Atak Ransomware Safepay na POL-HUN: Analiza Incydentu i Lekcje dla Polskiego Biznesu

Atak Ransomware Safepay na POL-HUN: Analiza Incydentu i Lekcje dla Polskiego Biznesu

Wigilia 2025 roku przyniosła jednemu z polskich przedsiębiorstw wyjątkowo niechciany prezent. W czasie, gdy większość z nas przygotowywała się do świątecznego odpoczynku, w
systemach informatycznych firmy POL-HUN, znanego producenta i dystrybutora chemii gospodarczej, rozgrywał się cichy dramat. Około godziny 21:23 czasu UTC, 24 grudnia, doszło do odkrycia ataku ransomware. To
niepokojące zdarzenie, w którym atak ransomware grupy Safepay na POL-HUN sparaliżował część operacji firmy, stanowi kolejny dowód na to, że cyberprzestępcy nie znają pojęcia świąt ani przerw w
działalności.

Atak na polską firmę z ponad trzydziestoletnią tradycją, przeprowadzony przez jedną z bardziej aktywnych grup ransomware, jest dzwonkiem alarmowym dla całego polskiego biznesu.
Incydent ten, choć skąpo udokumentowany w publicznie dostępnych źródłach, rzuca światło na typowe metody działania współczesnych cyberprzestępców i obnaża wyzwania, przed jakimi stają dziś zarządy, dyrektorzy IT i
CISO.

W tym artykule dokonamy szczegółowej analizy tego, co wiemy o ataku na POL-HUN, opierając się na dostępnych raportach z branżowych portali. Przyjrzymy się profilowi grupy
Safepay, ich typowym taktykom, technikom i procedurom (TTPs), aby zrozumieć, jak mogło dojść do kompromitacji. Co najważniejsze, przełożymy te informacje na konkretne, praktyczne lekcje i strategie obronne, które
każda organizacja w Polsce powinna wdrożyć, aby nie stać się kolejną ofiarą na liście cyberprzestępców.

Co Wiemy o Incydencie? Fakty z Dostępnych Raportów

Informacje na temat ataku na POL-HUN są fragmentaryczne, co jest typowe dla wczesnych etapów po incydencie, gdy firma-ofiara koncentruje się na zarządzaniu kryzysowym, a nie na
komunikacji publicznej. Jednak dzięki monitorowaniu dark webu i analizie prowadzonej przez platformy zajmujące się threat intelligence, możemy zrekonstruować podstawowy obraz sytuacji.

Ofiara: POL-HUN (polhun.pl)
Założona w 1990 roku firma POL-HUN to ugruntowany gracz na polskim rynku chemii gospodarczej i konsumenckiej. Jak podają źródła takie jak HookPhish
i RedPacketSecurity, jest to przedsiębiorstwo produkcyjno-dystrybucyjne, którego działalność opiera się na rozbudowanej sieci logistycznej i technologicznej.
Atak na taką firmę to nie tylko ryzyko utraty danych, ale również groźba paraliżu produkcji i dystrybucji, co generuje olbrzymie straty finansowe i wizerunkowe.

Agresor: Grupa Ransomware Safepay
Sprawcą ataku jest grupa Safepay, która, według danych zebranych przez Ransomware.live oraz BreachSense,
jest niezwykle aktywnym graczem na scenie cyberprzestępczej. Do momentu ataku na POL-HUN, grupa ta miała na swoim koncie już 403 udokumentowane ofiary na całym świecie. To pokazuje, że nie mamy do czynienia z amatorami,
ale z profesjonalnie zorganizowaną grupą przestępczą, dysponującą skutecznymi narzędziami i powtarzalnymi schematami działania.

Chronologia Zdarzeń
Kluczowe daty i godziny, zrekonstruowane na podstawie dostępnych danych, malują obraz ataku przeprowadzonego w strategicznie wybranym momencie – w okresie świątecznym, gdy czujność personelu IT może być osłabiona.

1. Szacowana data ataku: 24 grudnia 2025 r. (źródło: Ransomware.live)
2. Data naruszenia: 24 grudnia 2025 r., 21:23:30 UTC (źródło: HookPhish)
3. Data odkrycia: 24 grudnia 2025 r., 21:23:43 UTC (źródło: HookPhish, Ransomware.live).
   Co ciekawe, portal BreachSense podaje alternatywną datę odkrycia jako 26 grudnia 2025 r., co może wynikać z różnic w metodologii zbierania danych lub opóźnienia w publicznym ujawnieniu.

Skutki i Dowody Ataku
Grupa Safepay, podobnie jak inne gangi ransomware, stosuje taktykę podwójnego wymuszenia (double extortion): najpierw kradnie dane, a następnie szyfruje systemy ofiary. Jako dowód przejęcia danych, na swojej stronie w sieci
Tor opublikowali zrzut ekranu potwierdzający włamanie. Informacja o wycieku danych z POL-HUN szybko pojawiła się w publicznych kanałach threat intelligence, co potwierdzają raporty
HookPhish i Ransomware.live.

