Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Atak ransomware na EuroCert – przyczyny, skutki i rekomendacje dla firm i poszkodowanych

11 luty 2025

Atak ransomware na EuroCert – przyczyny, skutki i rekomendacje dla firm i poszkodowanych
Michał Gembal

Michał Gembal

Zakres wycieku danych

W styczniu 2025 roku EuroCert Sp. z o.o., polska firma zajmująca się wydawaniem certyfikatów kwalifikowanych, stała się celem ataku ransomware. Przestępcy uzyskali dostęp do wrażliwych danych klientów, kontrahentów i pracowników firmy. Zgodnie z oficjalnym oświadczeniem EuroCert oraz informacjami z mediów branżowych, naruszenie obejmowało m.in.:

  • Dane identyfikacyjne (imię, nazwisko, PESEL, data urodzenia)
  • Serię i numer dowodu osobistego
  • Dane kontaktowe (adres e-mail, numer telefonu)
  • Nazwy użytkowników i hasła
  • Wizerunki klientów
  • Umowy oraz inne dokumenty powiązane z działalnością firmy

Cyberprzestępcy opublikowali próbki wykradzionych danych w darknecie, a cała paczka zawiera około 65 GB informacji.

Przyczyny wycieku danych

Na podstawie analizy ataku można wskazać kilka czynników, które w większości przypadków może przyczynić się do jego skuteczności:

  • Brak aktualizacji i podatności systemów — nieaktualizowane oprogramowanie oraz luki w zabezpieczeniach mogą stać się furtką dla cyberprzestępców. Ataki ransomware często wykorzystują niezałatane podatności.
  • Niewystarczające mechanizmy kontroli dostępu — słabe hasła, brak dwuetapowej weryfikacji i niewłaściwe zarządzanie uprawnieniami użytkowników mogą umożliwić atakującym dostęp do infrastruktury IT firmy.
  • Nieodpowiednie procedury bezpieczeństwa - brak wdrożonych polityk bezpieczeństwa, niewystarczające szyfrowanie danych czy nieodpowiednie zarządzanie kopiami zapasowymi zwiększają ryzyko skuteczności ataków.
  • Brak edukacji pracowników - ataki socjotechniczne, takie jak phishing, często stanowią pierwszy etap przejęcia systemów przez cyberprzestępców. Niedostateczna świadomość zagrożeń wśród pracowników ułatwia tego typu działania.

Rekomendacje dla poszkodowanych użytkowników

  • Zmiana haseł - osoby, których dane mogły zostać wykradzione, powinny natychmiast zmienić hasła do wszystkich usług, szczególnie jeśli były one używane w wielu miejscach. Warto korzystać z menedżera haseł do generowania silnych, unikalnych kombinacji i unikać łatwych do odgadnięcia fraz.
  • Aktywacja dwuetapowego uwierzytelniania (MFA) - uwierzytelnianie wieloskładnikowe (MFA) znacznie zwiększa poziom bezpieczeństwa kont, wymagając dodatkowego potwierdzenia logowania, np. kodu SMS lub aplikacji autoryzacyjnej. Nawet jeśli cyberprzestępcy przechwycą hasło, nie będą mogli uzyskać dostępu do konta bez drugiego składnika uwierzytelniania.
  • Monitorowanie kont bankowych i kart płatniczych - poszkodowani powinni regularnie sprawdzać swoje wyciągi bankowe i raporty transakcji w poszukiwaniu podejrzanej aktywności. W razie wykrycia nieautoryzowanych operacji należy natychmiast skontaktować się z bankiem i zastrzec kartę.
  • Zastrzeżenie dokumentów tożsamości - jeśli numer PESEL lub dane dowodu osobistego wyciekły, warto skorzystać z systemu Bezpieczny PESEL i zgłosić zastrzeżenie dokumentów w banku. Uniemożliwi to oszustom wzięcie kredytu lub zawarcie umowy na skradzione dane.
  • Zachowanie ostrożności przed oszustwami - cyberprzestępcy mogą próbować wykorzystywać skradzione dane do przeprowadzania oszustw, takich jak fałszywe telefony od "banków" czy "urzędów". Należy unikać podawania dodatkowych informacji przez telefon lub e-mail i weryfikować autentyczność nadawców wiadomości.
  • Rozważ zamrożenie kredytu - aby zabezpieczyć się przed próbą wyłudzenia kredytu na skradzione dane, warto aktywować usługę zamrożenia zdolności kredytowej w Biurze Informacji Kredytowej (BIK). Dzięki temu banki i instytucje finansowe nie będą mogły udzielić kredytu na Twoje dane bez dodatkowej weryfikacji.
  • Śledzenie dalszych informacji - osoby dotknięte wyciekiem powinny na bieżąco śledzić komunikaty EuroCert, CSIRT NASK oraz UODO w sprawie dalszych działań i możliwych zagrożeń. Jeśli pojawią się nowe informacje o skali wycieku i zaleceniach ochronnych, warto niezwłocznie wdrożyć odpowiednie środki bezpieczeństwa.

