Ransomware as a Service

Jak cyberprzestępcy stworzyli Netflix'a przestępczości

22 miliony dolarów: Kiedy szpital płaci hakerowi

To było zwyczajne piątkowe popołudnie w lutym 2024 roku. W siedzibie Change Healthcare – giganta zajmującego się przetwarzaniem płatności dla około 40 procent systemów opieki zdrowotnej w Stanach Zjednoczonych – coś poszło nie tak. Hakerzy właśnie wyłączyli wszystko. Systemy szpitali, klinik, aptek – wszystko stało w miejscu.

Pacjenci czekali w poczekalni bez możliwości rejestracji. Lekarze nie mogli dostępu do historii medycznej. Apteki nie mogły realizować recept. To była katastrofa.

Pięć dni później, na komputerach kierownictwa pojawił się komunikat: mają 22 miliony dolarów na konto, albo wrażliwe dane będą udostępnione publicznie. Dane 6 terabajtów – numery PESEL, dokumentacja medyczna, informacje ubezpieczeniowe. W jednym ataku, grupa ALPHV/BlackCat zarabiała tyle, ile przeciętna software'owa startupowca zarabia w... pięć lat.

Change Healthcare zapłaciła. 22 miliony dolarów w Bitcoin.

Ale ta historia nie byłaby możliwa bez jednej rzeczy: modelu Ransomware-as-a-Service – systemu, który zamiast hakowania być elitarną umiejętnością, uczynił go dostępnym dla każdego, kto ma kilkaset dolarów i brak moralności.

Jak powstał "Netflix przestępczości"

Aby zrozumieć RaaS, trzeba cofnąć się do czasów, gdy ransomware'y były jeszcze stosunkowo proste.

W bardzo upraszczeniu: ransomware to program, który szyfruje wszystkie pliki na komputerze ofiary. Haker wtedy mówi: "Zapłać mi pieniądze, a dam Ci klucz do odszyfrowania". Jest to prosta, ale brutalna forma szantażu cyfrowego.

Problem z tą metodą? Trzeba być zaawansowanym technikiem, aby napisać dobry ransomware. Trzeba wiedzieć, jak infiltrować sieci korporacyjne. Trzeba wiedzieć, jak przenosić dane bez zostawienia śladów. Trzeba wiedzieć, jak wylegitymizować otrzymane pieniądze bez aresztowania.

Ale w około 2015-2020 roku coś się zmieniło. Liderzy cyberprzestępczości – osoby z naprawdę zaawansowanymi umiejętnościami – zdali sobie sprawę, że mogą zarobić więcej pieniędzy, jeśli przestaną atakować sami, a zamiast tego wynajmą innych do robienia brudnej pracy.

Pomysł był prosty: stworzą gotowy ransomware, przetestowany i działający, a potem wynajmą go innym cyberprzestępcom (zvyanym "afiliami"). Afiliaci będą wykonywać ataki, a developer będzie dostawać procent z okupu. Zazwyczaj 15-30 procent.

Dla afiliata to była gra. Nie musiał znać technicznych szczegółów. Nie musiał pisać kodu. Miał gotowe narzędzie, instrukcje, i czasami nawet wsparcie techniczne. Wszystko, co musiał robić, to znaleźć ofiarę, zainfekować ją ransomware'em, i czekać na pieniądze.

To był zwrot w branży cyberprzestępczości.

W 2024 roku, według raportu Mandiant, średni przychód z jednego ataku ransomware'u wyniósł 5,13 miliona dolarów. A jest ich tysięcy rocznie.

Jak wygląda "biznes"? Usługi hakerskie cennik

Myślimy o hakerach jak o samotnych wilkach, pracujących w piwnicy przy mlecznej. Rzeczywistość jest daleko bardziej profesjonalna – i przerażająca.

