
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Tożsamość stała się jednym z najważniejszych obszarów cyberbezpieczeństwa. Coraz więcej kampanii ransomware nie zaczyna się dziś od wykorzystania podatności w oprogramowaniu, ale od przejęcia legalnych danych uwierzytelniających i nadużycia prawidłowych sesji użytkowników. W praktyce oznacza to zmianę modelu ryzyka: obrona nie może już opierać się wyłącznie na łatkach, firewallach i ochronie punktów końcowych, lecz musi obejmować także konta, metody logowania oraz całą infrastrukturę IAM.
Dla organizacji jest to istotny sygnał ostrzegawczy. Jeżeli napastnik loguje się poprawnym loginem i hasłem, jego aktywność może początkowo wyglądać jak zwykłe działanie pracownika, administratora lub konta technicznego. Taki scenariusz utrudnia wykrycie incydentu i daje przestępcom więcej czasu na rekonesans, eskalację uprawnień i przygotowanie ataku szyfrującego.
W skrócie
Analizy incydentów ransomware z 2026 roku wskazują, że najczęstszym wektorem wejścia są skompromitowane loginy oraz ataki oparte na tożsamości. Według danych przywoływanych w raportach Sophos, 79% badanych przypadków ransomware można powiązać z początkowym dostępem uzyskanym przez przejęte tożsamości i legalne dane logowania.
Wśród najważniejszych źródeł dostępu znalazły się:
- złośliwe wiadomości e-mail,
- phishing,
- ataki brute force,
- kradzież poświadczeń i tokenów sesyjnych.
Jednocześnie udział ataków rozpoczynających się od wykorzystania znanych podatności spadł względem poprzedniego roku. To wyraźnie pokazuje, że cyberprzestępcy coraz częściej wybierają prostsze, szybsze i trudniejsze do wykrycia ścieżki wejścia.
Kontekst / historia
Przez lata dominującym sposobem rozpoczęcia ataku ransomware było wykorzystanie niezałatanych luk w publicznie dostępnych usługach i urządzeniach brzegowych. Napastnicy skanowali internet w poszukiwaniu podatnych serwerów VPN, firewalli, systemów pocztowych, bram dostępowych i usług zdalnego pulpitu, a następnie budowali przyczółek w środowisku ofiary.
W 2026 roku ten obraz wyraźnie się zmienia. Zamiast inwestować zasoby w tworzenie lub kupowanie exploitów, operatorzy ransomware coraz częściej sięgają po skradzione hasła, przejęte sesje, tokeny uwierzytelniające oraz słabo zabezpieczone konta. Z ich perspektywy jest to podejście bardziej efektywne: legalne konto pozwala ominąć część tradycyjnych mechanizmów detekcji i ułatwia poruszanie się po środowisku bez wzbudzania natychmiastowych podejrzeń.
Na tę zmianę wpływa kilka czynników jednocześnie. Rosnąca liczba wycieków poświadczeń, aktywność infostealerów, ponowne używanie tych samych haseł przez użytkowników, coraz bardziej wiarygodne kampanie phishingowe oraz niedojrzałe procesy zarządzania tożsamością sprawiają, że atak oparty na przejętym loginie stał się dla przestępców wyjątkowo atrakcyjny.
Analiza techniczna
Z technicznego punktu widzenia przejęty login daje napastnikowi przewagę już na starcie. Umożliwia wejście do środowiska przez legalny kanał dostępu, bez konieczności uruchamiania exploita na poziomie systemu lub aplikacji. Jeśli konto ma uprawnienia do VPN, RDP, usług SaaS, poczty, paneli administracyjnych albo urządzeń sieciowych, atakujący może stosunkowo szybko uzyskać trwały i dyskretny dostęp.
W opisywanych analizach złośliwe e-maile odpowiadały za 26% początkowych punktów wejścia w incydentach ransomware, phishing za 24%, a brute force za 23%. W tym samym czasie udział ataków rozpoczynających się od wykorzystania znanych podatności spadł z 32% w 2025 roku do 18% w 2026 roku. Dla zespołów SOC i administratorów to ważna wskazówka: patch management pozostaje krytyczny, ale nie jest już jedynym ani głównym polem walki.
Typowy łańcuch ataku opartego na tożsamości może wyglądać następująco:
- pozyskanie poświadczeń przez phishing, infostealera, reuse haseł lub brute force,
- logowanie do usługi zdalnej, aplikacji webowej, VPN lub systemu administracyjnego,
- rekonesans środowiska i identyfikacja kont uprzywilejowanych, backupów oraz kluczowych zasobów,
- eskalacja uprawnień i ruch boczny w sieci,
- eksfiltracja danych, wyłączenie zabezpieczeń i wdrożenie ransomware.
