k0nsult.cloud / ai-truth / ipIII / playbook-ransomware
Playbook B — Ransomware
Reagowanie na szyfrowanie danych i podwójne/potrójne wymuszenie (encrypt + exfiltracja + DDoS). Poziom 1 (cyber klasyczny), priorytet domyślny P0 — SLA reakcji do 4h. Ransomware łączy w sobie trzy jednoczesne kryzysy: dostępność, poufność i ciągłość.
Nie da się „odszyfrować" reputacji — jedyną realną obroną jest backup, który przetrwa atak.
ENISA konsekwentnie wskazuje ransomware jako czołowe zagrożenie w corocznym Threat Landscape, z modelem podwójnego wymuszenia jako standardem i tendencją wzrostową w 2025 PUBLIC CLAIM. Dla banku kluczowe: atakujący najpierw kradnie dane (leverage), potem szyfruje — sam odtworzony backup nie usuwa ryzyka wycieku.
Problem — trzy jednoczesne kryzysy
- Dostępność — zaszyfrowane systemy produkcyjne = przestój usług bankowych, potencjalnie usługa kluczowa/ważna (NIS2, KSC).
- Poufność — eksfiltracja przed szyfrowaniem = naruszenie danych osobowych (RODO) i tajemnicy bankowej, groźba publikacji na stronie wycieków.
- Ciągłość — jeśli backup jest zaszyfrowany/skasowany razem z produkcją, odtworzenie jest niemożliwe; stąd nacisk na kopie immutable i offline (poziom 4 — patrz Playbook L).
Wektory ataku
Phishing → loader
Wiadomość z załącznikiem/linkiem instaluje loader (np. malware pierwszego etapu), który sprowadza właściwy ransomware. Sprzężenie z Playbook A.
Podatny VPN / brzeg
Niezałatane bramki VPN, firewalle, serwery pocztowe — eksploatacja znanego CVE. Patrz Playbook D.
Skradzione konta
Poświadczenia z infostealerów / rynków dostępowych. Logowanie bez MFA = natychmiastowy przyczółek.
RDP / dostęp zdalny
Wystawiony RDP, słabe hasła, brak MFA, brute force. Klasyczny wektor ransomware.
Supply chain
Kompromitacja MSP / dostawcy oprogramowania / aktualizacji → dystrybucja do wielu ofiar. Patrz Playbook F.
Zły backup
Kopie dostępne z domeny produkcyjnej i tymi samymi poświadczeniami — kasowane/szyfrowane przez atakującego przed detonacją.
Brak segmentacji
Płaska sieć = szyfrowanie rozlewa się z jednej stacji na cały fleet i serwery. Ruch boczny bez przeszkód.
Nadużycie uprawnień
Przejęte konto administratora domeny → masowa dystrybucja przez GPO/narzędzia zarządzania. Patrz sekcja PAM.
Rozwiązania warstwowe
Warstwa 1 — endpoint (detekcja i powstrzymanie)
- EDR / XDR na wszystkich stacjach i serwerach, z możliwością zdalnej izolacji hosta jednym kliknięciem.
- Blokada makr z internetu, wygaszanie skryptów (PowerShell constrained), kontrola LOLBins.
- Allowlisting aplikacji na serwerach krytycznych — tylko podpisany, zatwierdzony kod.
- Detekcja masowego szyfrowania — reguły behawioralne (gwałtowny wzrost operacji zapisu/zmiany rozszerzeń, canary files) automatycznie izolujące host.
Warstwa 2 — segmentacja i zero trust
| Strefa | Zasada izolacji |
| Stacje robocze | Brak bezpośredniego dostępu do serwerów prod poza wyznaczonymi portami; mikrosegmentacja |
| Serwery produkcyjne | Ruch tylko zdefiniowany politykami; brak swobodnego SMB/RDP między serwerami |
| Strefa backup | Osobna domena/poświadczenia; niedostępna z sieci produkcyjnej; jednokierunkowy zapis |
| Panele AI / agenci | Odseparowane od infrastruktury bankowej; osobne konta i sieć — patrz AI/Agent Security |
| Dostęp administracyjny | Zero trust: PAW (privileged access workstation), just-in-time, MFA odporne na phishing |
Warstwa 3 — backup 3-2-1-1-0
Reguła 3-2-1-1-0: 3 kopie danych, na 2 różnych nośnikach, 1 kopia poza lokalizacją (offsite), 1 kopia offline lub immutable (niezmienialna), 0 błędów przy weryfikowanym odtworzeniu.
- Immutable / WORM — kopie, których nie da się zmodyfikować ani skasować przez zdefiniowany czas, nawet z uprawnieniami administratora.
- Offline / air-gap — kopia fizycznie/logicznie odcięta od sieci; niedostępna dla atakującego z produkcji.
- Restore drill — cykliczne, mierzone ćwiczenie odtworzenia (RTO/RPO), nie tylko wykonanie kopii. Backup nieprzetestowany = brak backupu.
- Vault „Punkt Zero" — izolowany, zaufany stan bazowy do odbudowy środowiska od zera. Patrz Playbook L.
Warstwa 4 — tożsamość
- PAM — skarbiec haseł uprzywilejowanych, sesje nagrywane, dostęp just-in-time i just-enough.
- Rotacja — automatyczna zmiana haseł kont serwisowych i administracyjnych; brak haseł „na stałe".
- MFA odporne na phishing (FIDO2) dla wszystkich kont uprzywilejowanych i dostępu zdalnego.