Chociaż szczegóły dotyczące zakresu kompromitacji są ograniczone, platforma Ransomware.live wspomina o jednym skompromitowanym użytkowniku
i jednym punkcie zewnętrznej powierzchni ataku (external attack surface). Należy jednak traktować te dane z ostrożnością – “jeden użytkownik” mógł być jedynie początkowym wektorem infekcji, która następnie rozprzestrzeniła się na całą sieć.

Niestety, na chwilę obecną żadne z publicznych źródeł nie dostarcza informacji na temat konkretnego wektora ataku, wykorzystanych luk w zabezpieczeniach, ani strategii odzyskiwania danych podjętych przez POL-HUN.
Nie wiemy, czy okup został zapłacony, ani jak przebiegał proces przywracania systemów. Ta cisza informacyjna sama w sobie jest ważną częścią tej historii.

Anatomia Ataku: Jak Działa Grupa Safepay?

Skoro brakuje nam szczegółów technicznych dotyczących samego incydentu w POL-HUN, musimy posłużyć się wiedzą o ogólnych metodach działania grupy Safepay. Analiza ich typowych Taktyk, Technik i
Procedur (TTPs), udokumentowana przez portal Ransomware.live, pozwala nam zbudować prawdopodobny scenariusz ataku. Zrozumienie tego łańcucha działań jest
kluczowe dla budowania skutecznej obrony.

Faza 1: Inicjalny Dostęp (Initial Access)

• Technika: Valid Accounts (Prawidłowe Dane Uwierzytelniające)
  Safepay najczęściej uzyskuje pierwszy przyczółek w sieci ofiary poprzez wykorzystanie skradzionych lub słabych danych uwierzytelniających. Mogą one pochodzić z wcześniejszych wycieków danych, ataków phishingowych skierowanych
  w pracowników, lub ataków typu brute-force na niezabezpieczone usługi, takie jak RDP (Remote Desktop Protocol) czy VPN. To fundamentalny punkt – atak często zaczyna się nie od złamania skomplikowanych zabezpieczeń, ale
  od zalogowania się przy użyciu hasła pracownika.

Faza 2: Wykonanie i Utrzymanie Dostępu (Execution & Persistence)

• Techniki: Command and Scripting Interpreter; Windows Management Instrumentation (WMI); Valid Accounts
  Po uzyskaniu dostępu, atakujący muszą uruchomić swoje złośliwe narzędzia. Często wykorzystują do tego wbudowane w system Windows narzędzia, takie jak PowerShell czy WMI. To taktyka znana jako “living-off-the-land”, która
  utrudnia wykrycie, ponieważ działania te mogą wyglądać jak legalne operacje administracyjne. Aby zapewnić sobie stały dostęp, nawet po restarcie systemu, grupa ponownie wykorzystuje przejęte konta lub tworzy nowe, ukryte
  konta administracyjne.

Faza 3: Eskalacja Uprawnień i Unikanie Wykrycia (Privilege Escalation & Defense Evasion)

• Techniki: Disable or Modify Tools (Wyłączanie lub Modyfikacja Narzędzi Bezpieczeństwa)
  Celem atakujących jest zdobycie jak najwyższych uprawnień (np. administratora domeny), co daje im pełną kontrolę nad siecią. Równocześnie aktywnie próbują unikać wykrycia. Kluczową techniką stosowaną przez Safepay jest próba
  wyłączenia lub modyfikacji narzędzi bezpieczeństwa, takich jak programy antywirusowe czy systemy EDR (Endpoint Detection and Response). To wyścig zbrojeń – jeśli systemy ochronne zostaną zdezaktywowane, atakujący mają
  wolną rękę.

Faza 4: Rekonesans i Ruch Boczny (Discovery & Lateral Movement)

• Techniki: Domain Trust Discovery; Remote Services
  Będąc już w sieci, przestępcy przeprowadzają szczegółowy rekonesans. Mapują architekturę sieci, identyfikują kluczowe serwery (kontrolery domeny, serwery plików, serwery z kopiami zapasowymi) i szukają cennych danych. Używają
  techniki Domain Trust Discovery do zrozumienia relacji zaufania w domenie, co ułatwia im przemieszczanie się. Ruch boczny (Lateral Movement), czyli przechodzenie z jednego komputera na drugi,
  odbywa się najczęściej z wykorzystaniem legalnych usług zdalnych (Remote Services), co ponownie utrudnia detekcję.

