relay i Pass-the-Hash.

Obrona: segmentacja VLAN (produkcja, księgowość, IoT, gošcie osobno), SMB signing, wyłączony NTLMv1, NDR na ruch east-west.

6. Eksfiltracja danych

Zanim spadnie ransomware, dane lecą na zewnątrz — najczęściej przez Rclone do MEGA, Drive lub Dropbox po HTTPS. To model double extortion: zapłać za odszyfrowanie i osobno za niepublikowanie.

Obrona: kontrola DNS, DLP, alerty SIEM na nietypowy upload, NDR widzący TLS-SNI.

7. Ransomware i negocjacje

Dopiero teraz pada szyfrowanie — LockBit, Akira, BlackCat. Atakujący kasuje shadow copies, wyłącza Defendera, atakuje backupy online (Veeam, NAS). Rano pracownicy widzą notatkę z adresem .onion i terminem zapłaty w BTC/Monero. Kwoty dla MŚP to 20–200 tys. USD.

Dlaczego małe firmy przegrywają

  • brak 2FA na poczcie i VPN,
  • płaski LAN bez VLAN-ów,
  • backup tylko na NAS w tej samej serwerowni,
  • brak monitoringu — atak trwa średnio 7–21 dni,
  • brak planu reagowania (kto, do kogo, w jakiej kolejnošci).

Jak zbudować backup, który przeżyje ransomware: Backup — dlaczego sam NAS to za mało.

Co robimy w LM Networks, żeby ograniczyć powierzchnię ataku

  1. Perimeter: firewall z IPS, geo-blocking, VPN z 2FA zamiast RDP,
  2. Tożsamošć: 2FA na M365, conditional access, LAPS, tiering AD,
  3. Endpoint: EDR, blokada makr, AppLocker,
  4. Sieć: VLAN-y, NDR na lateral movement,
  5. Backup: reguła 3-2-1-1-0, off-site i offline, testy odtworzenia,
  6. Monitoring: SIEM z alertami i playbookiem reakcji,
  7. Compliance: mapowanie na NIS2 w Polsce 2026.

Dla zdalnych pracowników — Dlaczego VPN to dziś podstawa.

Wniosek

Atak na małą firmę to nie pytanie „czy”, tylko „kiedy go wykryjesz”. Różnica między firmą wracającą do pracy w 8 godzin, a tą upadającą po 3 tygodniach przestoju nie leży w budżecie — leży w segmentacji i działającym backupie.