Co ważne, problem nie dotyczy wyłącznie zwykłych kont użytkowników. Coraz większe znaczenie mają także konta serwisowe, tożsamości maszynowe, integracje API, sekrety aplikacyjne oraz inne nieludzkie tożsamości, które często pozostają poza standardowym monitoringiem bezpieczeństwa.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją tego trendu jest obniżenie progu wejścia dla atakujących. Kradzież lub zakup poprawnych danych logowania bywa łatwiejszy, tańszy i mniej ryzykowny niż przygotowanie skutecznego exploita. Dla obrońców oznacza to wzrost liczby incydentów, które formalnie wykorzystują poprawną autoryzację i nie łamią klasycznych reguł dostępu.
Ryzyko operacyjne obejmuje kilka kluczowych obszarów:
- przejęcie dostępu do krytycznych systemów bez klasycznych sygnałów alarmowych,
- łatwiejszy ruch boczny w środowiskach z nadmiernymi uprawnieniami,
- omijanie części mechanizmów bezpieczeństwa opartych na zaufaniu do zalogowanego użytkownika,
- większą skuteczność ataków na środowiska hybrydowe i rozproszone,
- wyższe prawdopodobieństwo eksfiltracji danych przed szyfrowaniem.
Dodatkowym problemem jest opóźnione wykrywanie incydentów. Jeżeli logowanie odbywa się z użyciem poprawnych poświadczeń lub przejętej sesji, organizacja potrzebuje bardziej zaawansowanej analizy behawioralnej, korelacji zdarzeń i oceny kontekstu ryzyka, aby odróżnić legalną aktywność od działań napastnika.
Rekomendacje
W obliczu tego trendu organizacje powinny rozszerzyć podejście do ochrony przed ransomware o silny komponent identity security. Ochrona tożsamości musi stać się równorzędna wobec ochrony systemów, danych i sieci.
- Wymuszenie MFA na wszystkich punktach dostępu – szczególnie dla VPN, poczty, paneli administracyjnych, RDP, usług chmurowych i kont uprzywilejowanych. Najlepiej stosować metody odporne na phishing.
- Wdrożenie ITDR i monitoringu tożsamości – detekcja powinna obejmować nietypowe logowania, nadużycia kont uprzywilejowanych, kradzież tokenów oraz anomalie sesyjne.
- Regularne audyty kont ludzkich i nieludzkich – konta serwisowe, integracje, API i sekrety aplikacyjne muszą być objęte takim samym nadzorem jak konta pracowników.
- Ograniczenie powierzchni zdalnego dostępu – warto przeglądać ekspozycję VPN, RDP, firewalli i paneli administracyjnych oraz stosować zasadę najmniejszych uprawnień.
- Wzmocnienie polityki haseł i blokad logowania – konieczne są limity prób logowania, wykrywanie password sprayingu i eliminacja słabych lub wcześniej skompromitowanych haseł.
- Szkolenia antyphishingowe – użytkownicy nadal pozostają jednym z głównych celów, a kampanie socjotechniczne stale rosną pod względem jakości.
- Zabezpieczenie backupów i planów odtworzeniowych – odseparowane kopie zapasowe i regularne testy odtworzeniowe ograniczają wpływ skutecznego ataku.
- Korelacja telemetrii IAM, EDR, SIEM i firewalli – tylko pełny obraz zdarzeń pozwala wykryć cały łańcuch ataku przed etapem szyfrowania.
Podsumowanie
Ransomware w 2026 roku coraz częściej zaczyna się od legalnie wyglądającego logowania, a nie od spektakularnego wykorzystania luki. To fundamentalna zmiana, która wymusza przesunięcie uwagi z samego patch managementu na ochronę tożsamości, monitoring dostępu i analizę zachowań użytkowników.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: konto użytkownika, konto administratora i konto techniczne są dziś równie ważnym zasobem do ochrony jak serwer, stacja robocza czy aplikacja. Organizacje, które potraktują tożsamość jako podstawową warstwę bezpieczeństwa, będą znacznie lepiej przygotowane na nową falę ataków ransomware.
Źródła
- Compromised Logins Surge as the Most Common Entry Point for Ransomware Attacks
- Sophos Active Adversary Report 2026: Identity attacks dominate as threat groups proliferate
- Nowhere, man: The 2026 Active Adversary Report
- 71% of Organizations Suffered At Least One Identity Breach in the Past Year, Sophos Research Finds
- Researchers Track 2.9 Billion Compromised Credentials