Faza 5: Gromadzenie i Eksfiltracja Danych (Collection & Exfiltration)

• Techniki: Archive Collected Data; Exfiltration Over Web Service
  Przed zaszyfrowaniem danych, Safepay skrupulatnie je gromadzi. Cenne pliki są pakowane do archiwów (Archive Collected Data), a następnie transferowane na serwery kontrolowane przez grupę
  (Exfiltration Over Web Service). Ten etap jest sercem taktyki podwójnego wymuszenia. Nawet jeśli firma posiada kopie zapasowe i może odtworzyć swoje systemy, przestępcy wciąż mają asa w rękawie –
  groźbę upublicznienia skradzionych, często wrażliwych, danych.

Faza 6: Finałowy Cios (Impact)

• Techniki: Data Encrypted for Impact; Inhibit System Recovery
  Na samym końcu następuje właściwy atak ransomware. Dane na komputerach i serwerach są szyfrowane (Data Encrypted for Impact), co czyni je bezużytecznymi bez klucza deszyfrującego. Co gorsza, zaawansowane
  grupy, takie jak Safepay, aktywnie poszukują i niszczą kopie zapasowe dostępne w sieci (Inhibit System Recovery), aby maksymalnie utrudnić ofierze odtworzenie działalności i zmusić ją do zapłacenia okupu.

Ten schemat działania, choć niepotwierdzony wprost w przypadku POL-HUN, jest wysoce prawdopodobnym scenariuszem. Pokazuje on, że atak ransomware to nie pojedyncze zdarzenie, a wieloetapowa,
starannie zaplanowana operacja wojskowa w cyberprzestrzeni.

Brak Informacji to Też Informacja: Czego Uczy Nas Cisza Wokół Ataku?

Fakt, że publiczne raporty, na których bazujemy (m.in. z HookPhish, BreachSense,
Ransomware.live), nie zawierają szczegółów technicznych ani informacji o reakcji firmy, jest sam w sobie cenną lekcją. Dlaczego firmy milczą po ataku?

1. Trwające Śledztwo: Reakcja na incydent (incident response) to skomplikowany proces. Firma, wraz z zewnętrznymi ekspertami, musi najpierw zabezpieczyć sieć, zrozumieć skalę naruszenia i zidentyfikować
   wektor ataku. Przedwczesne komunikaty mogłyby zaszkodzić dochodzeniu.
2. Kwestie Prawne i Wizerunkowe: Przyznanie się do szczegółów ataku może narazić firmę na roszczenia prawne od klientów i partnerów, a także na dotkliwe straty wizerunkowe. Zarządy często wybierają
   strategię minimalnej komunikacji, aby kontrolować narrację.
3. Negocjacje z Przestępcami: Wiele firm, mimo oficjalnych zaleceń, decyduje się na podjęcie negocjacji z grupą ransomware. Jest to proces niezwykle delikatny, a jego upublicznienie mogłoby zerwać rozmowy.
4. Brak Możliwości Dzielenia się Wiedzą: Niestety, ta cisza ma negatywne konsekwencje dla całego ekosystemu biznesowego. Brak udostępniania wskaźników kompromitacji (Indicators of Compromise – IoCs),
   takich jak adresy IP serwerów C2, hashe złośliwego oprogramowania czy reguły YARA, uniemożliwia innym firmom proaktywne wzmocnienie swojej obrony przed tą samą kampanią ataków.

Dla liderów biznesu i menedżerów IT płynie stąd ważny wniosek: na pomoc z zewnątrz i publiczne ostrzeżenia często jest za późno. Każda organizacja musi budować swoją odporność w oparciu o założenie,
że jest celem, a informacje o bieżących zagrożeniach mogą do niej nie dotrzeć na czas.

Praktyczne Kroki Ochrony: Jak Uniknąć Losu POL-HUN?

Analiza ataku na POL-HUN i metod działania grupy Safepay prowadzi do jednego wniosku: obrona musi być proaktywna, wielowarstwowa i ciągła. Poniżej przedstawiamy kluczowe działania, które każda
firma powinna wdrożyć, aby zminimalizować ryzyko podobnego incydentu.