Rekomendacje dla firm, aby uniknąć podobnych incydentów

  • Regularne aktualizacje oprogramowania - nieaktualne systemy operacyjne, aplikacje i firmware sprzętowe mogą zawierać podatności, które cyberprzestępcy łatwo wykorzystują do przeprowadzenia ataku. Organizacje powinny wdrożyć politykę natychmiastowego stosowania poprawek bezpieczeństwa (tzw. patch management) oraz regularnie testować skuteczność wdrożonych zabezpieczeń.
  • Wzmocnienie kontroli dostępu - firmy powinny stosować zasadę najmniejszych uprawnień (Least Privilege), co oznacza, że pracownicy powinni mieć dostęp wyłącznie do tych danych i systemów, które są absolutnie niezbędne do wykonywania ich obowiązków. Dodatkowo wdrożenie silnych polityk haseł, wieloskładnikowego uwierzytelniania (MFA) oraz mechanizmów monitorowania dostępu pozwala ograniczyć ryzyko nieautoryzowanego dostępu do kluczowych zasobów.
  • Szyfrowanie wrażliwych danych - wszystkie krytyczne dane powinny być szyfrowane zarówno podczas przechowywania (dane w spoczynku), jak i w trakcie transmisji (dane w ruchu), aby zminimalizować ryzyko ich przejęcia i odczytu przez osoby nieuprawnione. Dodatkowo, firmy powinny wdrożyć mechanizmy kontroli dostępu do kluczy szyfrujących, aby zapobiec ich nieautoryzowanemu użyciu.
  • Regularne audyty bezpieczeństwa - przeprowadzanie cyklicznych testów penetracyjnych oraz audytów bezpieczeństwa IT pozwala zidentyfikować słabe punkty w infrastrukturze organizacji zanim zrobią to cyberprzestępcy. Warto także wdrożyć politykę analizy logów i działań użytkowników, aby wykrywać nietypowe aktywności mogące wskazywać na potencjalne zagrożenia.
  • Backup danych i izolacja kopii zapasowych - regularne tworzenie kopii zapasowych oraz przechowywanie ich w lokalizacjach odizolowanych od głównej sieci (np. w systemach air-gapped) pozwala na szybkie przywrócenie działalności po cyberataku. Firmy powinny stosować zasadę 3-2-1 w backupach (trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą firmy), aby minimalizować ryzyko utraty kluczowych informacji.
  • Monitorowanie i reagowanie na incydenty - wdrożenie systemów do monitorowania i wykrywania zagrożeń (SIEM, EDR, IDS/IPS) pozwala na szybkie identyfikowanie prób ataków i reagowanie na podejrzaną aktywność. Firmy powinny także utworzyć dedykowany zespół ds. reagowania na incydenty (Incident Response Team), który będzie odpowiedzialny za analizę zagrożeń i podejmowanie działań naprawczych.
  • Szkolenia pracowników - pracownicy często stanowią najsłabszy element w systemie zabezpieczeń, dlatego firmy powinny regularnie organizować szkolenia z zakresu cyberbezpieczeństwa, w tym rozpoznawania ataków phishingowych i zasad bezpiecznego przetwarzania danych. Programy edukacyjne powinny obejmować również symulacje ataków, aby zwiększyć świadomość zagrożeń i skuteczność reakcji na incydenty.
Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności