Ransomware stało się jednym z najpoważniejszych zagrożeń dla firm i instytucji na całym świecie. Ataki tego typu nie tylko powodują wielomilionowe straty, ale również paraliżują infrastrukturę krytyczną, administrację publiczną czy sektor opieki zdrowotnej. W ostatnich latach hakerzy przeprowadzili liczne spektakularne ataki, które obnażyły luki w systemach zabezpieczeń i zmusiły organizacje do wdrażania bardziej zaawansowanych strategii obrony.

Poniżej zebrałem pięć najbardziej kosztownych i problematycznych ataków ransomware na firmy i instytucje ostatniej dekady. Choć są to stosunkowo niedawne incydenty, należy pamiętać, że w tamtym czasie generatywna sztuczna inteligencja dopiero wchodziła na rynek. Dziś, w 2025 roku, rozwój AI całkowicie zmienia krajobraz zagrożeń. Algorytmy potrafią generować realistyczne phishingowe e-maile, automatycznie analizować luki w zabezpieczeniach i optymalizować ataki w sposób, który kilka lat temu był nieosiągalny dla cyberprzestępców. To pokazuje, że ransomware ewoluuje szybciej niż kiedykolwiek, a skuteczna ochrona wymaga nowych podejść i lepszych mechanizmów detekcji.

 

1. Atak na Maersk (2017)

Szkody – 300 mln dolarów strat dla firmy, 10 mld dolarów strat dla gospodarki światowej

W czerwcu 2017 roku Maersk, globalny gigant transportu morskiego, padł ofiarą jednego z najbardziej destrukcyjnych cyberataków w historii. Atak rozpoczął się od tajemniczej wiadomości na komputerach pracowników, informującej o rzekomych naprawach systemów, podczas gdy inne urządzenia wyświetlały komunikat o zaszyfrowaniu plików i żądaniu okupu w wysokości 300 dolarów w bitcoinach. W krótkim czasie cała infrastruktura informatyczna firmy uległa paraliżowi, zmuszając Maersk do całkowitego zamknięcia operacji.

Za atakiem stała rosyjska grupa hakerska Sandworm, która od lat prowadziła cyberwojnę przeciwko Ukrainie. Hakerzy wykorzystali lukę w oprogramowaniu księgowym M.E.Doc, szeroko stosowanym przez ukraińskie firmy. W czerwcu 2017 roku, poprzez aktualizację oprogramowania, Sandworm wprowadził do systemów ofiar złośliwe oprogramowanie NotPetya, które rozprzestrzeniało się automatycznie, infekując kolejne urządzenia. Atak ten był wyjątkowo niszczycielski – jego celem nie było wymuszenie okupu, lecz całkowite zniszczenie danych.

NotPetya korzystał z dwóch głównych technologii: narzędzia EternalBlue, wykradzionego z NSA, oraz programu Mimikatz, który pozwalał na kradzież haseł z pamięci operacyjnej. Choć Microsoft wcześniej załatał lukę, wiele systemów pozostało nieaktualizowanych, co umożliwiło wirusowi błyskawiczne rozprzestrzenianie się na całym świecie.

Maersk nie był celem ataku i został zainfekowany przez przypadek. Jeden z komputerów w oddziale firmy w Odessie miał zainstalowane M.E.Doc, co wystarczyło, aby NotPetya przeniknął do całej sieci. W ciągu kilku godzin systemy firmy przestały działać, paraliżując 76 portów, 800 statków i znaczną część globalnego łańcucha dostaw. Terminale portowe nie mogły obsługiwać ładunków, a kontenery z towarem utknęły na całym świecie.

Przywrócenie operacji Maersk okazało się gigantycznym wyzwaniem. Cyberatak usunął wszystkie kopie zapasowe kontrolerów domen, które zarządzały dostępem do sieci firmy. W normalnych warunkach serwery te synchronizowałyby się automatycznie, tworząc zdecentralizowany system zabezpieczeń. Jednak atak uderzył we wszystkie 150 kontrolerów jednocześnie, pozostawiając firmę bez żadnej kopii zapasowej.

Ratunkiem okazał się jeden serwer w oddziale Maersk w Ghanie, który przypadkowo został odłączony od sieci z powodu awarii prądu i dzięki temu uniknął infekcji. Po jego odnalezieniu zorganizowano skomplikowaną operację logistyczną, aby przetransportować twardy dysk do centrum odzyskiwania danych w Wielkiej Brytanii. Ostatecznie, po wielu przeszkodach, udało się dostarczyć dane, co umożliwiło odbudowę infrastruktury informatycznej.

Atak NotPetya kosztował Maersk około 300 milionów dolarów i spowodował wielotygodniowe zakłócenia w globalnym handlu. Był to jeden z największych cyberataków na infrastrukturę krytyczną, który uświadomił firmom na całym świecie, jak ważne jest aktualizowanie systemów zabezpieczeń i tworzenie bardziej odpornych na ataki kopii zapasowych.

 

2. Atak na Colonial Pipeline (2021)

Szkody – 4,4 mln dolarów okupu, setki milionów dolarów strat dla gospodarki

W maju 2021 roku Colonial Pipeline, największy rurociąg paliwowy w USA, padł ofiarą cyberataku, który spowodował poważne zakłócenia w dostawach paliwa na Wschodnim Wybrzeżu. Rurociąg, transportujący ponad 100 milionów galonów paliwa dziennie, został unieruchomiony, co doprowadziło do paniki, braków paliwa na stacjach oraz wzrostu cen. Skala zagrożenia była tak duża, że prezydent Joe Biden ogłosił stan wyjątkowy, a gubernator Georgii Brian Kemp wstrzymał stanowe podatki od paliwa, by złagodzić skutki kryzysu.

Hakerzy z grupy DarkSide uzyskali dostęp do sieci Colonial Pipeline poprzez skradzione hasło do VPN, które nie było zabezpieczone mechanizmem uwierzytelniania wieloskładnikowego. Po uzyskaniu dostępu cyberprzestępcy poruszali się po systemie i w ciągu dwóch godzin wykradli 100 GB danych. Następnie zainfekowali sieć firmy oprogramowaniem ransomware, szyfrując kluczowe dane i blokując dostęp do systemów, w tym systemów księgowości i rozliczeń.

W obliczu rosnącego zagrożenia Colonial Pipeline 7 maja podjęło decyzję o całkowitym wyłączeniu rurociągu, aby zapobiec dalszemu rozprzestrzenianiu się wirusa. Przerwa w dostawach paliwa trwała do 12 maja, a normalne operacje wznowiono 15 maja. W międzyczasie wystąpiły liczne zakłócenia – brak paliwa dotknął stacje benzynowe, linie lotnicze oraz inne sektory gospodarki.

W reakcji na atak prezydent Biden ogłosił stan wyjątkowy, który tymczasowo zniósł ograniczenia w transporcie paliwa. Dodatkowo Colonial Pipeline zatrudniło zewnętrzną firmę do analizy naruszenia, a także podjęło kontrowersyjną decyzję o zapłaceniu okupu w wysokości 75 bitcoinów (około 4,4 miliona dolarów). Departament Sprawiedliwości USA 7 czerwca odzyskał 64 z tych bitcoinów, które w wyniku wahań wartości kryptowaluty były wtedy warte 2,4 miliona dolarów.

Atak na Colonial Pipeline pokazał, jak podatna na cyberzagrożenia jest infrastruktura krytyczna i jak poważne mogą być skutki ransomware dla łańcuchów dostaw. Wydarzenie to podkreśliło znaczenie wdrażania wielopoziomowych mechanizmów bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe i monitoring sieci, aby zapobiegać podobnym atakom w przyszłości.

 

3. Atak na Norsk Hydro (2019)

Szkody – 70 mln dolarów

W marcu 2019 roku Norsk Hydro, norweski gigant energetyczny i producent aluminium, padł ofiarą jednego z największych cyberataków w historii przemysłu. Hakerzy zaatakowali sieć firmy, blokując dostęp do kluczowych systemów informatycznych i paraliżując działalność w zakładach na całym świecie.

Atak rozpoczął się od telefonu do nowo mianowanej CEO Hilde Merete Aasheim o czwartej rano, informującego o poważnym incydencie cybernetycznym. Złośliwe oprogramowanie zainfekowało ponad 3 000 serwerów i tysiące komputerów pracowników, szyfrując dane i uniemożliwiając dostęp do systemów. Firma podjęła decyzję o niepłaceniu okupu i zamiast tego skupiła się na usuwaniu skutków ataku.

Aby ograniczyć rozprzestrzenianie się wirusa, firma całkowicie odłączyła swoją sieć od internetu i wdrożyła tryb ręcznej obsługi produkcji. Pracownicy polegali na papierowych dokumentach i ręcznych zapisach, aby utrzymać kluczowe procesy produkcyjne. Starsi pracownicy oraz emerytowani eksperci zostali zaangażowani w pomoc przy powrocie do tradycyjnych metod pracy.

Atak spowodował straty w wysokości około 70 milionów dolarów. Wysiłek przywracania systemów trwał miesiące, a pełna odbudowa zajęła ponad trzy tygodnie. Firma współpracowała z Microsoftem i Norweskim Centrum Bezpieczeństwa Cybernetycznego w celu identyfikacji zagrożeń i zabezpieczenia systemów przed przyszłymi atakami.

Norsk Hydro podkreśliło, że cyberbezpieczeństwo stało się kluczowym elementem strategii każdej firmy. Transparentne podejście do incydentu i odmowa zapłaty okupu sprawiły, że firma została uznana za przykład właściwego zarządzania kryzysowego. Atak ujawnił rosnące zagrożenie dla infrastruktury przemysłowej i konieczność wdrażania skuteczniejszych środków ochrony.

Eksperci zwracają uwagę, że podobne ataki będą się nasilać, ponieważ cyberprzestępcy coraz częściej celują w kluczowe sektory gospodarki. Wprowadzenie lepszych procedur zarządzania kryzysowego, regularne testy zabezpieczeń oraz edukacja pracowników to jedne z głównych wniosków wyciągniętych z tego incydentu.

 

4. Atak na Universal Health Services (2020)

Szkody – 67 mln dolarów

We wrześniu 2020 roku Universal Health Services (UHS), zarządzający około 400 placówkami opieki zdrowotnej w USA i za granicą, padł ofiarą ataku ransomware, który doprowadził do trzytygodniowego paraliżu systemów informatycznych i poważnych strat finansowych.

Atak rozpoczął się 27 września 2020 roku, gdy pracownicy UHS zaczęli zgłaszać problemy z dostępem do systemów komputerowych i telefonów. Na niektórych ekranach pojawiły się komunikaty o zaszyfrowaniu danych przez grupę hakerską Ryuk, co potwierdziło, że jest to atak ransomware. W odpowiedzi zespół IT natychmiast odłączył wszystkie systemy, aby zapobiec dalszemu rozprzestrzenianiu się zagrożenia.

Przez trzy tygodnie UHS działało w trybie awaryjnym, wykorzystując ręczne procedury dokumentacyjne. Opieka nad pacjentami nie została przerwana, ale niektóre usługi, takie jak planowe zabiegi i transport medyczny, musiały zostać przekierowane do konkurencyjnych placówek.
W wyniku ataku tysiące lekarzy i pielęgniarek musiały powrócić do dokumentacji papierowej, co opóźniało leczenie pacjentów, a w niektórych przypadkach prowadziło do odwołania planowanych operacji. Wpłynęło to na spadek przychodów z powodu niższej liczby pacjentów i opóźnień w kodowaniu oraz rozliczaniu procedur medycznych – łącznie firma straciła około 67 milionów dolarów przez bezpośrednie straty operacyjnie i dodatkowe wydatki na odbudowę infrastruktury IT.

Firma współpracowała z partnerami ds. bezpieczeństwa i zewnętrznymi specjalistami IT, aby przywrócić systemy i przeprowadzić dochodzenie. Na szczęście, nie znaleziono dowodów na to, że dane pacjentów zostały skradzione lub wykorzystane w sposób nieuprawniony.

Incydent ten uwidocznił rosnące zagrożenie ransomware w sektorze zdrowia i podkreślił konieczność inwestycji w systemy bezpieczeństwa danych pacjentów. Eksperci rekomendują wdrażanie strategii bezpieczeństwa opartych na modelu „zero trust” oraz stosowanie wieloskładnikowego uwierzytelniania i systematycznych audytów bezpieczeństwa.

 

5. Atak na miasto Baltimore (2019) 

Szkody – 18 mln dolarów

W maju 2019 roku Baltimore padło ofiarą ataku ransomware RobbinHood, który sparaliżował miejskie systemy informatyczne, uniemożliwiając funkcjonowanie kluczowych usług administracyjnych. Hakerzy zażądali 13 Bitcoinów (ok. 76 280 dolarów) za odzyskanie dostępu do danych, grożąc ich trwałym usunięciem. Miasto odmówiło zapłaty okupu, a odbudowa systemów i wynikające z ataku straty kosztowały administrację 18,2 miliona dolarów.

Pierwsze sygnały o problemach pojawiły się 7 maja 2019 roku, kiedy Departament Prac Publicznych zgłosił awarię systemu e-mail. Wkrótce potem do awarii dołączyły inne instytucje miejskie, w tym Departament Transportu, Policja i Wydział Finansów. Władze potwierdziły, że atak został przeprowadzony przy użyciu RobbinHood – zaawansowanego ransomware szyfrującego dane i blokującego dostęp do kluczowych systemów. Hakerzy domagali się okupu, ostrzegając, że nieopłacenie żądanej sumy skutkować będzie utratą wszystkich zaszyfrowanych plików.

