W ostatnich latach zagrożenie atakami ransomware w Polsce wzrosło. Działania cyberprzestępców stały się bardziej zaawansowane. Zwiększyła się też liczba incydentów. Według CERT Polska ataki ransomware miały najpoważniejszy wpływ na działanie organizacji ze wszystkich cyberzagrożeń. Z kolei raport Cyberportret polskiego biznesu 2025 wskazuje, że 54% ekspertów ds. cyberbezpieczeństwa spodziewa się wzrostu ich częstotliwości.

Z danych ESET wynika, że w pierwszej połowie 2025 roku to właśnie w Polsce wykryto najwięcej ataków ransomware. Krajowe incydenty tego typu odpowiadały za 6% wszystkich takich zdarzeń w skali globalnej. Jeszcze w drugiej połowie 2024 roku Polska znajdowała się w tym zestawieniu na 7. miejscu, a w pierwszym półroczu na 13.

Według raportu Barometr cyberbezpieczeństwa 2025, przygotowanego przez KPMG, 11% firm uznaje ransomware za największe ryzyko dla organizacji, a kolejne 20% za znaczne. Jedynie 7% ocenia je jako zerowe.

Sektor publiczny – ataki na urzędy i instytucje samorządowe

W swoim raporcie rocznym 2024 CERT Polska podaje, że podmioty publiczne padły ofiarami ataków ransomware 25 razy. Jednak tego typu ataki hakerskie są powszechne od dawna. Już w 2020 roku ofiarą ataku ransomware padł Powiatowy Ośrodek Dokumentacji Geodezyjnej i Kartograficznej w Oświęcimiu, a wydatki związane z odzyskaniem danych wyniosły 620 tysięcy złotych.

W grudniu 2022 roku Urząd Marszałkowski Województwa Mazowieckiego padł ofiarą ataku ransomware, w wyniku którego z dużym prawdopodobieństwem wyciekły dane osobowe.

W 2025 roku do groźniejszych incydentów ransomware można zaliczyć atak na szpital MSWiA w Krakowie. Incydent odbił się negatywnie na funkcjonowaniu placówki – konieczne było przekierowanie części pacjentów do innych miejsc.

Sektor prywatny – przypadki z branży finansowej, przemysłowej i medycznej

W raporcie za 2024 rok CERT Polska wskazuje, że 87 ze 147 zgłoszonych ataków ransomware dotyczyło właśnie sektora prywatnego. Już w styczniu tamtego roku Bank Spółdzielczy w Zambrowie zgłosił, że dane jego klientów zostały zaszyfrowane. Był to pierwszy atak tego typu na bank w Polsce.

Ataki ransomware w Polsce w 2025 roku wymierzone były także w krajowy przemysł. W sierpniu 2025 roku ofiarą padł zakład MARMA Polskie Folie w Rzeszowie, jeden z największych przetwórców tworzyw sztucznych w Europie. Zaledwie kilka tygodni wcześniej ataki ransomware dotknęły takie firmy jak PWN czy Herbapol.

Ataki ransomware nie omijają też firm z sektora medycznego. W 2023 roku doszło do wycieku danych z sieci laboratoriów medycznych ALAB. Cyberprzestępcy wykradli dane medyczne, których część opublikowali najpierw w ramach szantażu, a pozostałą część w późniejszym terminie, gdy ALAB odmówił zapłaty okupu.

Według raportu rocznego CERT Polska za 2024 rok do ataku na polskie podmioty najczęściej wykorzystywane było złośliwe oprogramowanie z rodziny Phobos (17 przypadków). Jest to ransomware typu RaaS (Ransomware as a Service), który najczęściej infekuje systemy poprzez słabo zabezpieczone usługi pulpitu zdalnego. Szyfruje pliki i żąda okupu za ich przywrócenie.

Na drugim miejscu uplasowała się rodzina Magniber (12 przypadków) – to niebezpieczne złośliwe oprogramowanie, które wykorzystuje lukę pozostawioną przez zespół Microsoftu w newralgicznym dla zabezpieczeń komputera module.

Na trzecim STOP(Djvu) (10 przypadków) – trafia do użytkowników głównie poprzez pirackie oprogramowanie i generatory kluczy (keygens). Szyfruje dane i – w zależności od wersji – przypisuje im rozszerzenie .djvu, .djvus, .djvuu, .tfunde lub .uudjvu. Oprócz tego cyberprzestępcy używali takich wirusów jak LockBit, MedusaLocker i Nigra.

Wśród zidentyfikowanych technik można wyróżnić:

• Fałszywe podwójne wymuszenie (double extortion) – groźba ujawnienia danych, choć tak naprawdę nie doszło do ich kradzieży. Ma na celu zwiększenie presji na ofiarę, żeby zapłaciła okup.
• Atak na łańcuch dostaw (supply chain attack) – działania wymierzone w partnerów, dostawców lub usługodawców ofiary, które pozwalają dostać się do jej sieci. O tym, jak zwiększyć bezpieczeństwo łańcucha dostaw, pisaliśmy tutaj.
• Ransomware jako usługa (Ransomware-as-a-Service) – wykorzystywanie złośliwego oprogramowania udostępnionego przez twórców w modelu crime-as-a-Service. Przykładem jest np. ransomware LockBit.

Niezmiennie od lat cyberprzestępcy wykorzystują zarówno podatności, jak i phishing, który według CERT Polska jest najpowszechniejszym rodzajem ataku hakerskiego.

Zaledwie 22% pracowników zdaje sobie sprawę z tego, czym jest ransomware. 5% osób deklaruje, że w obliczu takiego ataku uznałoby komunikat o zagrożeniu za fałszywy i kontynuowało pracę bez podejmowania żadnych działań. Obrazuje to, jak ważne jest zwiększanie poziomu security awareness. Podczas szkoleń organizowanych przez specjalistów ds. cyberbezpieczeństwa personel może poznać prawidłową reakcję na takie zdarzenia, zmniejszając ryzyko powodzenia ataku i potencjalne straty.

W walce z zagrożeniami można wspomóc pracowników dzięki technicznym rozwiązaniom z zakresu cyberbezpieczeństwa, takim jak:

• usługa Netia Ochrona Poczty Elektronicznej. Minimalizuje ona ryzyko, że wiadomości umożliwiające potencjalny atak ransomware w ogóle dotrą do odbiorców,
• usługa Netia Managed EDR, która obejmuje całodobowy monitoring, wykrywanie i reagowanie na zagrożenia w punktach końcowych, takich jak komputery, telefony czy serwery. Usługa daje możliwość odtworzenia całej ścieżki ataku.

42% specjalistów ds. cyberbezpieczeństwa wskazuje, że tworzenie kopii zapasowych to obszar wymagający pilnych inwestycji. Nic dziwnego – backup jest bowiem skutecznym sposobem na zwiększenie ochrony firmy przed atakiem ransomware. Usługa Netia Data Protection pozwala regularnie wykonywać kopie zapasowe plików, środowisk wirtualnych, aplikacji i baz danych, a nawet zasobów z usług takich, jak Microsoft Office 365 czy OneDrive for Business.