Grupa cyberprzestępczości, która oferuje usługi hakerskie, to jest praktycznie startup zamiast firmy. Ma strukturę organizacyjną, procesy, cennik, i nawet zespół wsparcia klienta.

Oto jak to wygląda:

Rynek czarny i jego oferty

Na tzw. "dark web" – utajnionej części internetu dostępnej tylko specjalnymi przeglądarkami – istnieją marketplace'y, które wyglądają jak... Amazon. Naprawdę. Są oceny, komentarze, wiele opcji do wyboru.

Na tych marketplace'ach, hakerzy do wynajęcia oferują swoje umiejętności. Możesz znaleźć:

Ransomware-as-a-Service (RaaS) – gotowe pakiety ransomware'u
Malware-as-a-Service (MaaS) – trojany, wirusy
Phishing-as-a-Service (PhaaS) – gotowe zestawy do kampanii phishingowych
DDoS-as-a-Service – ataki na serwery
Account hijacking – włamanie na konkretne konta

Każda usługa ma swoją cenę.

Konkretne ceny (na podstawie badań Kaspersky'ego)

DDoS ataki (najprostsze):

5-25 dolarów na godzinę ataku
Podstawowa intensywność
Czasami nawet darmowe (jako narzędzie marketingowe dla większych usług)

Phishing-as-a-Service:

200-500 dolarów za kampanię
Obejmuje szablony emaili, hosting stron phishingowych, analitykę

Malware-as-a-Service:

300-2000 dolarów za gotowy kod
Wsparcie techniczne czasami включено

Ransomware-as-a-Service (najdroższe):

Wstępna opłata: 1000-5000 dolarów
Developer bierze 15-30% z każdego ocupu
Najlepsze grupy: 10-20% (bo mają reputację)
Premium opcje (szyfrowanie ze zmiennym kluczem, wsparcie, etc.): 10 000+ dolarów

Struktura biznesowa: Jak działają "hakerzy do wynajęcia"

Jeśli myślisz, że grupa cyberprzestępczości to jest kilka osób, która się spotyka w kawiarni i planuje ataki – myślisz źle.

Duże grupy RaaS mają:

1. Developers – osoby piszące kod, testujące ransomware'y. Pracują jak normalni programiści (z tą różnicą, że piszą złośliwy kod). Zarobki: 5000-20 000 dolarów miesięcznie.

2. Afiliaci – osoby wykonujące rzeczywiste ataki. Penetrują sieci, szukają luk, instalują ransomware'y. Zarobki: 15-30% z okupu (czyli potencjalnie miliony, jeśli trafią w bogatego klienta). Dla najpopularniejszych afiliów: 50 000-100 000 dolarów miesięcznie w postaci bonusów.

3. Operacyjne – osoby zajmujące się negocjacją okupu, przechowywaniem danych, komunikacją z ofiarami. Zarobki: 2000-10 000 dolarów miesięcznie.

4. Wsparcie techniczne – osoby pomagające afiliom, jeśli coś pójdzie nie tak. Zarobki: 1500-5000 dolarów miesięcznie.

5. Administratorzy infrastruktury – osoby zarządzające serwerami, bazami danych, bezpieczeństwem grupy. Zarobki: 2000-8000 dolarów miesięcznie.

To nie jest oszacowanie. To są rzeczywiste oferty pracy, które naukowcy znaleźli na forach darknetu. Kaspersky opublikował raport, w którym cyberprzestępcy rekrutowali otwarcie, oferując pensje, bonusy za udane misje, a nawet urlopy.

Jedna oferta wymieniała pensję roczną 1,2 miliona dolarów dla najlepszego developera.

Dlaczego model RaaS był tak rewolucyjny?

Przed RaaS:

Trzeba było znać technikę
Trzeba było mieć zasoby (serwery, infrastruktura)
Trzeba było indywidualnie negocjować z każdą ofiarą
Ryzyko: każdy indywidualny atak to potencjalne aresztowanie

Po RaaS:

Nie trzeba znać techniki (kupujesz gotowe narzędzie)
Infrastruktura jest już przygotowana
Developer obsługuje negocjację
Ryzyko jest rozproszone (developer bierze część odpowiedzialności)

To było równoznaczne z demokratyzacją przestępczości.

