K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / playbook-ransomware

Playbook B — Ransomware

Reagowanie na szyfrowanie danych i podwójne/potrójne wymuszenie (encrypt + exfiltracja + DDoS). Poziom 1 (cyber klasyczny), priorytet domyślny P0 — SLA reakcji do 4h. Ransomware łączy w sobie trzy jednoczesne kryzysy: dostępność, poufność i ciągłość.

Nie da się „odszyfrować" reputacji — jedyną realną obroną jest backup, który przetrwa atak.

ENISA konsekwentnie wskazuje ransomware jako czołowe zagrożenie w corocznym Threat Landscape, z modelem podwójnego wymuszenia jako standardem i tendencją wzrostową w 2025 PUBLIC CLAIM. Dla banku kluczowe: atakujący najpierw kradnie dane (leverage), potem szyfruje — sam odtworzony backup nie usuwa ryzyka wycieku.

Problem — trzy jednoczesne kryzysy

Wektory ataku

Phishing → loader

Wiadomość z załącznikiem/linkiem instaluje loader (np. malware pierwszego etapu), który sprowadza właściwy ransomware. Sprzężenie z Playbook A.

Podatny VPN / brzeg

Niezałatane bramki VPN, firewalle, serwery pocztowe — eksploatacja znanego CVE. Patrz Playbook D.

Skradzione konta

Poświadczenia z infostealerów / rynków dostępowych. Logowanie bez MFA = natychmiastowy przyczółek.

RDP / dostęp zdalny

Wystawiony RDP, słabe hasła, brak MFA, brute force. Klasyczny wektor ransomware.

Supply chain

Kompromitacja MSP / dostawcy oprogramowania / aktualizacji → dystrybucja do wielu ofiar. Patrz Playbook F.

Zły backup

Kopie dostępne z domeny produkcyjnej i tymi samymi poświadczeniami — kasowane/szyfrowane przez atakującego przed detonacją.

Brak segmentacji

Płaska sieć = szyfrowanie rozlewa się z jednej stacji na cały fleet i serwery. Ruch boczny bez przeszkód.

Nadużycie uprawnień

Przejęte konto administratora domeny → masowa dystrybucja przez GPO/narzędzia zarządzania. Patrz sekcja PAM.

Rozwiązania warstwowe

Warstwa 1 — endpoint (detekcja i powstrzymanie)

Warstwa 2 — segmentacja i zero trust

StrefaZasada izolacji
Stacje roboczeBrak bezpośredniego dostępu do serwerów prod poza wyznaczonymi portami; mikrosegmentacja
Serwery produkcyjneRuch tylko zdefiniowany politykami; brak swobodnego SMB/RDP między serwerami
Strefa backupOsobna domena/poświadczenia; niedostępna z sieci produkcyjnej; jednokierunkowy zapis
Panele AI / agenciOdseparowane od infrastruktury bankowej; osobne konta i sieć — patrz AI/Agent Security
Dostęp administracyjnyZero trust: PAW (privileged access workstation), just-in-time, MFA odporne na phishing

Warstwa 3 — backup 3-2-1-1-0

Reguła 3-2-1-1-0: 3 kopie danych, na 2 różnych nośnikach, 1 kopia poza lokalizacją (offsite), 1 kopia offline lub immutable (niezmienialna), 0 błędów przy weryfikowanym odtworzeniu.