Nowo zaprzysiężony burmistrz Baltimore, Bernard C. Young, który objął urząd po odejściu uwikłanej w skandale korupcyjne Catherine Young, podjął decyzję o odłączeniu miejskich systemów informatycznych i przejściu na manualne procedury administracyjne. Władze nawiązały współpracę z FBI, Microsoftem oraz innymi firmami technologicznymi, aby przeanalizować sytuację i rozpocząć odbudowę infrastruktury IT. Administracja miasta informowała mieszkańców o postępach w naprawie systemów, choć nie mogła podać dokładnego terminu ich pełnego przywrócenia.

Atak doprowadził do poważnych zakłóceń w funkcjonowaniu miasta. Mieszkańcy Baltimore napotkali trudności z płaceniem podatków, rachunków oraz innymi usługami administracyjnymi, które musiały być realizowane ręcznie. Wiele procesów, takich jak wystawianie zezwoleń budowlanych i rejestracja nieruchomości, zostało czasowo zawieszonych. Systemy miejskie zaczęły stopniowo wracać do funkcjonowania, ale pełne odzyskanie infrastruktury zajęło kilka miesięcy.

Miasto oszacowało łączne straty na 18,2 miliona dolarów, z czego 4,6 miliona pochłonęły działania naprawcze, 5,4 miliona zostało przeznaczone na poprawę zabezpieczeń, a 8,2 miliona stanowiły utracone dochody podatkowe. Pomimo presji społecznej, Baltimore odmówiło zapłaty okupu, powołując się na rekomendacje FBI i argumentując, że nie było gwarancji odzyskania plików nawet po uiszczeniu opłaty.

Po ataku miasto wdrożyło dodatkowe środki bezpieczeństwa, m.in. wzmocnione mechanizmy backupu oraz aktualizacje systemów zabezpieczeń. Incydent ten podkreślił konieczność inwestowania w cyberbezpieczeństwo oraz edukację pracowników administracji publicznej w zakresie ochrony danych. Baltimore stało się przestrogą dla innych miast, pokazując, że brak odpowiednich zabezpieczeń może prowadzić do wielomilionowych strat i długotrwałych zakłóceń w funkcjonowaniu administracji.

 

Wnioski i analiza raportu Global Cybersecurity Outlook 2025

Według raportu Global Cybersecurity Outlook 2025 zaprezentowanego podczas Światowego Forum Ekonomicznego, ransomware stało się jednym z największych zagrożeń dla firm na całym świecie. Mechanizm działania tych ataków opiera się na blokowaniu dostępu do danych i systemów oraz żądaniu okupu. A dzięki popularyzacji AI, w ostatnich latach cyberprzestępcy zaczęli stosować coraz bardziej kreatywne i wyrafinowane podejścia do tej „formy zarobku”.

 

Kluczowe wyzwania cyberbezpieczeństwa

Eksperci wskazują na trzy zasadnicze problemy utrudniające skuteczną ochronę przed cyberatakami: rosnącą rolę sztucznej inteligencji w przestępczości cyfrowej, niedobór wykwalifikowanych specjalistów oraz coraz bardziej skomplikowane regulacje prawne.

Generatywna AI znacznie zwiększyła efektywność oszustw internetowych, takich jak phishing czy ataki ransomware. Z raportu wynika, że niemal połowa badanych organizacji (47%) postrzega sztuczną inteligencję jako kluczowe wyzwanie w kontekście cyberbezpieczeństwa. Co więcej, 42% firm doświadczyło ataków phishingowych w 2024 roku, a narzędzia AI umożliwiły cyberprzestępcom jeszcze lepsze dostosowywanie treści oszukańczych wiadomości i deepfake’ów.

 

Nieprzemyślane wdrożenia nowych technologii

Chociaż aż 66% organizacji przewiduje, że z każdym mijającym tygodniem sztuczna inteligencja będzie zyskiwać coraz większy wpływ na cyberbezpieczeństwo, tylko 37% posiada konkretne procedury pozwalające na ocenę ryzyka związanego z implementacją nowych rozwiązań. Wiele firm nie uwzględnia zagrożeń płynących z AI, takich jak potencjalne wycieki danych czy niewłaściwe trenowanie algorytmów, co może prowadzić do nieprzewidzianych konsekwencji.

