Dlaczego Tradycyjny Backup Kapituluje Przed Ransomware 2.0

Czy backup to wystarczająca tarcza przed ransomware?

Jeszcze do niedawna wiele firm spało spokojnie, wierząc, iż regularne kopie zapasowe uchronią je przed każdym atakiem. W końcu, jeżeli dane zostaną zaszyfrowane, zawsze można je odzyskać z backupu, prawda? Niestety, nowa generacja ransomware – tzw. Ransomware 2.0 – brutalnie weryfikuje to założenie.

Dzisiejsi cyberprzestępcy stosują taktyki, które sprawiają, iż tradycyjny backup często okazuje się bezużyteczny. W niniejszym artykule, pisanego w stylu luźnej rozmowy inżynierów, przyjrzymy się ewolucji ataków ransomware, metodom ataku na kopie zapasowe oraz sposobom budowania backupu odpornego na ransomware. Będą techniczne przykłady (polecenia i logi), praktyczne porady oraz checklista, dzięki którym zabezpieczysz swoje dane na nowe czasy.

Ewolucja ransomware: od prostego szyfrowania do Ransomware 2.0

Kiedyś ransomware kojarzył się głównie z szyfrowaniem plików i żądaniem okupu za klucz deszyfrujący. Dzisiejsze ataki poszły jednak o krok dalej. Ransomware 2.0 to określenie na współczesne ataki ransomware, które są wieloetapowe i nastawione na maksymalne szantażowanie ofiary. Przestępcy działają niczym profesjonalne firmy – włamują się cicho do sieci, kradną wrażliwe dane, a dopiero potem szyfrują systemy i żądają podwójnego okupu (za odszyfrowanie i za nieujawnienie wykradzionych informacji). Ten model podwójnego wymuszenia (double extortion) stał się nowym standardem: według badań liczba ataków z kradzieżą danych i groźbą wycieku wzrosła o 126% rok do roku (rekordowy poziom w 1 kwartale 2025).

Co to oznacza dla kopii zapasowych? w uproszczeniu – to, iż sam backup już nie wystarcza. choćby jeżeli masz idealne kopie zapasowe i uda Ci się przywrócić zaszyfrowane systemy, dane ofiary i tak mogą trafić do Internetu. Atakujący szantażują publikacją danych, na co backup nie daje żadnej odpowiedzi. Mało tego, coraz częściej ransomware jest pisane tak, by aktywnie namierzać i unieszkodliwiać mechanizmy backupu ofiary. W rezultacie tradycyjne cyfrowe kopie zapasowe zawodzą w starciu z nowymi zagrożeniami – przestępcy wyszukują słabe punkty w infrastrukturze i unicestwiają “ostatnią linię obrony”, jaką był backup. Efekt? Firma zostaje pozbawiona opcji samodzielnego odzyskania danych i często nie ma innego wyboru, jak zapłacić okup lub ponieść katastrofalne straty.

Backup – ostatnia linia obrony (i pierwszy cel ataku)

Backup od zawsze był nazywany polisą ubezpieczeniową IT. Wiele standardów bezpieczeństwa powtarzało mantrę: “Rób kopie zapasowe, bo backup to najważniejsza obrona przed ransomware”. Rzeczywiście, choćby FBI zaleca posiadanie świeżych kopii zapasowych, by atak ransomware nie sparaliżował organizacji. Problem w tym, iż cyberprzestępcy doskonale zdają sobie z tego sprawę. jeżeli backup to klucz do przetrwania ofiary, to dla atakującego logicznym krokiem jest uderzyć najpierw właśnie w backup.

Ransomware poluje na kopie zapasowe

Najnowsze raporty pokazują druzgocący trend: w 93% ataków ransomware przestępcy aktywnie próbują zniszczyć lub uszkodzić kopie zapasowe ofiary. Innymi słowy, backup stał się celem numer jeden podczas ataku. Z perspektywy hakera to oczywiste – jeżeli wyłączą Twój “plan B”, masz związane ręce i bardziej prawdopodobne, iż zapłacisz. Dlatego skuteczni włamywacze przed uruchomieniem adekwatnego szyfrowania upewniają się, iż nie zostanie Ci żadna deska ratunku: kasują backupy, usuwają migawki i wyłączają usługi związane z tworzeniem kopii zapasowych.

Jak to wygląda w praktyce? Bardzo często spotyka się w skryptach ransomware polecenia usuwające shadow copies Windows (migawki woluminów) oraz zatrzymujące usługi backupowe. Na przykład analiza ransomware Dharma wykazała, iż w fazie przygotowawczej złośliwe skrypty wykonywały komendy:

C:\> vssadmin Delete Shadows /all /quiet C:\> taskkill /F /IM BackupExec.exe C:\> taskkill /F /IM Veeam*.exe

Pierwsza komenda usuwa wszystkie kopie woluminów w Windows (VSS) – standardowa sztuczka, by ofiara nie mogła przywrócić systemu z lokalnych migawkowych backupów. Kolejne polecenia to przykłady agresywnego zatrzymywania procesów popularnych aplikacji backupowych. W przypadku Dharma znaleziono plik closeapps.bat z dziesiątkami wpisów taskkill /F /IM ... wymierzonych m.in. w usługi backupu i baz danych – od agentów Veeam, przez procesy Microsoft SQL i Exchange, po narzędzia do kopii zapasowych. Celem jest “uciszyć” oprogramowanie backupowe, aby nie chroniło plików i by szyfrowanie przebiegło bez przeszkód. Podobnie inne rodziny ransomware działają w pierwszej kolejności na backup: usuwają Shadow Copy, wyłączają usługi kopii, odmontowują dyski sieciowe z backupami lub szyfrują magazyny NAS – wszystko, by unieczynnić Twoje kopie zapasowe zanim przystąpią do adekwatnego ataku.