Przed RaaS, atak ransomware'u wymagał grupy zaawansowanych hakerów. Po RaaS, każdy, kto mógł wynająć hakera (lub kupić dostęp do narzędzia), mógł atakować Fortune 500 firmy.

Liczby to pokazują: W 2020 roku było około 50 nazwanych grup ransomware'u. W 2024 roku? 124 grupy.

Qilin: Nowy王 RaaS

Jeśli chcemy zrozumieć obecny stan rzeczy, trzeba mówić o Qilinie.

Qilin (prawdopodobnie rebrand grupy Agenda) pojawił się w 2024 roku i szybko stał się dominujący. Liczby są zatrważające:

2024: 154 ofiare
2025: 1044 ofiary

To wzrost o 578 procent w jeden rok.

Dla porównania, LockBit – poprzednio lidera – przeprowadził około 7000 ataków w ciągu 1,5 roku. Qilin dorównał liczbie LockBita-u na szczycie w zaledwie cztery-pięć miesięcy.

Dlaczego Qilin rośnie tak szybko?

Infrastruktura: Wynajmuje sieć afiliów (setki osób) z różnymi specjalizacjami
Specjalizacja: Niektórzy afiliaci specjalizują się w szpitalach, inni w edukacji, inni w produkcji
Automatyzacja: Używa większej liczby zautomatyzowanych narzędzi do skanowania luk
Szybkość: Szybciej niż konkurencja przechodzi do fazy negocjacji

Głównym celem Qilina są szpitale i sektor opieki zdrowotnej. W samym 2025 roku przeprowadził więcej ataków na szpitale niż LockBit na szczycie. Każdy szpital, który pada ofiarą, ma wybór: albo zapłacić kilkaset tysięcy do kilku milionów dolarów, albo pozwolić pacjentom umierać bez dostępu do systemów medycznych.

To jest moralna gra, którą Qilin w pełni rozumie i wykorzystuje.

Jak "wynajmij hakera" zmienia krajobraz zagrożeń

Model RaaS zmienił krajobraz cyberataków w fundamentalny sposób.

Zanim RaaS:

Ataki były rzadkie (wymagały zaawansowanego umiejętności)
Większość ataków była skierowana na duże korporacje (bo tam jest pieniądze)
Zespoły IT mogły być stosunkowo małe (było mniej zagrożeń)

Po RaaS:

Ataki są wszędobylskie (każdy jest zagrożony)
Małe firmy są tym samym celem co duże (bo są łatwiejsze)
Zespoły IT wymagają rozbudowanej infrastruktury ochrony

W 2025 roku, ponad dwie trzecie ataków ransomware'u jest skierowane na małe i średnie przedsiębiorstwa (SMB). Dlaczego? Bo SMB-y mają mniej zasobów, często mniej zaawansowane bezpieczeństwo, ale są zmuszone zapłacić, bo ich działalność zależy od systemów IT.

Średni koszt odzyskania się z ataku ransomware'u dla małej firmy? 120 000 do 1,24 miliona dolarów. A to nie tylko okup – to koszt przywrócenia systemów, dni bez pracy, utrata reputacji.

Zagrożenia dla Polski (i Europy)

Może myślisz, że to jest problem tylko dla Ameryki. To byłoby naiwne.

Polska – jak cała Europa – jest w celowiku cyberprzestępców. Oto dlaczego:

Szpitale: Polska ma wiele szpitali, które wciąż nie mają zaawansowanego bezpieczeństwa. Qilin już atakował europejskie szpitale.
Sektor publiczny: Urzędy, municipalnego, szkoły – wszystko to jest podatne na ataki i potrzebuje dużych pieniędzy do odzyskania się.
Producenci: Polski sektor produkcji jest dużą gałęzią gospodarki. Ransomware'y mają szczególne zainteresowanie fabrykach.
Język: Atakujący mogą wynająć tłumaczy, aby negocjować z polskimi firmami w języku.

