Trzy polskie firmy ofiarami ataków ransomware

W grudniu ub. roku byliśmy świadkami kilku ataków ransomware na polskie podmioty. Wśród nich znajdowały się m.in.:

• Chemirol – gigant rolniczy;
• klinika podologiczna;
• Dom Development.

W styczniu grupa „The Gentleman” wylistowała trzy polskie firmy na swojej liście ofiar, wyznaczając publikację danych na drugą połowę stycznia 2026 roku.

„W święto Trzech Króli na ich blogu pojawiła się informacja o domniemanym trafieniu trzech firm z Polski: Hart Sp. z o.o., Grupa SYSTHERM oraz Wamtechnik. Wspólnym mianownikiem jest to, że wszystkie działają w obszarze specjalistycznej produkcji. Co dziś faktycznie wiadomo o Gentlemen? Nadal niewiele w ujęciu systemowym. Brakuje dobrze opisanych, powtarzalnych śladów włamań, malware, TTP czy używanych narzędzi” – stwierdziło Riffsec na LinkedIn.

Wyciek danych z polskich firm

Publikacja wykradzionych danych zaplanowana była na 17 stycznia w okolicach godziny 11:00. Nie wskazano żadnych żądań okupu ani informacji o ewentualnym zaszyfrowaniu danych.

Niestety, cyberprzestępcy opublikowali przynajmniej część wykradzionych danych ze wszystkich trzech przedsiębiorstw - z racji na ich charakter, pliki nie zostaną szczegółowo opisane w artykule.

Atak ransomware na polskie firmy

Skontaktowaliśmy się z trzema organizacjami, które zostały wylistowane na stronie cyberprzestępców. Odpowiedziały nam wszystkie z nich.

Spółka Hart potwierdziła wystąpienie ataku ransomware, który „był skierowany w operacyjność firmy”. Organizacja nie stwierdziła wycieku danych (w momencie zadawania pytań nie upubliczniono danych z firmy - przyp. red.), lecz przekazała informację, że doszło do zaszyfrowania danych.

„Wszystkie zaszyfrowane systemy przywróciliśmy z backup’u” - podkreśla Hart.

Wiadomo również, że o sprawie poinformowano UODO, CERT Polska i Policję.

(...) incydent spowodował jedynie chwilowy przestój w okresie świątecznym. O sytuacji zostali poinformowani pracownicy firmy i kontrahenci.
Hart Sp. z o. o.

Wamtechnik przekazało nam informację o komunikacie z 10 stycznia br. Podkreślono w nim m.in. niezwłoczne i zgodne z prawem poinformowanie o ew. zagrożeniach dla praw lub wolności osób fizycznych.

„O istotnych ustaleniach będziemy informować za pośrednictwem naszych oficjalnych kanałów komunikacji” - kwituje zarząd spółki.

Grupa Systherm potwierdziła wystąpienie ataku ransomware pod koniec 2025 roku. Spółka potwierdziła również wyciek danych, który miał obejmować ok. 2% plików przechowywanych na dysku sieciowym (ok. 30GB).

”Dane zostały zaszyfrowane, ale szybko je odzyskaliśmy dzięki kopii zapasowej. Wobec szybkiego odzyskania pełnego dostępu do danych nie otrzymaliśmy żadnego żądania okupu” - poinformowało nas przedsiębiorstwo, podkreślając, że o sprawie zawiadomiono UODO i CERT Polska. ”(…) sukcesywnie wysyłamy informacje indywidualnie do osób, których dane znajdowały się na dysku” - przekazała nam firma, podkreślając, że na stronie internetowej znajduje się komunikat dotyczący incydentu.

Sprostowanie informacji dotyczącej Grupy Systherm

W pierwotnej wersji artykułu znalazła się informacja, że Grupa Systherm nie odpowiedziała na nasze pytania do momentu publikacji artykułu. Stwierdzenie nie było zgodne ze stanem faktycznym - 20 stycznia (dzień przed publikacją artykułu) firma nadesłała odpowiedzi, z którymi nie zapoznano się wobec automatycznego zaklasyfikowania ich jako spam przez skrzynkę mailową.

Przepraszamy Grupę Systherm oraz zainteresowane osoby za zaistniałą sytuację.

Co dalej?

Atak ransomware polega zazwyczaj na zaszyfrowaniu i kradzieży danych organizacji, wraz z groźbą opublikowania ich w sytuacji, gdy nie zostanie opłacony okup w kryptowalucie.

Osobom, które współpracowały z ww. firmami zalecamy kontakt pod kątem ustalenia, czy naruszono ochronę ich danych. Dotychczas żadna z firm nie wydała publicznego komunikatu w tej sprawie.

Jeżeli podejrzewamy, że nasze dane wyciekły, warto rozważyć m.in.:

• zachowanie wzmożonej ostrożności wobec potencjalnych prób kontaktu – nawet w sytuacji, gdzie ktoś podaje nasze dane osobowe;
• wykupienie usług związanych z ochroną tożsamości (np. oferowanych przez BIK czy ChrońPESEL)
• zgłaszanie wszelkich podejrzanych aktywności do odpowiednich organów (np. Policji.

Niezależnie od tego, czy nasze dane wyciekły, warto wdrożyć poniższe rekomendacje w życie:

• zastrzeżenie numeru PESEL;
• stosowanie dwuetapowego uwierzytelniania;
• używanie unikalnych i silnych haseł.

Ransomware w Polsce

W 2025 roku byliśmy świadkami kilku dużych ataków ransomware. Na celowniku znalazły się m.in.:

• Eurocert (styczeń);
• Suder&Suder (marzec);
• Powiatowy Urząd Pracy w Żorach (kwiecień);
• SMYK (kwiecień);
• Marma (sierpień).

Ofiarami cyberprzestępców były również m.in. polskie placówki medyczne i inne podmioty publiczne.