Ransomware – szpital w Szczecinie i straty liczone w milionach dolarów

Ransomware nie jest wynalazkiem ostatniej dekady. Pierwszy atak miał miejsce ponad 35 lat temu – od tamtej pory zmienia się tylko jego skala. Mechanizm działania cyberprzestępców pozostaje zawsze ten sam: zablokować dane i wymusić zapłatę.

Złośliwe oprogramowanie wymuszające okup ma swoje korzenie w 1989 roku. Jego autorem był dr Joseph Popp, biolog z zamiłowaniem do komputerów, który rozesłał ponad 20 tysięcy dyskietek do uczestników konferencji Światowej Organizacji Zdrowia poświęconej AIDS. Dyskietki zawierały ankietę dotyczącą ryzyka zakażenia wirusem HIV, a po jej uruchomieniu aktywował się wirus szyfrujący dane na komputerze ofiary. Po 90 uruchomieniach komputera wyświetlał się komunikat żądający wysłania 189 dolarów na adres pocztowy Poppa w celu otrzymania klucza deszyfrującego dane. 

Mechanizm działania tego pierwszego ransomware był stosunkowo prosty i opierał się bardziej na zastraszeniu niż na zaawansowanym szyfrowaniu. W tamtym czasie brak internetu i zorganizowanych grup przestępczych ograniczał skalę zagrożenia do niewielkiej grupy użytkowników. Mimo to incydent ten pokazał potencjał wykorzystania technologii komputerowej do wymuszeń finansowych i stał się fundamentem dla późniejszego rozwoju ransomware.

Polska na celowniku 

W ostatnich latach ofiarą ataków ransomware padły także kluczowe polskie firmy i instytucje: 

Lotnicze Pogotowie Ratunkowe (II 2022) - niedostępne systemy kluczowe dla działania pogotowia, jak system przesyłania informacji o prowadzonych interwencjach, strona www i poczta elektroniczna. Hakerzy zażądali okupu w wysokości 390 tysięcy dolarów, czyli około 1,5 mln złotych.

Instytut Centrum Zdrowia Matki Polki w Łodzi (XI 2022) – atak zakłócił normalne funkcjonowanie tej instytucji, opóźniając wydawanie dokumentacji medycznej, wypisywanie pacjentów i szereg innych, niezwykle wrażliwych procedur. 

Urząd Marszałkowski Województwa Mazowieckiego (XII 2025) – zaszyfrowano dostęp do systemu Elektronicznego Zarządzania Dokumentami w urzędzie co doprowadziło do wyłączenia infrastruktury projektowej Węzła Regionalnego, a ponad 300 jednostek samorządu terytorialnego straciło do niej dostęp musząc odłączyć się od sieci. Urząd Marszałkowski stracił również akces do danych osobowych, którymi administrował.

ALAB Laboratoria (XI 2023) — wyciek danych medycznych i osobowych pacjentów.
Po odmowie zapłaty okupu przestępcy publikowali wykradzione dane partiami. 

EuroCert (I 2025) — atak na lidera rynku kwalifikowanych podpisów elektronicznych. 

Wśród poszkodowanych atakami ransomware były również Polskie Koleje Państwowe, Poczta Polska, Miasto Stołeczne Warszawa.

W 2024 roku Polska odnotowała znaczący wzrost liczby ataków ransomware, a CERT Polska zanotował aż 147 incydentów. Wśród tych przypadków:

• 87 dotyczyło przedsiębiorstw,
• 35 osób prywatnych,
• 25 instytucji publicznych.

W 2025 r. Polska znalazła się na 1. miejscu na świecie pod względem wykryć ransomware, odpowiadając za 6% wszystkich zarejestrowanych na świecie incydentów tego typu. 

Najczęstsze rodzaje ataków:

• screen locker – blokuje pulpit, nie szyfruje plików 
• crypto-ransomware – szyfruje pliki użytkownika (najczęstszy) 
• disk-encryptor – szyfruje całe dyski 
• wiper udający ransomware – pozoruje okup, niszczy dane (NotPetya) 
• pure extortion – sama kradzież danych i groźba publikacji

Wsparcie Wojsk Obrony Terytorialnej w działania związane z atakiem ransomware

Szczecin, marzec 2026: W nocy z 7 na 8 marca 2026 r. ofiarą ataku padł Szpital Wojewódzki
w Szczecinie (Arkońska i Zdunowo). Zaszyfrowano część zasobów serwerowych, placówka przeszła na pracę „na papierze", sprawcy zażądali kilku milionów dolarów okupu.

W odpowiedzi skierowano na miejsce Zespół Działań Cyberprzestrzennych Dowództwa WOT.
W okresie 12.03–10.04.2026 r. żołnierze wsparli szpital m.in. w obsłudze ponad 1000 stacji roboczych, ponad 140 resetach haseł i reinstalacjach systemów — co pozwoliło przywrócić sprawność kluczowych systemów.

Pamiętaj: 

Cyberatak nie zaczyna się w chwili pojawienia się żądania okupu. Zaczyna się od jednego kliknięcia, niezałatanej luki albo słabego hasła.

Obserwuj nas, aby dowiedzieć się więcej o cyberbezpieczeństwie i realnie chronić swoje dane.

Jeżeli jesteś zainteresowany cyberbezpieczeństwem i służbą dla Kraju, dołącz do Nas: https://terytorialsi.wp.mil.pl/cyberkomponent