To nie jest teoretyczne. To już się dzieje.

Jak się chronić? Praktyczne kroki

Jeśli pracujesz w firmie, wymagaj od kierownictwa:

1. Dwuetapową autentykację (MFA)

Szczególnie dla IT, administratorów, kierownictwa
System FIDO2/WebAuthn jest najlepszy
SMS jest ostateczność, ale nie norma
Włączenie MFA zmniejsza ryzyko hakowania o 99 procent

2. Backup (offline)

Przechowuj kopie zapasowe danych poza siecią
Testuj regularne przywracanie
Jeśli backup jest w sieci, może być też zaszyfrowany

3. Podsegmentacja sieci

Krytyczne systemy powinny być oddzielone od reszty
Jeśli haker wejdzie do jednej części, nie powinien mieć dostępu do wszystkiego

4. Edukacja pracowników

Phishing to wciąż pierwszy wektor ataku
Pracownicy muszą znać czerwone flagi (podejrzane emaile, linki, etc.)
Regularne szkolenia powinny być obowiązkowe

5. Patch Management

32 procent ataków ransomware'u wykorzystuje znane (ale nieopatchowane) luki w zabezpieczeniach
Aktualizacje powinny być automatyczne

6. Nie płacić okupu

FBI i CISA zalecają nie płacić
Płacenie finansuje kolejne ataki
Nie gwarantuje odzyskania danych

Przyszłość: Co nas czeka?

Trend jest wyraźny: RaaS będzie rosnąć.

Organizmy ścigania robiły postępy (FBI zamknęło LockBit, Hive, BlackCat), ale nowe grupy powstają co miesiąc. Qilin już zastąpił LockBit jako lider. Za rok? Będzie inny lider.

Przyszłość to będzie:

Sztuczna inteligencja w atakach – AI będzie używane do tworzenia bardziej przekonujących phishingów i deepfake'ów
Triple extortion – nie tylko szyfrowanie, ale też kradzież danych, DDoS, groźby pracownikom
Ataki na łańcuch dostaw – zamiast atakować wielką firmę, atakujesz jej dostawcę
Jeszcze większa fragmentacja – zamiast jednego giganta, będzie setki mniejszych grup, każda specjalizująca się w innym sektorze

W ciągu roku, hakerzy do wynajęcia staną się jeszcze bardziej przystępni, bardziej zaawansowani, i bardziej dochodowi.

Dlaczego RaaS jest przełomowy

Ransomware-as-a-Service zmienił cyberprzestępczość z elitarnej umiejętności w dostępny biznes.

Zamiast potrzebować zespołu zaawansowanych hakerów, teraz każdy z kilkaset dolarów i motywacją może wynająć hakera, wynająć gotowe narzędzie, i atakować firmy warte miliony.

Hakerów do wynajęcia jest teraz setki. Grup RaaS jest 124. Afiliaci liczą się w tysiącach.

Change Healthcare zapłacił 22 miliony dolarów. To była jedna z największych uiszczonych kwot, ale daleko nie jedyna. Sektor opieki zdrowotnej płaci miliardy rocznie.

A to dopiero początek.

Jedyną obroną jest złożona, wielowarstwowa strategia bezpieczeństwa, edukacja pracowników, i regularne aktualizacje systemów. Nie wystarczy jeden firewall. Trzeba myśleć jak haker – bo hacker już myśli jak biznesmen.

Pytanie nie jest "czy jesteśmy zagrożeni?". Pytanie jest "kiedy nas zaatakują?".

I jak się do tego przygotujemy.

Page updated

Google Sites

Report abuse