1. Zabezpieczenie Tożsamości i Dostępu – Filar Obrony
   Skoro głównym wektorem wejścia są skradzione poświadczenia, ochrona tożsamości cyfrowej staje się absolutnym priorytetem.
   • Wdrożenie Uwierzytelniania Wieloskładnikowego (MFA): To najważniejszy i najskuteczniejszy pojedynczy środek zaradczy. MFA powinno być aktywne wszędzie tam, gdzie to możliwe – dla dostępu do VPN,
     poczty e-mail, aplikacji chmurowych i systemów krytycznych.
   • Polityka Silnych Haseł: Wymuszaj stosowanie długich i złożonych haseł, regularnie edukuj pracowników, jak je tworzyć i bezpiecznie przechowywać (np. za pomocą menedżerów haseł).
   • Monitoring Kont Uprzywilejowanych: Konta administracyjne są dla atakujących świętym Graalem. Należy ograniczyć ich liczbę do absolutnego minimum i monitorować każdą ich aktywność.
2. Wzmocnienie Odporności Stacji Roboczych i Serwerów (Endpoint Security)
   Atak ransomware ostatecznie wykonuje się na urządzeniach końcowych. Ich zabezpieczenie jest kluczowe.
   • Nowoczesne Rozwiązania EDR/XDR: Tradycyjny antywirus to za mało. Systemy EDR (Endpoint Detection and Response) i XDR (Extended Detection and Response) monitorują zachowanie procesów w czasie rzeczywistym,
     potrafiąc wykryć i zablokować podejrzane działania charakterystyczne dla ransomware, nawet jeśli sygnatury złośliwego oprogramowania nie są jeszcze znane.
   • Zarządzanie Podatnościami i Aktualizacjami: Regularne skanowanie systemów w poszukiwaniu luk w zabezpieczeniach i natychmiastowe instalowanie poprawek (patching) to podstawa higieny cyfrowej.
3. Segmentacja Sieci i Kontrola Ruchu Bocznego
   Nie pozwól, aby pojedyncze włamanie przerodziło się w katastrofę całej sieci.
   • Zasada Najmniejszych Uprawnień: Użytkownicy i systemy powinni mieć dostęp tylko do tych zasobów, które są im absolutnie niezbędne do pracy.
   • Mikrosegmentacja: Podziel sieć na mniejsze, odizolowane strefy. Nawet jeśli atakujący skompromitują jeden segment (np. sieć stacji roboczych), segmentacja utrudni im dotarcie do krytycznych serwerów czy baz danych.
4. Niezawodna Strategia Kopii Zapasowych i Odtwarzania Danych
   To Twoja ostatnia linia obrony. Jeśli wszystko inne zawiedzie, dobrze wykonane backupy uratują firmę.
   • Reguła 3-2-1: Przechowuj co najmniej trzy kopie danych, na dwóch różnych nośnikach, z czego jedna kopia musi znajdować się poza firmą (offline lub w chmurze) i być niezmienna (immutable).
     To zabezpieczenie przed taktyką niszczenia backupów przez ransomware.
   • Regularne Testowanie Procedur Odtwarzania: Posiadanie kopii zapasowej to jedno, a umiejętność szybkiego i skutecznego odtworzenia z niej systemów to drugie. Regularne testy są absolutnie konieczne.
5. Proaktywne Testowanie Zabezpieczeń
   Nie czekaj, aż atakujący znajdą luki w Twojej obronie. Znajdź je pierwszy.
   • Testy Penetracyjne: Symulują działania hakera próbującego włamać się do sieci z zewnątrz lub z wewnątrz. Pozwalają zidentyfikować i naprawić konkretne podatności techniczne.
   • Operacje Red Team: To zaawansowana forma testów, gdzie zespół ekspertów (Red Team) symuluje całą, wieloetapową kampanię ataków, naśladując TTPs prawdziwych grup, takich jak Safepay. Celem jest nie tylko
     znalezienie luk, ale przetestowanie zdolności całej organizacji do wykrywania, reagowania i neutralizowania zaawansowanego ataku w czasie rzeczywistym.

Jak VIPentest może pomóc?

Atak na POL-HUN to bolesne przypomnienie, że w dzisiejszym krajobrazie zagrożeń żadna firma nie jest bezpieczna. Bierność i nadzieja, że “nas to nie dotyczy”, to najkrótsza droga do katastrofy.
Proaktywna, oparta na rzetelnej wiedzy i ciągłym testowaniu strategia cyberbezpieczeństwa jest jedyną słuszną odpowiedzią.

W VIPentest specjalizujemy się w dostarczaniu usług, które bezpośrednio odpowiadają na zagrożenia pokroju ataków grupy Safepay. Nasze zespoły przeprowadzają zaawansowane testy penetracyjne oraz
symulacje Red Team, które pozwalają zidentyfikować słabe punkty w Państwa obronie, zanim zrobią to przestępcy. Pomagamy w budowaniu solidnych planów reakcji na incydenty i weryfikujemy skuteczność strategii tworzenia kopii zapasowych.

Jeśli analiza tego incydentu skłoniła Państwa do refleksji nad poziomem bezpieczeństwa Waszej organizacji, zapraszamy do rozmowy. Nasz zespół ekspertów pomoże ocenić Państwa aktualną postawę obronną
i zarekomendować kroki, które realnie wzmocnią odporność na ataki ransomware.

Skontaktuj się z nami, aby dowiedzieć się więcej: VIPentest Kontakt.