Tag: Ransomware

Sylwester 2025: Żegnamy rok ransomware, witamy rok deepfake’ów

Jeszcze do niedawna w świecie cyfrowego bezpieczeństwa obowiązywała prosta, analogowa zasada: „zobaczysz, to uwierzysz”. Rok 2024 brutalnie zweryfikował to założenie, a nadchodzące miesiące ostatecznie pogrzebią je w archiwach historii IT. Deepfakes przestały być internetową ciekawostką czy narzędziem dezinformacji politycznej. Wraz z oprogramowaniem ransomware stały się głównym wektorem cyberataków wymierzonych w biznes. Stoimy u progu momentu, w którym weryfikacja tożsamości i autentyczności treści stanie się kluczową usługą w portfolio każdego integratora IT.

Współczesna cyberprzestrzeń przechodzi transformację, której skalę trudno porównać z czymkolwiek, co widzieliśmy w ostatniej dekadzie. Pojawienie się tanich, powszechnie dostępnych i niezwykle potężnych narzędzi sztucznej inteligencji pozwoliło na manipulację treściami audio i wideo w sposób, który dla ludzkich zmysłów jest już nieuchwytny. Badacze z wiodących ośrodków akademickich, w tym eksperci z Laboratorium Mediów Sądowych na Uniwersytecie w Buffalo, ostrzegają: to zjawisko dopiero się rozkręca. Jeśli dzisiejsze media syntetyczne wydają się imponujące, to deepfakes z rocznika 2026 mogą uczynić odróżnienie fikcji od rzeczywistości zadaniem niewykonalnym dla człowieka.

Demokratyzacja oszustwa – skala, która przytłacza

Aby zrozumieć powagę sytuacji, musimy spojrzeć na liczby, które najlepiej obrazują dynamikę tego rynku. Według szacunków firmy DeepStrike, zajmującej się cyberbezpieczeństwem, wolumen deepfake’ów w sieci wzrósł w sposób wykładniczy. Z poziomu około 500 000 próbek w 2023 roku, skoczyliśmy do szacowanych 8 milionów w roku 2025. Mówimy tu o rocznym wzroście na poziomie blisko 900%.

Co napędza tę lawinę? Przede wszystkim drastyczne obniżenie bariery wejścia. Jeszcze kilka lat temu stworzenie wiarygodnego wideo wymagało potężnych stacji roboczych, zaawansowanej wiedzy z zakresu uczenia maszynowego i gigabajtów danych treningowych. Dziś próg techniczny spadł praktycznie do zera.

Pojawienie się ulepszonych aplikacji AI, takich jak Sora 2 od OpenAI czy Veo 3 od Google, w połączeniu z falą startupów oferujących dedykowane narzędzia, zmieniło reguły gry. Obecnie każdy – niezależnie od intencji – może opisać swój pomysł, pozwolić modelowi językowemu (takiemu jak ChatGPT czy Gemini) na napisanie skryptu, a następnie w kilka minut wygenerować wysokiej jakości materiał audiowizualny. Agenci AI są w stanie zautomatyzować ten proces od A do Z. W efekcie zdolność do generowania spójnych oszustw na masową skalę została zdemokratyzowana.

Nie mówimy tu o teoretycznym zagrożeniu. Dużych sprzedawców detalicznych zalewa fala nawet 1000 fałszywych połączeń generowanych przez AI dziennie. Deepfake przestał być „produktem butikowym” używanym do celowanych ataków na prezesów (CEO fraud); stał się „rozwiązaniem” komercyjnym dla cyberprzestępców, służącym do masowych wyłudzeń, nękania i podważania zaufania do marek.

Koniec „Doliny Niesamowitości” – technologia wyprzedza percepcję

Przez długi czas naszą linią obrony była niedoskonałość technologii. Eksperci od cyberbezpieczeństwa uczyli pracowników zwracać uwagę na detale: nienaturalne mruganie, artefakty wokół ust, dziwne oświetlenie czy „metaliczny” pogłos w głosie. Ta era właśnie się kończy.

Spektakularne ulepszenia, jakie zaszły w ostatnich miesiącach, opierają się na fundamentalnych zmianach w architekturze modeli generatywnych. Kluczem jest tu „spójność czasowa” (temporal consistency). Nowoczesne modele wideo potrafią oddzielić informacje o tożsamości osoby od informacji o jej ruchu. Oznacza to, że ten sam ruch może być bezbłędnie przypisany do różnych tożsamości, a jedna tożsamość może wykonywać nieskończoną gamę ruchów bez utraty stabilności obrazu. Zniknęły migotania, deformacje i zniekształcenia strukturalne wokół oczu czy szczęki, które kiedyś stanowiły niezawodny dowód kryminalistyczny.