Realny przykład: w 2020 r. rosyjska firma logistyczna CDEK padła ofiarą ransomware – atakujący nie tylko zaszyfrowali systemy, ale również usunęli wszystkie backupy, co sparaliżowało działalność i spowodowało straty szacowane na ok. 1 miliard dolarów. Z kolei w ataku na dużą firmę z branży logistycznej (przypadek opisywany w kontekście ransomware Ryuk) przestępcy po cichu zinfiltrowali sieć, wykradli poświadczenia administratora backupu i systematycznie usunęli zarówno główne kopie zapasowe, jak i repliki w zapasowej lokalizacji. Gdy ofiara uruchomiła plan awaryjny, okazało się, iż żadna kopia nie przetrwała – choćby te off-site. Klasyczna strategia 3-2-1 (trzy kopie, w tym jedna off-site) została kompletnie zniweczona i firma była zmuszona negocjować okup opiewający na wiele milionów. Te incydenty uczą jednego: jeśli backup jest łatwo dostępny z zainfekowanej sieci, doświadczony ransomware go znajdzie i zniszczy.

Podwójne wymuszenie: wyciek danych mimo backupu

Ale załóżmy idealny scenariusz: Twoje kopie zapasowe ocalały, dane przywrócone – ulga, nie musisz płacić okupu. Koniec historii? Niestety nie. Tu do gry wchodzi drugi aspekt Ransomware 2.0, czyli kradzież danych przed ich zaszyfrowaniem. choćby najlepszy backup nie cofnie faktu, iż przestępcy wykradli poufne pliki – bazy klientów, dane finansowe, tajemnice firmy. Teraz szantażują Cię groźbą publikacji tych informacji w sieci (np. na stronach leak site w dark web). Z takiej pułapki nie uwolni Cię backup ani żaden system IT – to kwestia reputacji, zaufania klientów i potencjalnych kar prawnych. Ofiary stają przed wyborem: zapłacić, by chronić prywatność swoich klientów, czy ryzykować wyciek, który może oznaczać pozwy i gigantyczne kary za naruszenie danych (np. z RODO/GDPR). Przykładów nie brakuje – ataki Clop czy LockBit zasłynęły publikacją skradzionych danych, rujnując reputację firm, które choćby zdołały odszyfrować swoje systemy. Ta zmiana taktyki sprawia, iż backup przestaje być “złotym lekarstwem” – odszyfrujesz pliki, ale mleko się rozlało. Ransomware 2.0 niejako omija backup jako środek zaradczy, bo uderza w inny słaby punkt – strach przed ujawnieniem danych.

Co gorsza, trend double extortion pojawił się właśnie dlatego, iż firmy zaczęły lepiej backupować dane i nie chciały płacić okupu. Przestępcy byli do tego zmuszeni – aby utrzymać swoją „skuteczność biznesową”, musieli znaleźć kolejny czynnik nacisku. Dziś ponad połowa ataków ransomware wiąże się z wykradaniem danych, a więc choćby mając backup i tak możesz paść ofiarą szantażu. To kolejny powód, dla którego tradycyjne podejście do backupu kapituluje – nie adresuje w ogóle aspektu kradzieży informacji.

Szyfrowanie kopii i cicha korupcja danych

Ransomware 2.0 to również bardziej wyrafinowane techniki ukrywania się w systemie. Zamiast od razu szyfrować wszystko na oślep, atakujący potrafi miesiącami pozostać niewykryty, powoli eskalując uprawnienia i manipulując danymi w tle. Mogą np. stopniowo zaszyfrować część plików lub wprowadzać losowe uszkodzenia, które trafią do Twoich kopii zapasowych, zanim zorientujesz się, iż coś jest nie tak. Tradycyjny harmonogram backupów (np. nocny, codzienny) może spowodować, iż zainfekowane lub zaszyfrowane fragmenty danych zostaną nadpisane na zdrowe kopie. Niestety, typowe systemy backupu nie rozpoznają, iż dane zostały zaszyfrowane przez malware – traktują zaszyfrowane pliki jak prawidłowe zmiany i pokornie zapisują je w kolejnej kopii. jeżeli okres retencji (przechowywania starych wersji) nie jest wystarczająco długi lub atak rozwijał się powoli, możesz obudzić się w sytuacji, gdzie każda dostępna kopia danych jest już zaszyfrowana albo uszkodzona. To jak powolne zatruwanie studni – backup nie „wyczuje”, iż robi kopię zaszyfrowanego śmiecia.

Ponadto, spotykane są techniki typu attack-loop, gdzie malware celowo infekuje pliki w kopii zapasowej, czekając aż zostaną zaimportowane z powrotem przy przywracaniu systemu. Brak odpowiednich mechanizmów skanowania backupu pod kątem malware sprawia, iż można nieświadomie przywrócić ukrytą infekcję. W skrócie, legacy backup (tradycyjny backup bez funkcji bezpieczeństwa) bywa ślepy na tego typu ataki – nie odróżni poprawnych danych od zaszyfrowanych, nie ostrzeże o złośliwym kodzie w kopii, tylko wiernie wszystko zarchiwizuje. To kolejny sposób, w jaki nowoczesne ransomware potrafi oszukać tradycyjny model backupu i sprawić, iż w chwili prawdy odzyskasz jedynie zaszyfrowane lub zainfekowane dane.

Brak izolacji i separacji uprawnień – achillesowa pięta backupu

Wielu firmom wydaje się, iż skoro mają oddzielny serwer backupu czy urządzenie do składowania kopii, to są zabezpieczone. Problem w tym, jak te systemy są podłączone i zarządzane. Często backup jest traktowany jak kolejna aplikacja w infrastrukturze – podłączony do tej samej domeny Active Directory, zarządzany przez tych samych administratorów z tymi samymi uprawnieniami. To katastrofalny błąd. jeżeli atakujący przejmie konto domenowe admina (np. przez phishing lub exploit), a backup nie jest odseparowany, to uzyskuje od razu pełen dostęp do systemu kopii zapasowych. W efekcie może legalnie zalogować się do konsoli backupowej i skasować backupy, wyłączyć harmonogram zadań, wyczyścić repozytoria. Takie przypadki zdarzają się naprawdę – zdeterminowany intruz po uzyskaniu roota/domenera uruchamia narzędzia administracyjne backupu przeciwko samej ofierze, kasując wszystko w białych rękawiczkach. To dlatego w opisanym wyżej przypadku ataku Ryuk przestępcy tak bardzo starali się wykraść dane logowania administratora backupu – gdy im się udało, skasowali kopie zarówno lokalne, jak i zdalne.

Brak separacji uprawnień oznacza także, iż backup często działa na zbyt wysokich uprawnieniach w systemie. Klasyczny przykład: agent backupowy na każdej maszynie ma prawa admina, a centralny serwer backupu ma dostęp do wszystkich plików w całej sieci. jeżeli ransomware zainfekuje np. serwer, na którym backup miał konto administracyjne, to przejmie te poświadczenia i użyje ich do wejścia tam, gdzie normalnie by nie mógł. Zasada najmniejszych uprawnień bywa w kontekście backupu ignorowana – a powinna być stosowana rygorystycznie.

Niebagatelne znaczenie ma też izolacja sieciowa. jeżeli serwer backupu jest w tej samej sieci (VLAN) co reszta serwerów, napastnik po opanowaniu jednego hosta może swobodnie przeskanować sieć, wykryć serwer backupu i spróbować włamać się na niego lub wykorzystać otwarte połączenia. Segmentacja sieci często kończy się na wydzieleniu strefy DMZ dla serwerów WWW, ale mało kto wydziela strefę dla backupu. A szkoda – bo środowisko backupu powinno być “wyspą” z minimalną komunikacją z resztą sieci, najlepiej tylko jednokierunkową (produkcyjne serwery wysyłają dane do backupu, ale backup nie musi być dostępny interaktywnie z sieci produkcyjnej). Brak takiej izolacji to otwarte drzwi. Jak zauważa się w analizach, łączenie infrastruktury backupu z domeną produkcyjną daje atakującemu “płaską ścieżkę” do zniszczenia wszystkiego – wystarczy jeden kompromis konta uprzywilejowanego.

Backup, który zawodzi w chwili próby

Na koniec trzeba wspomnieć o prozaicznej kwestii: niewłaściwie wdrożony backup może po prostu nie zadziałać, gdy uderzy ransomware. Spotyka się wiele historii, gdzie firmy miały systemy backupu, ale odzyskanie danych się nie powiodło, bo: kopie były źle skonfigurowane, zbyt rzadko robione, uszkodzone albo nikt nie potrafił ich gwałtownie przywrócić. Ransomware często ujawnia zaniedbania – np. okazuje się, iż backup zawierał tylko pliki, a nie backup konfiguracji systemów, więc odtworzenie całości okazało się koszmarem. Albo iż ostatnia pełna kopia sprzed ataku jest sprzed miesiąca, bo nikt nie sprawdził, iż nowsze zadania backupu się wykrzaczały. Bywa i tak, iż backupy zostały zapisane na tym samym serwerze fizycznym, który uległ atakowi, więc uległy zniszczeniu razem z nim (to też przykład błędu w projekcie backupu). Ransomware to “test warunków bojowych” dla kopii zapasowych – wyjdą wtedy wszystkie braki procedur i testów.

Niestety, wiele organizacji nie testuje regularnie odtwarzania z backupu. Backup jest traktowany zasadą “ustaw i zapomnij” – dopóki się robi i raportuje sukces, jest ok. Potem przychodzi atak, stres, nerwy, a tu procedura odzyskiwania nie była ćwiczona. Każdy backup, który nigdy nie został przetestowany, jest tylko nadzieją, a nie gwarancją. Jak mawiają specjaliści – backup, którego nie sprawdziłeś, to tylko teoretyczny backup. Przy ransomware czasu w błędy nie ma: presja rośnie z każdą godziną przestoju, a jeżeli do tego wyciekają dane, zegar tyka jeszcze szybciej. Dlatego brak testów i planu awaryjnego to kolejny powód, czemu tradycyjny backup (robiony “do szuflady”) zawodzi – bo nikt nie upewnił się, iż zadziała, zanim nastąpił kataklizm.

Dlaczego to ma znaczenie?