Playbook — 10 kroków reakcji P0
DETEKCJA→IZOLACJA→DOWÓD→ZASIĘG→ERADYKACJA→OCENA WYCIEKU→ODTWORZENIE→ZGŁOSZENIA→KOMUNIKAT→WALIDACJA
Krok 1 — Detekcja i deklaracja P0. Alert EDR o masowym szyfrowaniu / nota okupu / zgłoszenie. Deklaracja incydentu P0, uruchomienie sztabu kryzysowego (Analyst prowadzi, eskalacja: Admin, Legal/DPO, zarząd).
Krok 2 — Izolacja (containment). Natychmiastowa izolacja zainfekowanych hostów przez EDR, odcięcie segmentów, blokada kont podejrzanych o kompromitację. Nie wyłączaj maszyn pochopnie — utracisz pamięć ulotną (dowody). Izoluj sieciowo.
Krok 3 — Zabezpieczenie dowodu. Zrzut pamięci i obrazy dysków kluczowych hostów, zebranie noty okupu, próbki złośliwego pliku (hash), logów. Chain of custody →
Evidence Layer. Materiał potrzebny dla organów i ubezpieczyciela.
Krok 4 — Ustalenie zasięgu i pierwszego wejścia. Które systemy zaszyfrowane? Jak wszedł atakujący (patient zero)? Czy admin domeny przejęty? Identyfikacja rodziny ransomware (może istnieć dekryptor).
Krok 5 — Eradykacja. Usunięcie persystencji, zamknięcie wektora wejścia (łatka/zablokowany dostęp), rotacja wszystkich poświadczeń (zakładaj kompromitację całej domeny), unieważnienie sesji i biletów Kerberos.
Krok 6 — Ocena eksfiltracji. Analiza ruchu wychodzącego przed szyfrowaniem — czy dane wyszły? Co i czyje? To determinuje flagi RODO i decyzję o zawiadomieniu. Sprzężenie z
Playbook E.
Krok 7 — Odtworzenie z zaufanego źródła. Odbudowa z kopii immutable/offline po potwierdzeniu, że są czyste (brak backdoora sprzed detonacji). Kolejność wg krytyczności usług. Weryfikacja integralności przed przywróceniem do produkcji. Nie płać okupu jako ścieżka domyślna — decyzja tylko na poziomie zarządu z Legal.
Krok 8 — Zgłoszenia regulacyjne. RODO art. 33 (PUODO, 72h) jeśli dane osobowe; NIS2 wczesne ostrzeżenie do CSIRT (24h) i zgłoszenie 72h jeśli usługa kluczowa/ważna; KSC/ustawa krajowa; zawiadomienie CERT PL i organów ścigania (LAW_ENFORCEMENT). KNF przy podmiotach sektora finansowego.
Krok 9 — Komunikacja. Wewnętrzna (sztab, pracownicy), klienci (jeśli usługa niedostępna / dane naruszone), regulator, ewentualnie media — spójny komunikat zatwierdzony przez Legal i komunikację. Nie potwierdzaj publicznie okupu/negocjacji.
Krok 10 — Walidacja i post-mortem. Potwierdź: brak persystencji, systemy czyste i w produkcji, backupy zweryfikowane, wszystkie zgłoszenia złożone w terminach, dowód kompletny. Analiza przyczyn → hardening → odporność +1.
Ocena prawna — RODO / NIS2 / KSC
| Warunek | Flaga | Obowiązek (ramka / norma) |
| Eksfiltracja / dostęp do danych osobowych | GDPR_BREACH | Art. 33 — zgłoszenie do PUODO w 72h od stwierdzenia; art. 34 — zawiadomienie osób przy wysokim ryzyku |
| Tajemnica bankowa / dane klientów | GDPR_PERSONAL_DATA | Zawiadomienie podmiotów danych, dokumentacja oceny ryzyka |
| Usługa kluczowa lub ważna | NIS2_RELEVANT | Wczesne ostrzeżenie do CSIRT w 24h → zgłoszenie w 72h → raport końcowy (final) |
| Podmiot objęty krajowym systemem cyberbezp. | KSC_RELEVANT | Zgłoszenie do właściwego CSIRT wg ustawy krajowej |
| Infrastruktura krytyczna | CRITICAL_INFRA | Dodatkowe obowiązki sektorowe, koordynacja z organem właściwym |
| Przestępstwo komputerowe | LAW_ENFORCEMENT | Zawiadomienie organów ścigania, zabezpieczenie dowodów |
Uwaga: ramki RODO art. 33/34 i NIS2 24h/72h/final opisują treść regulacji (norma), nie konkretny incydent. Terminy liczone są od momentu stwierdzenia naruszenia — krok 6 (ocena eksfiltracji) jest krytyczny czasowo dla uruchomienia zegara.
Metryki odporności SYMULACJA
Dane demonstracyjne (demo). Wartości ilustrują format panelu, nie są rzeczywistymi pomiarami środowiska odbiorcy.
4h
SLA reakcji P0
od detekcji do izolacji
RTO 6h
Cel odtworzenia usług krytycznych SYMULACJA
z kopii immutable
RPO 15 min
Maks. utrata danych SYMULACJA
systemy krytyczne
1 / kw.
Restore drill SYMULACJA
mierzony, udokumentowany
Powiązane strony
Ciągłość / backup / PQC
Punkt Zero, DR, immutable. → Playbook L
Uwaga metodyczna: odwołania do ENISA to publicznie znane sygnały krajobrazu zagrożeń (PUBLIC CLAIM), nie potwierdzone incydenty w środowisku odbiorcy. Ramki RODO / NIS2 / KSC to treść regulacji (norma). Metryki oznaczone SYMULACJA są przykładowe (demo).