Równie, a może nawet bardziej niepokojący, jest postęp w sferze audio. Klonowanie głosu przekroczyło próg nierozróżnialności. Wystarczy zaledwie kilka sekund próbki dźwiękowej, by wygenerować klona, który nie tylko brzmi jak ofiara, ale zachowuje jej naturalną intonację, rytm wypowiedzi, a nawet specyficzne pauzy na oddech czy emocjonalne zabarwienie głosu. Te cechy, które wcześniej zdradzały syntetyczność nagrania, praktycznie zniknęły. W codziennych sytuacjach, zwłaszcza podczas rozmów przez komunikatory o niższej jakości transmisji, realizm ten jest wystarczający, by oszukać nawet doświadczonych użytkowników.

Scenariusz 2026 – atak w czasie rzeczywistym

Patrząc w przyszłość, analitycy i badacze mediów sądowych kreślą scenariusz, w którym statyczne oszustwa ustąpią miejsca manipulacji w czasie rzeczywistym. To jest granica, której przekroczenie zmieni paradygmat komunikacji biznesowej.

Zmierzamy w stronę syntezy live. Modele generatywne uczą się tworzyć treści na żywo, zamiast dostarczać wstępnie wyrenderowane klipy. Co więcej, następuje konwergencja modelowania tożsamości. Systemy AI zaczynają rejestrować i replikować nie tylko to, jak dana osoba wygląda, ale także jej unikalną „sygnaturę behawioralną” – sposób poruszania się, gestykulację w konkretnych kontekstach, mikrowyrazy twarzy. Wynik końcowy przestaje być jedynie obrazem „wyglądającym jak osoba X”; staje się bytem „zachowującym się jak osoba X w czasie”.

Deepfakes z 2026 roku będą miały na celu unikanie systemów wykrywania poprzez naśladowanie niuansów ludzkiej biologii. W środowisku medialnym, gdzie uwaga odbiorcy jest rozproszona, a treści rozprzestrzeniają się szybciej niż jakakolwiek weryfikacja (fact-checking), stwarza to pole do nadużyć o niewyobrażalnym potencjale niszczącym – od dezinformacji giełdowej po wyrafinowany inżynierię społeczną wewnątrz korporacji.

Nowa rola integratora IT – od zabezpieczania sieci do certyfikacji prawdy

Wobec tak zarysowanego krajobrazu zagrożeń, branża IT musi uderzyć się w pierś: postęp w tworzeniu ram obronnych jest niewspółmiernie mały w stosunku do tempa rozwoju ofensywnej AI. Mimo licznych raportów i propozycji wielowarstwowych zabezpieczeń, wciąż opieramy się na ludzkim osądzie, który staje się najsłabszym ogniwem.

Oznacza to konieczność redefinicji oferty. Tradycyjne pakiety bezpieczeństwa chroniące punkty końcowe i sieci to już za mało. Klienci biznesowi będą wkrótce potrzebować ochrony na poziomie infrastruktury treści.

W miarę jak przepaść percepcyjna między mediami autentycznymi a syntetycznymi będzie zanikać, linia obrony musi zostać przesunięta z człowieka na kryptografię. Przyszłością są rozwiązania zapewniające „bezpieczne pochodzenie” (secure provenance), takie jak kryptograficznie podpisane media u źródła rejestracji (np. w kamerze) oraz narzędzia zgodne z otwartymi standardami, takimi jak te proponowane przez Koalicję na rzecz Pochodzenia i Autentyczności Treści (C2PA).

Integratorzy stają przed szansą, by stać się nie tylko dostawcami sprzętu i oprogramowania, ale strażnikami cyfrowego zaufania. Wdrożenie podejścia Zero Trust nie tylko do użytkowników w sieci, ale do samej treści multimedialnej przesyłanej wewnątrz organizacji, stanie się standardem wymaganym przez działy compliance.

Sztuczna inteligencja dała nam narzędzia do kreowania dowolnej rzeczywistości. Teraz branża technologiczna musi dostarczyć narzędzia, które pozwolą nam w tej rzeczywistości bezpiecznie funkcjonować. Bez nich, w świecie biznesu opartym na zaufaniu, ryzykujemy paraliż decyzyjny, w którym nikt nie będzie miał pewności, czy rozmawia z kluczowym partnerem, czy z jego cyfrowym cieniem.

31 grudnia, 2025
Cyberataki przyspieszają: przestępcy kradną dane nawet w pół godziny

W przeciągu ostatnich trzech lat krajobraz cyberzagrożeń zmienił się dramatycznie – zaś źródłem kolejnego alarmu są dane z zespołu Unit 42, jednostki ds. analizy zagrożeń w Palo Alto Networks. Ich badania pokazują, że mediana czasu od kompromitacji do kradzieży danych spadła z 9 dni w 2021 roku do zaledwie 2 dni w 2023 roku.