Można zapytać: “No dobrze, ale co najgorszego się stanie, jeżeli backup padnie ofiarą ataku? Po prostu będziemy jak każda ofiara ransomware, trudno.” Otóż stawka jest bardzo wysoka, bo sprawny backup jest często ostatnią barierą przed katastrofą. Gdy ta bariera upadnie, konsekwencje mogą być tragiczne:

• Całkowity paraliż biznesu i koszty przestoju – Bez możliwości przywrócenia systemów czeka Cię długotrwały downtime. choćby kilka dni bez systemów IT potrafi wywołać ogromne straty finansowe, nie mówiąc o tygodniach. Średnio ofiary ransomware potrzebują ponad 5 dni tylko na wykrycie i opanowanie incydentu, a pełna odbudowa środowiska może trwać tygodnie. Każdy dzień to utracone przychody, kary za niewykonane umowy, opóźnienia produkcji. Przykładowo atak na Royal Mail w 2023 unieruchomił międzynarodowe wysyłki na ponad miesiąc i kosztował ok. 10 mln funtów strat. Firma z solidnym backupem mogłaby stanąć na nogi znacznie szybciej – ale jeżeli backup został zniszczony, czas podniesienia się z kolan wydłuża się dramatycznie, a koszty rosną lawinowo.
• Ryzyko finansowe i prawne związane z wyciekiem danych – Utrata kontroli nad danymi osobowymi to nie tylko wizerunkowy cios, ale też potencjalne wielomilionowe kary regulatorów. Pod reżimem GDPR/RODO firma, która dopuściła do wycieku danych klientów czy pacjentów, może zapłacić do 4% globalnego obrotu rocznie. Do tego dochodzą pozwy zbiorowe od poszkodowanych. Jak pokazuje przykład ataku na laboratoria Synnovis (NHS) w 2024 r., choćby bez płacenia okupu wyciek wrażliwych danych (w tym wyniki badań pacjentów) skutkuje dochodzeniem organów nadzorczych, utratą zaufania i ogromnymi kosztami naprawczymi. Backup nie chroni przed tym ryzykiem, ale jego brak jeszcze je powiększa – bo firma pozbawiona backupu jest bardziej skłonna zapłacić przestępcom za milczenie, co z kolei napędza kolejne ataki (i bywa choćby niezgodne z prawem w niektórych jurysdykcjach).
• Utrata reputacji i zaufania klientów – Dla wielu biznesów utraty danych lub długiego przestoju nie da się przeliczyć tylko na pieniądze. To cios w markę i wiarygodność, który może przekładać się na utratę klientów na lata. Przykładowo kancelarie prawne czy placówki medyczne po głośnych wyciekach danych mogą stracić kluczowych klientów, bo nikt nie chce powierzać swoich tajemnic firmie, która “nie zabezpieczyła choćby backupu”. Informacja o ataku ransomware i braku odzyskiwania danych rozchodzi się szybko – media, kontrahenci, wszyscy dowiedzą się, iż firma “poległa” technicznie. W świecie biznesu to sygnał alarmowy. Dlatego stawką jest nie tylko jednorazowy kryzys, ale długofalowa reputacja organizacji.
• Brak opcji awaryjnej = oddanie atakującym pełnej kontroli – jeżeli backup zawiedzie, zostajesz dokładnie tam, gdzie chcieli Cię mieć przestępcy – na ich łasce. Oznacza to zwykle konieczność zapłacenia okupu (często w kryptowalucie), bez gwarancji powodzenia. A choćby jeżeli zapłacisz i odszyfrują Ci dane, nic nie powstrzyma ich przed zaatakowaniem Cię ponownie lub sprzedaniem „zna-komym” informacji, iż jesteś firmą skłonną płacić. Statystyki są tu ponure: 78% firm, które zapłaciły okup, pada celem kolejnego ransomware. Brak niezależnej drogi odzyskania danych stawia Cię w sytuacji, gdzie każdy scenariusz jest zły: albo utrata danych i przestój, albo finansowanie cyberprzestępców i ryzyko powtórki.

Podsumowując: solidny, odporny na ataki backup jest najważniejszy dla ciągłości działania. Gdy „tradycyjny” backup upada, firma doświadcza pełnej mocy ransomware: technicznej, finansowej i prawnej. Dlatego tak ważne jest, by nie odkładać tematu na później. Poniżej przedstawiamy, jak zbudować strategię kopii zapasowych odporną na ransomware 2.0 – tak, aby backup znów stał się skuteczną tarczą, a nie piętą achillesową.

Jak zbudować backup odporny na ransomware?

Skoro wiemy już, dlaczego zwykły backup przegrywa, pora zapytać: co robić inaczej? Dobra wiadomość jest taka, iż istnieją sprawdzone koncepcje i techniki pozwalające znacznie podnieść szanse backupu w starciu z choćby zaawansowanym atakiem. Poniżej omawiamy najważniejsze elementy odpornego systemu kopii zapasowych – technologie i dobre praktyki, które można zastosować niezależnie od konkretnych narzędzi czy środowiska (on-premises, chmura czy hybryda). To podejście neutralne technologicznie: liczy się pomysł i proces, a nie konkretny vendor.

3-2-1-1-0: unowocześniona zasada tworzenia kopii

Tradycyjna reguła 3-2-1 (trzy kopie danych, na dwóch różnych nośnikach, w tym jedna poza siedzibą) to dobry start, ale w erze Ransomware 2.0 okazuje się niewystarczająca. Atakujący potrafią bowiem dobrać się choćby do zdalnych lokalizacji (np. poprzez zsynchronizowane łącza sieciowe czy dostęp VPN). Unowocześnieniem jest reguła 3-2-1-1-0, w której dodano dwie istotne cyfry: kolejne “1” oraz “0”:

