Trzy polskie firmy ofiarami ataków ransomware

W grudniu ub. roku byliśmy świadkami kilku ataków ransomware na polskie podmioty. Wśród nich znajdowały się m.in.:

• Chemirol – gigant rolniczy;
• klinika podologiczna;
• Dom Development.

W styczniu grupa „The Gentleman” wylistowała trzy polskie firmy na swojej liście ofiar, wyznaczając publikację danych na drugą połowę stycznia 2026 roku.

„W święto Trzech Króli na ich blogu pojawiła się informacja o domniemanym trafieniu trzech firm z Polski: Hart Sp. z o.o., Grupa SYSTHERM oraz Wamtechnik. Wspólnym mianownikiem jest to, że wszystkie działają w obszarze specjalistycznej produkcji. Co dziś faktycznie wiadomo o Gentlemen? Nadal niewiele w ujęciu systemowym. Brakuje dobrze opisanych, powtarzalnych śladów włamań, malware, TTP czy używanych narzędzi” – stwierdziło Riffsec na LinkedIn.

Wyciek danych z polskich firm

Publikacja wykradzionych danych zaplanowana była na 17 stycznia w okolicach godziny 11:00. Nie wskazano żadnych żądań okupu ani informacji o ewentualnym zaszyfrowaniu danych.

Niestety, cyberprzestępcy opublikowali przynajmniej część wykradzionych danych ze wszystkich trzech przedsiębiorstw - z racji na ich charakter, pliki nie zostaną szczegółowo opisane w artykule.

Atak ransomware na polskie firmy

Skontaktowaliśmy się z trzema organizacjami, które zostały wylistowane na stronie cyberprzestępców. Odpowiedziały nam dwie z nich.

Spółka Hart potwierdziła wystąpienie ataku ransomware, który „był skierowany w operacyjność firmy”. Organizacja nie stwierdziła wycieku danych (w momencie zadawania pytań nie upubliczniono danych z firmy - przyp. red.), lecz przekazała informację, że doszło do zaszyfrowania danych.

„Wszystkie zaszyfrowane systemy przywróciliśmy z backup’u” - podkreśla Hart.

Wiadomo również, że o sprawie poinformowano UODO, CERT Polska i Policję.

(...) incydent spowodował jedynie chwilowy przestój w okresie świątecznym. O sytuacji zostali poinformowani pracownicy firmy i kontrahenci.
Hart Sp. z o. o.

Wamtechnik przekazało nam informację o komunikacie z 10 stycznia br. Podkreślono w nim m.in. niezwłoczne i zgodne z prawem poinformowanie o ew. zagrożeniach dla praw lub wolności osób fizycznych.

„O istotnych ustaleniach będziemy informować za pośrednictwem naszych oficjalnych kanałów komunikacji” - kwituje zarząd spółki.

Grupa Systherm dotychczas nie odniosła się do naszych pytań. Odpowiedzi niezwłocznie zamieścimy w artykule.

Co dalej?

Atak ransomware polega zazwyczaj na zaszyfrowaniu i kradzieży danych organizacji, wraz z groźbą opublikowania ich w sytuacji, gdy nie zostanie opłacony okup w kryptowalucie.

Osobom, które współpracowały z ww. firmami zalecamy kontakt pod kątem ustalenia, czy naruszono ochronę ich danych. Dotychczas żadna z firm nie wydała publicznego komunikatu w tej sprawie.

Jeżeli podejrzewamy, że nasze dane wyciekły, warto rozważyć m.in.:

• zachowanie wzmożonej ostrożności wobec potencjalnych prób kontaktu – nawet w sytuacji, gdzie ktoś podaje nasze dane osobowe;
• wykupienie alertów związanych z nieuprawnionym wykorzystaniem danych (np. BIK lub ChrońPESEL);
• zgłaszanie wszelkich podejrzanych aktywności do odpowiednich organów (np. Policji.

Niezależnie od tego, czy nasze dane wyciekły, warto wdrożyć poniższe rekomendacje w życie:

• zastrzeżenie numeru PESEL;
• stosowanie dwuetapowego uwierzytelniania;
• używanie unikalnych i silnych haseł.

Ransomware w Polsce

W 2025 roku byliśmy świadkami kilku dużych ataków ransomware. Na celowniku znalazły się m.in.:

• Eurocert (styczeń);
• Suder&Suder (marzec);
• Powiatowy Urząd Pracy w Żorach (kwiecień);
• SMYK (kwiecień);
• Marma (sierpień).

Ofiarami cyberprzestępców były również m.in. polskie placówki medyczne i inne podmioty publiczne.