Warto przy tym podkreślić prognozę ekspertów tej jednostki, wedle której do końca 2025 r. część incydentów może być zakończona w mniej niż 30 minut – oznaczając 100-krotny wzrost prędkości ataku w porównaniu z sytuacją sprzed trzech lat.

Równolegle zmieniają się taktyki atakujących. Obecnie aż około 86 % incydentów z udziałem oprogramowania ransomware kończy się znacznymi zakłóceniami działalności biznesowej – celem ataku nie jest już jedynie szyfrowanie danych, ale uderzenie w reputację, relacje z klientami oraz ciągłość działania.

Zaskakującą, choć potwierdzoną przez Unit 42, tendencją jest też pomijanie szyfrowania w około 10 % przypadków – ataki typu „smash and grab” polegają wyłącznie na kradzieży lub usunięciu danych, bazując na skuteczności groźby ich ujawnienia lub trwałej utraty.

Za przyspieszeniem i eskalacją ataków stoi m.in. rosnące zastosowanie technologii sztucznej inteligencji w kampaniach phishingowych. W 2024 r., zdaniem ekspertów, aż 83 % wiadomości phishingowych wykorzystywało AI w jakimś stopniu, a około 78 % odbiorców takich wiadomości otwierało je – co stwarza atakującym ogromne pole manewru.

Dodatkowo rozwija się tzw. rynek wstępnego dostępu (access-broker), gdzie cyberprzestępcy traktują wejścia do sieci jako towar, a model „ransomware-as-a-service” obniża barierę wejścia dla nowych aktorów.

Ekonomia ataków też uległa transformacji: mediana żądanych okupu w 2024 r. osiągnęła około 1,25 mln USD – co stanowiło 2 % szacowanych rocznych przychodów ofiary. Choć negocjacje skutkują zwykle zmniejszeniem płatności do ~267 500 USD, całkowity koszt incydentu – według Unit 42 – osiąga średnio 4,91 mln USD, zwłaszcza gdy atakujący uzyskują dostęp do partnerów w łańcuchu dostaw i mnożą liczbę ofiar.

Co to oznacza z perspektywy organizacji IT? Przede wszystkim: tradycyjne podejście do bezpieczeństwa, oparte na manualnym wykrywaniu i reakcji, przestaje mieć sens. Skoro atakujący mogą w ciągu godziny (lub krócej) skompromitować system, to obrona oparta na zasobach ludzkich bez wsparcia automatyki i analityki przestaje nadążać.

Automatyzacja, rozwiązania oparte na AI oraz ścisła współpraca człowieka z maszyną stają się warunkiem koniecznym obrony.

W praktyce oznacza to rewizję architektury bezpieczeństwa: ograniczenie powierzchni ataku poprzez szybkie wdrażanie poprawek i redukcję dostępu zdalnego (w 2023 r. eksploatacja podatności internetowych była najpowszechniejszym wektorem początkowego dostępu – w ~38,6 % przypadków), monitorowanie i analizę zachowań tożsamości, segmentację sieci („least-privilege”), oraz wdrożenie narzędzi UEBA/ITDR pozwalających wychwycić nieprawidłowe działania w czasie rzeczywistym.

Środowisko zagrożeń się kurczy pod względem czasu reakcji – a presja na biznes rośnie. Nie są już zagrożone jedynie największe korporacje: sektor służby zdrowia, energetyka, urzędy czy mniejsze firmy z wartościowymi danymi stanowią atrakcyjne cele. Dla organizacji technologicznych oznacza to konieczność działania dziś – bo jutro może być już za późno.

22 października, 2025
Cyberataki na przemysł rosną o 30% rocznie. Firmy muszą działać strategicznie
Jeszcze kilka lat temu hakerzy koncentrowali się głównie na sektorach, gdzie wrażliwe dane były najcenniejszym zasobem – finansach, ochronie zdrowia czy usługach cyfrowych. Dziś to przemysł wytwórczy staje się jednym z najbardziej pożądanych celów cyberprzestępców. W 2025 roku przeciętny zakład produkcyjny był narażony na 1585 ataków tygodniowo, co oznacza wzrost o 30% względem roku poprzedniego. W Europie dynamika zagrożeń była najwyższa, a w takich krajach jak Holandia, Hiszpania czy Turcja liczba incydentów rosła szybciej niż gdziekolwiek indziej.

To przesunięcie w krajobrazie cyberataków sprawia, że bezpieczeństwo cyfrowe nie jest już kwestią technologiczną, którą można oddelegować do CIO. To strategiczne ryzyko biznesowe, z którym musi mierzyć się całe kierownictwo.