• Jedna kopia niezmienialna lub odłączona (immutable/air-gap) – Ten element to game-changer. Oznacza, iż co najmniej jedna z Twoich kopii zapasowych musi być fizycznie lub logicznie odseparowana i niepodatna na zmiany. Immutable backup to np. kopia zapisana w magazynie WORM (Write Once Read Many), gdzie po zapisaniu danych nie da się ich skasować ani nadpisać (nawet posiadając uprawnienia administratora) przez ustalony czas. Podobny efekt daje prawdziwy air-gap, czyli kopia offline – fizycznie odłączona od sieci. Może to być tradycyjna taśma LTO przechowywana w sejfie lub dysk twardy odpinany po backupie i odkładany na półkę. Chodzi o stworzenie swego rodzaju „cyfrowego sejfu czasu”, do którego ransomware nie ma dostępu choćby jeżeli skompromituje całą resztę infrastruktury. Taka niezmienialna, odizolowana kopia to ostatnia linia obrony, która przetrwa atak i pozwoli odtworzyć dane choćby w czarnym scenariuszu. W praktyce coraz popularniejsze są np. magazyny obiektowe z opcją blokady modyfikacji (Object Lock) w chmurze lub u dostawców storage, a także urządzenia backupowe z wbudowanym mechanizmem WORM. najważniejsze jest to, by żadna złośliwa lub uprzywilejowana akcja nie mogła gwałtownie usunąć takiej kopii. Przykład: gdyby wspomniana ofiara Ryuk miała backup z włączonym trybem niezmienialnym (np. na obiekcie w chmurze z polityką „retention lock”), atakujący co najwyżej skasowaliby wskaźniki do danych, ale same dane pozostałyby nietknięte i odzyskiwalne.
• Zero błędów przy odzyskiwaniu – Ostatnie zero w regule 3-2-1-1-0 oznacza dążenie do zera błędów podczas przywracania. Krótko mówiąc: regularnie testuj swoje backupy, by upewnić się, iż każda istotna kopia naprawdę da się odtworzyć i iż proces przywracania działa sprawnie. Automatyczne weryfikacje backupów, testowe odtworzenia (np. co kwartał) oraz sprawdzanie integralności danych to mus. Nie chodzi tylko o uniknięcie wadliwych taśm czy uszkodzonych plików, ale też o przećwiczenie procedur – tak by w stresującym momencie ataku wszystko poszło jak po sznurku. Backup, którego nie potwierdziliśmy w praktyce, jest tylko hipotezą – a potrzebujemy pewności. Wprowadź więc rutynę: “backup bez błędów” jako cel, mierzony choćby tym, iż z ostatnich N kopii próbne odtworzenie zakończyło się sukcesem i dane są spójne.

Sieć i tożsamość Zero Trust dla backupu

Skoro wiemy, iż atakujący chętnie wykorzystują integrację backupu z resztą środowiska, rozwiązaniem jest odejście od założenia zaufania. Zero Trust to koncepcja “zero zaufania” – traktuj każdy element jak potencjalnie zainfekowany i zawsze wymagaj weryfikacji. W kontekście backupu oznacza to, iż środowisko backupu nie może być po prostu zaufaną częścią sieci dostępnej dla wszystkich adminów. Powinno być wręcz najbardziej strzeżonym segmentem całej infrastruktury.

Izolacja sieciowa: Wydziel osobną strefę (VLAN/segment) dla serwerów backupu i magazynów kopii. Dostęp do niej z sieci produkcyjnej powinien być ściśle kontrolowany przez firewall – np. tylko serwery backupowane mogą inicjować połączenia do serwera backupu na określony port usługi backupu. Żadnego zdalnego RDP/SSH do serwera backup z sieci LAN, żadnego dostępu z Internetu (chyba iż przez VPN z odpowiednimi ograniczeniami). Zasada to “deny by default” – komunikacja do strefy backupu ma być wyjątkiem, nie normą. W efekcie choćby jeżeli ransomware zainfekuje serwer w produkcji, nie powinien móc swobodnie dotrzeć do wyspy backupowej. Taka segmentacja ogranicza też ryzyko, iż malware rozprzestrzeni się do kopii zapasowych – jeżeli używasz np. backupu typu nasłuchującego agentów, to rozważ model odwrotny (push backup), gdzie to backup serwer inicjuje połączenia z segmentu backupu do maszyn w LAN, co można lepiej kontrolować.

Oddzielna tożsamość i uwierzytelnianie: Nigdy więcej tego samego konta administratora domeny do wszystkiego. Konta używane do zarządzania backupem powinny być unikalne i wykorzystywane tylko do tego celu. Najlepiej, by serwer backupu w ogóle nie był wpięty do domeny AD produkcyjnej, tylko działał na lokalnych kontach lub we własnej, odizolowanej domenie/workgroup. Administrator backupu powinien mieć osobne hasło (i to mocne, w bezpiecznym magazynie) tylko do backupu – nie to samo, co wszędzie. I absolutnie nie powinno to być konto z grupy Domain Admins w produkcji. To samo dotyczy kont systemowych: agent backupu działający na maszynach nie musi mieć pełnych uprawnień domenowych – daj mu tylko tyle praw, ile potrzeba (zasada least privilege: np. dostęp tylko do odczytu danych i do wykonania snapshotu, ale nie do instalacji usług). Im mniej przywilejów mają komponenty backupu, tym trudniej ransomware to nadużyć.