– Organizacje dostrzegają zagrożenia związane z AI, ale zbyt szybko wdrażają te technologie, pomijając kwestie bezpieczeństwa. Takie podejście może sprowadzić na organizację niepotrzebne ryzyko. Jeśli firma lub instytucja nie ma na swoim pokładzie specjalisty ds. cyfrowych zabezpieczeń, kluczowe jest stosowanie się do już istniejących procedur. Jeśli te okażą się niewystarczające, warto przeprowadzić audyt bezpieczeństwa i dostosować procedury do nowych realiów – tłumaczy Robert Ługowski, Cybersecurity Architect z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie.

 

Niedobór specjalistów i rosnąca złożoność regulacji

Dynamiczny rozwój technologii uwydatnił problem braku wykwalifikowanych ekspertów w dziedzinie cyberbezpieczeństwa. Dwie trzecie firm wskazuje, że nie dysponuje wystarczającą liczbą specjalistów, co bezpośrednio wpływa na poziom ochrony ich sieci i systemów. Dodatkowym wyzwaniem są zmieniające się przepisy prawne – aż 76% dyrektorów ds. bezpieczeństwa informacji uważa, że skomplikowane regulacje utrudniają dostosowanie się do wymogów prawnych i skuteczną ochronę przed cyberzagrożeniami.

Sytuacja jest szczególnie trudna dla mniejszych organizacji, które zmagają się z ograniczonymi budżetami. Firmy te często nie są w stanie wdrożyć kompleksowych zabezpieczeń, co prowadzi do powiększania się różnic między dobrze chronionymi korporacjami a podatnymi na ataki przedsiębiorstwami.

– Dziś zagrożenia cybernetyczne wprost przekładają się na stabilność finansową organizacji. W obliczu zakłóceń związanych ze sztuczną inteligencją i braków specjalistów, liderzy coraz częściej postrzegają cyberbezpieczeństwo jako czynnik umożliwiający budowanie i utrzymywanie odporności organizacji. Traktują nakłady na bezpieczeństwo jako inwestycję, a nie tylko wydatek – wyjaśnia Robert Ługowski.

 

Współpraca kluczem do skutecznej ochrony

Według analityków, aby skutecznie przeciwdziałać rosnącym zagrożeniom, konieczna jest ścisła współpraca sektora prywatnego i administracji publicznej. Kluczowe aspekty to poprawa bezpieczeństwa w ramach wzajemnie połączonych systemów cyfrowych, eliminacja luki kompetencyjnej w branży cyberbezpieczeństwa oraz traktowanie ochrony danych jako priorytetowej inwestycji w rozwój firm.

Wyniki badania wskazują również na rosnącą przepaść między firmami dobrze przygotowanymi na cyberzagrożenia a tymi, które nie posiadają skutecznych mechanizmów obronnych. Organizacje z silnymi strukturami zabezpieczeń systematycznie zwiększają swoje nakłady na ochronę, podczas gdy mniej zasobne przedsiębiorstwa zmagają się z ograniczeniami budżetowymi. Współzależność łańcuchów dostaw oznacza, że te różnice mogą stać się punktem krytycznym dla globalnej stabilności gospodarczej.

– Obecne ataki to nie tylko zagrożenie dla poufności, dostępności i spójności informacji, potencjalnie mogą przekształcić się one w ataki na całe społeczeństwa. Wystarczy wyobrazić sobie skutki ataku na wodociągi i uzdatnianie wody, przedsiębiorstwa telekomunikacyjne czy elektrownie i systemy przesyłu energii. Dlatego tak ważna jest współpraca mająca przeciwdziałać zagrożeniom i łagodzić skutki ich wystąpienia, zarówno pomiędzy organizacjami i branżami, jak i na szczeblach krajowych i międzynarodowych – ostrzega Robert Ługowski.

 

Podsumowanie

Raport Global Cybersecurity Outlook 2025 bazuje na analizie opinii ponad 500 ekspertów ds. bezpieczeństwa z 57 krajów i podkreśla rosnącą rolę cyberochrony w strategiach przedsiębiorstw. W obliczu coraz bardziej wyrafinowanych ataków organizacje muszą nie tylko inwestować w nowoczesne technologie ochronne, ale także współpracować w celu minimalizacji ryzyka na poziomie globalnym. Pięć przykładów opisanych wcześniej pokazuje, że cyberzagrożenia nie są jedynie teoretycznym problemem, lecz realnym wyzwaniem, które może dotknąć każdą organizację – niezależnie od jej wielkości czy branży.