W Polsce przybywa cyberataków, które uderzają w szpitale i inne placówki medyczne. 23 marca 2026 r. Pełnomocnik Rządu ds. Cyberbezpieczeństwa opublikował komunikat z konkretnymi sygnałami, po których można rozpoznać atak, oraz praktycznymi zaleceniami, jak się przed nim chronić. Dokument przygotowano wspólnie z Ministerstwem Cyfryzacji i zespołami reagowania na incydenty (CSIRT CeZ, CSIRT NASK i CSIRT GOV). Choć ostrzeżenie dotyczy całego rynku, to właśnie sektor zdrowia jest dziś jednym z głównych celów hakerów.
Z tego artykułu dowiesz się…
- Jak rozpoznać sygnały wskazujące na obecność cyberprzestępców w systemach IT.
- Jakie konkretne adresy, narzędzia i sygnatury mogą świadczyć o ataku.
- Jakie działania ograniczają ryzyko ransomware w placówkach medycznych.
- Jakie obszary infrastruktury IT są dziś najbardziej narażone.
Wskaźniki kompromitacji – konkretne adresy i sygnatury ataków
W komunikacie wskazano, że sprawdzenie systemów IT pod kątem opublikowanych wskaźników kompromitacji może pomóc wykryć obecność cyberprzestępców na wczesnym etapie i w efekcie zapobiec atakom ransomware, które prowadzą do szyfrowania i kradzieży danych.
W dokumencie opublikowano zestaw wskaźników kompromitacji (IoCs), które mogą świadczyć o obecności cyberprzestępców w infrastrukturze organizacji. Wśród nich znalazły się konkretne adresy IP wykorzystywane w połączeniach VPN:
- 170.62.100[.]118
- 178.238.10[.]243
- 208.131.130[.]107
- 23.234.113[.]182
- 23.234.117[.]55
- 62.164.177[.]19
- 66.235.168[.]200
- 66.235.168[.]21
- 66.235.168[.]213
- 66.235.168[.]216
- 89.238.165[.]238
- 89.38.227[.]190
- 45.227.254[.]50
A także adres używany do eksfiltracji danych – 16.1.15[.]2.
Wskazano również sygnatury plików malware (SHA256), takie jak:
- 3ac9c4bb817b07f51c608e7477a7057f3ed154c291f8d942b9189aad4f05d745
- b4708e9b2c941cd87bd09037fa15c8f7f3f40c3aea9c1f25711c6c079043b37b
Zidentyfikowano także narzędzia używane przez atakujących, w tym rclone, nmap, Advanced IP Scanner oraz netscan.exe. Ich obecność w środowisku może wskazywać na próbę rozpoznania infrastruktury lub przygotowanie do kradzieży danych.
Najczęstszy scenariusz: dostęp przez VPN i eskalacja uprawnień
Z opisu incydentów wynika, że ataki prowadzone są według powtarzalnych schematów. Punktem wejścia często jest zdalny dostęp – VPN lub RDP – zabezpieczony niewystarczająco lub błędnie skonfigurowany. Następnie atakujący przechodzą do eskalacji uprawnień i rozpoznania sieci.
Kluczowe znaczenie ma tu kontrola dostępu i monitoring anomalii. W komunikacie zwrócono uwagę na konieczność analizy logowań odbywających się poza standardowymi godzinami pracy oraz szczególny nadzór nad kontami o wysokich uprawnieniach.
Zalecenia: od firewalli po kopie zapasowe
Opublikowane zalecenia obejmują pełen zakres bezpieczeństwa IT – od warstwy sieciowej po zarządzanie kontami i backupy.
W obszarze ochrony brzegowej zalecono aktualizację firewalli oraz ograniczenie dostępu administracyjnego wyłącznie do wydzielonych sieci zarządzających. W przypadku dostępu zdalnego wskazano konieczność:
- stosowania MFA dla VPN i RDP
- eliminacji bezpośredniego dostępu RDP z internetu
- ograniczenia liczby nieudanych logowań
- wdrożenia zasady najmniejszych uprawnień
Istotnym elementem jest także geofencing, czyli ograniczenie ruchu sieciowego do określonych regionów, np. Polski lub Europy.
Active Directory i konta uprzywilejowane pod szczególnym nadzorem
Duży nacisk położono na bezpieczeństwo środowisk Active Directory. Wśród zaleceń znalazły się:
- regularne usuwanie nieużywanych kont
- zakaz logowania się kontami administracyjnymi na stacjach roboczych
- reset haseł i stosowanie silnych, unikalnych kombinacji (min. 16-20 znaków)
- monitorowanie operacji na bazie NTDS.dit
Rekomendowane jest także wdrożenie narzędzi klasy PAM i SIEM, które automatyzują nadzór nad uprzywilejowanymi dostępami oraz analizę zdarzeń bezpieczeństwa.
Endpointy, SIEM i backup – trzy krytyczne warstwy ochrony
W komunikacie wskazano jednoznacznie, że ignorowanie alertów bezpieczeństwa jest jedną z najczęstszych przyczyn skutecznych ataków ransomware. Zalecenia obejmują:
- pełne skanowanie systemów i serwerów
- codzienną analizę logów AV/EDR
- wdrożenie rozwiązań EDR/XDR
- centralizację logów i ich przechowywanie przez co najmniej rok
W obszarze backupów podkreślono konieczność pełnej izolacji systemów kopii zapasowych oraz stosowania mechanizmów WORM, które uniemożliwiają ich modyfikację lub usunięcie.
Ryzyko wykracza poza sektor zdrowia
Choć komunikat koncentruje się na ochronie zdrowia, wskazano wprost, że ta sama grupa hakerska atakowała również inne sektory. Oznacza to, że zagrożenie ma charakter systemowy.
Dla placówek medycznych oznacza to konieczność traktowania cyberbezpieczeństwa jako elementu ciągłości działania, a nie wyłącznie obszaru IT.
Pełne zalecenia i wskazówki dostępne są TUTAJ.
Główne wnioski
- 23 marca 2026 r. opublikowano komunikat z konkretnymi wskaźnikami kompromitacji (IoC) oraz zaleceniami dla podmiotów KSC, ze szczególnym uwzględnieniem ochrony zdrowia.
- Wśród zagrożeń wskazano konkretne adresy IP, sygnatury SHA256 oraz narzędzia takie jak rclone, nmap czy Advanced IP Scanner wykorzystywane przez atakujących.
- Najczęstszy wektor ataku to dostęp zdalny (VPN, RDP) oraz przejmowanie kont o podwyższonych uprawnieniach.
- Kluczowe działania ochronne obejmują MFA, monitoring logów, SIEM oraz izolowane kopie zapasowe, które ograniczają skutki ataków ransomware.
Źródło:
- https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa–zalecenia-dla-sektora-ochrony-zdrowia-i-innych-podmiotow-ksc