Kolejna rzecz to MFA (Multi-Factor Authentication). Wprowadź MFA wszędzie tam, gdzie to możliwe – zwłaszcza do dostępu do konsoli zarządzania backupem i systemów przechowujących kopie. choćby jeżeli atakujący pozna hasło admina backupu, niech utknie na drugiej składowej (tokenie sprzętowym, aplikacji MFA itp.). Wiele nowoczesnych rozwiązań backupu już to wspiera, a jeżeli nie – można zastosować zewnętrzne rozwiązania (np. dostęp do serwera backup tylko przez jump host z MFA). Każda operacja kasowania lub wyłączania kopii powinna wymagać dodatkowego potwierdzenia – czy to kodem MFA, czy fizyczną akcją (tzw. zasada dwóch osób do kluczowych operacji). Microsoft zaleca choćby „out-of-band MFA” przy modyfikacji lub kasowaniu backupów online. Chodzi o to, by zwykłe przejęcie jednej sesji admina nie umożliwiło natychmiastowego zniszczenia kopii.

Podsumowując tę część: traktuj system backupu jak twierdzę w twierdzy. Dostęp do niego – minimalny i ściśle kontrolowany. Uprawnienia – rozdzielone i ograniczone. To, co jest rutyną w produkcyjnych systemach (monitoring, segmentacja, kontrola dostępu), musi być podwójnie restrykcyjne dla backupu. W ten sposób, gdy atakujący opanuje sieć, napotka dodatkową barierę przed dobraniem się do kopii zapasowych.

Niezmienialność i wielowarstwowe zabezpieczenia kopii

Wspomnieliśmy już o immutable backup jako części reguły 3-2-1-1-0, ale warto rozwinąć ten temat. Niezmienialność oznacza, iż backup jest odporny na modyfikacje – ale jak to osiągnąć w praktyce?

• Magazyny WORM i blokada skasowania: Wiele systemów plików i magazynów obiektowych pozwala ustawić politykę typu Write-Once-Read-Many (WORM). Po zapisie backupu ustawiamy go w tryb „retencji nienaruszalnej” na określony okres (np. 30 dni). W tym czasie żaden użytkownik, choćby admin ani system, nie może usunąć ani zmienić danych. To potężne zabezpieczenie – choćby gdy hacker przejmie konto z najwyższymi uprawnieniami, będzie bezsilny wobec takiej kopii. Oczywiście trzeba to rozważnie stosować (by nie zapełnić przestrzeni czy nie zablokować potrzebnych rotacji), ale dla najbardziej krytycznych danych warto mieć chociaż jedną taką kopię WORM. Przykładem publicznym są rozwiązania chmurowe: Amazon S3 ma funkcję Object Lock, Azure Blob ma Immutability Policy – gdzie po włączeniu trybu compliance nie da się skasować obiektu przed upływem zadeklarowanego czasu choćby posiadając klucze root. W świecie on-premises podobny efekt da się osiągnąć np. na macierzach z oprogramowaniem WORM lub przy użyciu bibliotek taśmowych z mechanizmami fizycznej blokady zapisu.
  Kluczowe pytanie brzmi: czy masz co najmniej jedną kopię backupu, której Ty sam nie możesz łatwo skasować? jeżeli tak – to znaczy, iż trudniej będzie to zrobić także ransomware.
• Air-gap fizyczny lub logiczny: Air-gap to dosłownie „przerwa powietrzna” – odłączenie od sieci. Fizyczny air-gap to wspomniane taśmy, dyski wyjmowane itp. – bardzo skuteczne, choć bywa kłopotliwe operacyjnie (trzeba pamiętać o rotacji, składowaniu nośników, wydłuża się czas przywrócenia). Można też zastosować air-gap logiczny, czyli np. backup w chmurze, ale na konto zupełnie odseparowane od głównego tenantu. Np. kopie z lokalnej infrastruktury są wysyłane na zaszyfrowany magazyn w publicznej chmurze, do którego klucze dostępu posiada tylko zespół bezpieczeństwa, a nie same serwery w firmie. Albo użycie różnych platform – np. główne systemy w chmurze A, a backupy replikowane do chmury B, bez łatwego dostępu krzyżowego. Ważne, by istniała przestrzeń, gdzie ransomware się nie dostanie “automatycznie” podczas ataku. Ciekawym mechanizmem są także backupy z opóźnionym dostępem – np. kopia trafia do magazynu, który pojawia się w sieci tylko na czas backupu, a potem jest odmontowywany i niewidoczny (skrypty mogą np. automatycznie odpinać i chować taki wolumin). Z punktu widzenia atakującego, gdy wchodzi do sieci, nie widzi żadnego zasobu backupowego do zaatakowania, bo jest on offline/ukryty.
• Szyfrowanie i kontrola integralności: Choć to nie zabezpieczy przed skasowaniem, warto szyfrować kopie zapasowe (przynajmniej te trzymane off-site czy w chmurze) oraz stosować sumy kontrolne/hasze dla sprawdzania integralności. Szyfrowanie backupu chroni przed tym, iż jeżeli przestępca mimo wszystko ukradnie Twoją kopię (np. wykradnie pliki backupu), nie odczyta ich zawartości bez kluczy. Ważne jednak, by klucze szyfrujące backup trzymać osobno od systemów produkcyjnych – idealnie offline lub w bezpiecznej skrytce. Z kolei sumy kontrolne pomogą wykryć ewentualną cichą korupcję danych – niektóre zaawansowane ransomware mogłyby próbować np. modyfikować backup zamiast kasować (by wprowadzić nieznaczne uszkodzenia). Regularna weryfikacja spójności (większość systemów backup ma funkcję “verify”) pozwoli szybciej wykryć problem i ewentualnie stworzyć nowe, zdrowe kopie.
• Monitorowanie dostępu do backupu: Skonfiguruj system tak, by każda próba usunięcia dużej liczby kopii lub wyłączenia zabezpieczeń generowała alert. Nowoczesne platformy backup potrafią np. wysłać powiadomienie e-mail, gdy ktoś skasuje backupy spoza regularnej polityki. jeżeli Twój soft tego nie wspiera – spróbuj kreatywnie: np. proste skrypty sprawdzające rozmiar folderu z kopiami na NAS – nagły spadek o X% może oznaczać kłopoty. Albo nasłuchiwanie w logach zdarzeń komend delete backup itp. Im szybciej zauważysz, iż ktoś majstruje przy Twoich backupach, tym większa szansa na reakcję zanim będzie za późno.