Warstwa 4 — tożsamość

Playbook — 10 kroków reakcji P0

DETEKCJAIZOLACJADOWÓDZASIĘGERADYKACJAOCENA WYCIEKUODTWORZENIEZGŁOSZENIAKOMUNIKATWALIDACJA
Krok 1 — Detekcja i deklaracja P0. Alert EDR o masowym szyfrowaniu / nota okupu / zgłoszenie. Deklaracja incydentu P0, uruchomienie sztabu kryzysowego (Analyst prowadzi, eskalacja: Admin, Legal/DPO, zarząd).
Krok 2 — Izolacja (containment). Natychmiastowa izolacja zainfekowanych hostów przez EDR, odcięcie segmentów, blokada kont podejrzanych o kompromitację. Nie wyłączaj maszyn pochopnie — utracisz pamięć ulotną (dowody). Izoluj sieciowo.
Krok 3 — Zabezpieczenie dowodu. Zrzut pamięci i obrazy dysków kluczowych hostów, zebranie noty okupu, próbki złośliwego pliku (hash), logów. Chain of custody → Evidence Layer. Materiał potrzebny dla organów i ubezpieczyciela.
Krok 4 — Ustalenie zasięgu i pierwszego wejścia. Które systemy zaszyfrowane? Jak wszedł atakujący (patient zero)? Czy admin domeny przejęty? Identyfikacja rodziny ransomware (może istnieć dekryptor).
Krok 5 — Eradykacja. Usunięcie persystencji, zamknięcie wektora wejścia (łatka/zablokowany dostęp), rotacja wszystkich poświadczeń (zakładaj kompromitację całej domeny), unieważnienie sesji i biletów Kerberos.
Krok 6 — Ocena eksfiltracji. Analiza ruchu wychodzącego przed szyfrowaniem — czy dane wyszły? Co i czyje? To determinuje flagi RODO i decyzję o zawiadomieniu. Sprzężenie z Playbook E.
Krok 7 — Odtworzenie z zaufanego źródła. Odbudowa z kopii immutable/offline po potwierdzeniu, że są czyste (brak backdoora sprzed detonacji). Kolejność wg krytyczności usług. Weryfikacja integralności przed przywróceniem do produkcji. Nie płać okupu jako ścieżka domyślna — decyzja tylko na poziomie zarządu z Legal.
Krok 8 — Zgłoszenia regulacyjne. RODO art. 33 (PUODO, 72h) jeśli dane osobowe; NIS2 wczesne ostrzeżenie do CSIRT (24h) i zgłoszenie 72h jeśli usługa kluczowa/ważna; KSC/ustawa krajowa; zawiadomienie CERT PL i organów ścigania (LAW_ENFORCEMENT). KNF przy podmiotach sektora finansowego.
Krok 9 — Komunikacja. Wewnętrzna (sztab, pracownicy), klienci (jeśli usługa niedostępna / dane naruszone), regulator, ewentualnie media — spójny komunikat zatwierdzony przez Legal i komunikację. Nie potwierdzaj publicznie okupu/negocjacji.
Krok 10 — Walidacja i post-mortem. Potwierdź: brak persystencji, systemy czyste i w produkcji, backupy zweryfikowane, wszystkie zgłoszenia złożone w terminach, dowód kompletny. Analiza przyczyn → hardening → odporność +1.

Ocena prawna — RODO / NIS2 / KSC

WarunekFlagaObowiązek (ramka / norma)
Eksfiltracja / dostęp do danych osobowychGDPR_BREACHArt. 33 — zgłoszenie do PUODO w 72h od stwierdzenia; art. 34 — zawiadomienie osób przy wysokim ryzyku
Tajemnica bankowa / dane klientówGDPR_PERSONAL_DATAZawiadomienie podmiotów danych, dokumentacja oceny ryzyka
Usługa kluczowa lub ważnaNIS2_RELEVANTWczesne ostrzeżenie do CSIRT w 24h → zgłoszenie w 72h → raport końcowy (final)
Podmiot objęty krajowym systemem cyberbezp.KSC_RELEVANTZgłoszenie do właściwego CSIRT wg ustawy krajowej
Infrastruktura krytycznaCRITICAL_INFRADodatkowe obowiązki sektorowe, koordynacja z organem właściwym
Przestępstwo komputeroweLAW_ENFORCEMENTZawiadomienie organów ścigania, zabezpieczenie dowodów
Uwaga: ramki RODO art. 33/34 i NIS2 24h/72h/final opisują treść regulacji (norma), nie konkretny incydent. Terminy liczone są od momentu stwierdzenia naruszenia — krok 6 (ocena eksfiltracji) jest krytyczny czasowo dla uruchomienia zegara.

Metryki odporności SYMULACJA

Dane demonstracyjne (demo). Wartości ilustrują format panelu, nie są rzeczywistymi pomiarami środowiska odbiorcy.
4h
SLA reakcji P0
od detekcji do izolacji
RTO 6h
Cel odtworzenia usług krytycznych SYMULACJA
z kopii immutable
RPO 15 min
Maks. utrata danych SYMULACJA
systemy krytyczne
1 / kw.
Restore drill SYMULACJA
mierzony, udokumentowany

Powiązane strony

Ciągłość / backup / PQC

Punkt Zero, DR, immutable. → Playbook L

Podatności / CVE

Wektor wejścia przez brzeg. → Playbook D

Wyciek danych

Sprzężenie eksfiltracji. → Playbook E

Compliance

Terminy i formularze zgłoszeń. → Compliance Engine

Uwaga metodyczna: odwołania do ENISA to publicznie znane sygnały krajobrazu zagrożeń (PUBLIC CLAIM), nie potwierdzone incydenty w środowisku odbiorcy. Ramki RODO / NIS2 / KSC to treść regulacji (norma). Metryki oznaczone SYMULACJA są przykładowe (demo).