Ciągłe monitorowanie i reakcja – backup w ekosystemie bezpieczeństwa

Budując odporny backup, pamiętaj, iż to element większej układanki cyberbezpieczeństwa. Backup nie działa w próżni – musi współgrać z detekcją zagrożeń i procedurami. Kilka praktycznych wskazówek:

• Monitoruj logi systemowe pod kątem typowych oznak ataku na backup. Jakie to oznaki? Wspomniane wcześniej zdarzenia typu uruchomienie vssadmin delete shadows, wbadmin delete backup, masowe stop usług backupowych (net stop backup), nieautoryzowane logowania do serwera backupu, zmiany w harmonogramach zadań. W środowiskach Windows warto logować eventy Powershell i włączyć audyt systemów – wiele ransomware używa typowych komend, które zostawiają ślad w Event Log (np. log zdarzeń z informacją o usunięciu cieni woluminu). W środowiskach Linux/Unix monitoruj syslog i historię poleceń root – czy nie pojawia się rm -rf /backup albo podejrzane skrypty.
• Integracja z SOC/SIEM: jeżeli masz zespół bezpieczeństwa lub system SIEM, włącz tam również telemetrię z systemu backupu. Będziesz mógł korelować zdarzenia – np. atak ransomware wykryty na stacji roboczej + jednoczesne skasowanie woluminu backupowego = reaguj natychmiast. Wielu dostawców radzi, by traktować próby wyłączenia backupu jako incydent bezpieczeństwa sam w sobie. W końcu w normalnej pracy nikt raczej nie usuwa hurtowo punktów przywracania ani nie zabija procesów backupu w środku nocy.
• Ćwicz plan odzyskiwania na wypadek ransomware. Symuluj sytuacje, w których Twój główny system jest zaszyfrowany – czy wiesz, jak gwałtownie uruchomić backupy na czystym sprzęcie? Czy masz gdzie odtworzyć dużą maszynę (np. w chmurze lub na zapasowym hypervisorze)? Czy Twój zespół IT ma dostęp offline do instrukcji przywracania (pamiętaj, iż podczas ataku możesz stracić dostęp do dokumentacji, jeżeli była przechowywana tylko cyfrowo w zhakowanej sieci!). Dlatego wydrukuj lub zabezpiecz offline plan awaryjny, listę kontaktów, klucze licencyjne itp. – tak, by one też przetrwały atak. To często pomijany element: firmy skupiają się na danych, a zapominają o dokumentacji i narzędziach do odzyskiwania.
• Szybkość ma znaczenie: jeżeli dojdzie do ataku, liczy się każdy moment, zanim ransomware rozprzestrzeni się do backupów. Wczesne wykrycie ataku może pozwolić np. odpiąć magazyn z kopiami zanim malware się do niego dobierze. Coraz popularniejsze są systemy do wykrywania anomalii w ruchu lub systemach plików – np. wyłapują gwałtowny wzrost operacji szyfrowania plików. Warto rozważyć takie narzędzia i zintegrować je z mechanizmami backupu (np. alarm z systemu EDR może automatycznie zainicjować snapshot awaryjny przed odłączeniem serwera od sieci).

Krótko mówiąc, backup odporny na ransomware to nie tylko sama technologia przechowywania kopii, ale też procedury i monitoring wokół niej. Tylko holistyczne podejście – od prewencji, przez detekcję, aż po reakcję – daje pewność, iż w chwili prawdy backup spełni swoją rolę.

Checklist: backup odporny na ransomware

Poniżej przedstawiamy skondensowaną checklistę najważniejszych elementów, które warto zaimplementować, aby zwiększyć odporność backupu na ataki ransomware. Traktuj ją jako zbiór dobrych praktyk – im więcej odhaczysz, tym spokojniej możesz spać.

• Immutable/Air-gap – Zapewnij co najmniej jedną kopię backupu w trybie niezmienialnym (WORM) lub offline (air-gap), niedostępną bezpośrednio z sieci produkcyjnej. Przykłady: taśmy offline, magazyn obiektowy z blokadą usunięcia, dyski twarde przechowywane off-site. Ta kopia musi przetrwać, choćby gdy inne zostaną zniszczone.
• Separacja uprawnień – Użyj oddzielnych kont do zarządzania systemem backupu, nie będących częścią domeny produkcyjnej. Konta te nie powinny mieć uprawnień administracyjnych w innych systemach. Ogranicz uprawnienia agentów i usług backupu do minimum potrzebnego zakresu (zasada najmniejszych praw).
• MFA i kontrola dostępu – Wymuś uwierzytelnianie wieloskładnikowe (MFA) przy dostępie do konsoli backupu, zmianach konfiguracji oraz usuwaniu backupów. Wprowadź zasadę dwóch osób lub opóźnienie czasowe (timed delete) przy kasowaniu ważnych kopii, jeżeli to możliwe. Każda krytyczna operacja powinna wymagać dodatkowego potwierdzenia.
• Segmentacja sieci – Odseparuj infrastrukturę backupu w osobnej sieci/ VLAN ze ścisłymi regułami dostępu. Zablokuj bezpośrednie połączenia administracyjne z sieci produkcyjnej do serwerów backupu. Dopuść wyłącznie niezbędny ruch (np. agenty -> serwer backup na konkretnych portach). Rozważ jednokierunkowy przepływ danych (pull/push) zamiast pełnego dostępu dwukierunkowego.
• Regularne testy odtwarzania – Zaplanuj okresowe testy przywracania danych z backupu (np. kwartalne próby odtworzenia kluczowych systemów na testowej maszynie). Upewnij się, iż backupy są kompletne, poprawne i iż zespół zna procedurę. Wszelkie błędy wykryte podczas testów natychmiast koryguj. Backup, którego nie testowano, nie daje gwarancji.
• Wydłużona retencja kluczowych danych – Przemyśl wydłużenie okresu przechowywania najważniejszych backupów (jeśli przestrzeń pozwala), tak aby w razie ataku odkrytego po czasie mieć możliwość sięgnięcia do czystszej kopii sprzed infekcji. Ransomware potrafi siedzieć w systemie tygodniami – czy masz kopie sprzed np. 60-90 dni? Im dłuższa retencja krytycznych danych, tym większa szansa odzyskania „zdrowej” wersji.
• Szyfrowanie backupu – Zaszyfruj swoje kopie zapasowe (szczególnie te przechowywane off-site lub w chmurze). W razie ich kradzieży przez atakujących, dane pozostaną nieczytelne bez kluczy. Klucze szyfrujące przechowuj oddzielnie od samego systemu backupu, np. w bezpiecznym managerze haseł lub modułach HSM.
• Monitoring i alerty – Włącz monitorowanie logów backupu oraz systemów pod kątem anomalii: nagłego usuwania kopii, wyłączania usług, komend typu vssadmin delete shadows, zatrzymania usług backup (taskkill/ net stop). Skonfiguruj alerty e-mail/SIEM, abyś natychmiast wiedział o takich zdarzeniach. Czas reakcji ma najważniejsze znaczenie.
• Ochrona dokumentacji i kluczy – Upewnij się, iż posiadasz offline’owe kopie procedur odzyskiwania, konfiguracji oraz kluczy/licencji potrzebnych do odtworzenia środowiska. Trzymaj wydruk planu DR (Disaster Recovery), listy kontaktów do kluczowych osób, dostawców itp. w fizycznej teczce lub zaszyfrowanym pendrive poza siecią firmową. Ransomware nie może uniemożliwić Ci działania poprzez zaszyfrowanie samego planu ratunkowego.
• Zintegrowana strategia bezpieczeństwa – Traktuj backup jako część całości: używaj również narzędzi EDR/XDR do wykrywania ataku na wczesnym etapie, wdróż segmentację i silne zabezpieczenia w całej sieci, szkol pracowników z phishingu. Backup to ostateczna linia obrony, ale nie jedyna – im lepiej zabezpieczone inne warstwy, tym mniejsza szansa, iż ransomware w ogóle dobierze się do kopii.

Każdy powyższy punkt przybliża Cię do sytuacji, w której choćby “Ransomware 2.0” nie zdoła wytrącić Ci wszystkich asów z rękawa. Celem jest osiągnięcie takiego stanu, by atakujący musiał pokonać wiele przeszkód, zanim zaszkodzi backupowi – a to daje czas na reakcję lub sprawia, iż atak stanie się nieopłacalny lub nieskuteczny.

Podsumowanie

Ransomware 2.0 zmieniło reguły gry – atakujący stosują taktyki, które celują prosto w mechanizmy odzyskiwania danych. Tradycyjny backup, pozostawiony bez dodatkowych zabezpieczeń, często kapituluje w starciu z nowoczesnym ransomware. Jednak nie oznacza to, iż kopie zapasowe to przeżytek. Przeciwnie – backup przez cały czas jest absolutnie fundamentalny dla odporności na ataki, ale musi być mądrzej zaprojektowany i chroniony. Wprowadzając koncepcje takie jak immutable backup, air-gap, MFA, separacja uprawnień, segmentacja sieci i regularne testy, możemy przywrócić przewagę obrony. Chodzi o to, by kopie zapasowe znów stały się “ostatnią linią obrony”, która faktycznie wytrzyma uderzenie, a nie pierwszą ofiarą ataku.

Na koniec najważniejsze: nie odkładaj tych zmian na jutro. Ransomware nie czeka – nowe odmiany pojawiają się ciągle, a każdy dzień zwłoki to ryzyko. Wprowadź choćby stopniowo powyższe usprawnienia. Zacznij od małych kroków: przeanalizuj, kto i jak może dostać się do Twoich backupów, zajrzyj do logów (czy nie widać podejrzanych prób dostępu), przetestuj odtworzenie kluczowego systemu na sucho. Odłącz eksperymentalnie kopię zapasową i sprawdź, czy przez cały czas potrafisz ją przywrócić – lepiej wykryć problemy teraz, niż w trakcie prawdziwego ataku.

Pamiętaj: w cyberbezpieczeństwie wygrywa proaktywność. Uczyń swój backup niezłomnym bastionem – tak, aby choćby najnowszy ransomware musiał obejść się smakiem. Masz szansę zbudować środowisko, w którym to przestępca kapituluje, a nie Twoje kopie zapasowe. Działaj już dziś – każdy wzmocniony element backupu to kolejny bat na ransomware. Powodzenia!

Bibliografia