Koszt przestoju – kiedy każda godzina kosztuje miliony

Ransomware w produkcji działa inaczej niż w wielu innych branżach. Tu nie chodzi wyłącznie o kradzież danych czy szantaż związany z ich upublicznieniem. Atakujący doskonale wiedzą, że największą wartością zakładu jest ciągłość działania. Zatrzymanie linii produkcyjnej, nawet na kilka godzin, potrafi przełożyć się na straty liczone w milionach euro.

Co gorsza, skutki nie kończą się na bilansie finansowym. Przestoje wywołane przez cyberatak mogą zerwać łańcuch dostaw, zablokować realizację umów, a nawet spowolnić innowacje, jeśli dotkną działów badawczo-rozwojowych. Dla firm produkcyjnych to cios w konkurencyjność, reputację i relacje z klientami.

Łańcuch dostaw – pięta achillesowa cyfrowej fabryki

Jedną z głównych przyczyn, dla których sektor produkcyjny stał się celem numer jeden, jest jego rozległa i złożona sieć partnerów. Fabryki nie funkcjonują w izolacji – polegają na setkach dostawców, kontrahentów i partnerów technologicznych. Każde takie połączenie to potencjalne wejście dla atakującego.

Na celowniku są zwłaszcza systemy IoT i OT, często wdrażane szybko i bez odpowiednich zabezpieczeń. Wystarczy jedno niechronione urządzenie, aby otworzyć drzwi do całej infrastruktury. Co więcej, przestępcy zaczęli handlować skradzionymi danymi dostępowymi do sieci przemysłowych, co obniża barierę wejścia dla kolejnych grup ransomware.

Efekt domina jest tu szczególnie groźny. Kompromitacja jednego małego dostawcy może zakłócić nie tylko działalność dużej fabryki, ale także całej branży, zwłaszcza tam, gdzie króluje model just-in-time.

Geopolityka wchodzi do fabryk

Cyberprzestępczość w przemyśle nie ogranicza się już do grup nastawionych na szybki zysk. Coraz większą rolę odgrywają aktorzy wspierani przez państwa. Ich cele są strategiczne: kradzież własności intelektualnej, sabotaż produkcji czy zakłócanie łańcuchów dostaw w sektorach obronnych i energetycznych.

Przykłady z ostatnich lat obejmują wycieki projektów dronów, nowoczesnych pojazdów czy technologii militarnych. W takich przypadkach straty nie ograniczają się do pojedynczej firmy. To cios w całe gospodarki i narodową konkurencyjność.

Rosnące napięcia geopolityczne – od sporów handlowych po konflikty regionalne – tylko wzmacniają ten trend. Fabryki stają się pionkami w globalnej grze, a zarządy muszą brać pod uwagę ryzyka, które wykraczają daleko poza tradycyjne problemy biznesowe.

Cyberbezpieczeństwo jako priorytet zarządów

W takim środowisku działanie reaktywne nie wystarczy. Cyberodporność musi być traktowana jako element strategii biznesowej. Co to oznacza w praktyce?
- Integracja odporności w działaniu – plany ciągłości biznesowej muszą być testowane, a czas odtworzenia systemów liczony w godzinach, nie w tygodniach.
- Zabezpieczanie łańcuchów dostaw – firmy powinny wymagać od partnerów i dostawców spełniania określonych standardów bezpieczeństwa, a nie jedynie zakładać, że „to nie nasz problem”.
- Ochrona własności intelektualnej – monitorowanie i zapobieganie utracie danych staje się kluczowe, zwłaszcza w branżach wrażliwych na kradzież technologii.
- Wzmocnienie obrony prewencyjnej – zamiast działać dopiero po incydencie, przedsiębiorstwa powinny inwestować w detekcję i analizę zagrożeń w czasie rzeczywistym.
Dla wielu firm będzie to oznaczać konieczność zaangażowania całego zarządu – od CFO po COO – w procesy związane z cyberbezpieczeństwem.

Od kosztu do przewagi konkurencyjnej

Najciekawsza zmiana polega na tym, że cyberbezpieczeństwo przestaje być traktowane jako „konieczny koszt”. W świecie globalnej konkurencji i niestabilności geopolitycznej to właśnie cyberodporność może decydować o przewadze rynkowej.

Firmy, które potrafią zagwarantować klientom ciągłość działania i bezpieczeństwo wrażliwych procesów, zyskują nie tylko kontrakty, ale też lojalność partnerów i lepszą pozycję w przetargach międzynarodowych. Z kolei te, które zaniedbają temat, ryzykują nie tylko atak, ale też utratę wiarygodności na lata.

Przemysł wytwórczy stoi dziś w samym centrum nowej ery cyberzagrożeń. Złożone łańcuchy dostaw, przestarzałe systemy i niska tolerancja na przestoje czynią go idealnym celem. Skala problemu rośnie, a wraz z nią świadomość, że cyberbezpieczeństwo to nie tylko domena działów IT, lecz element strategii biznesowej i geopolitycznej.

W praktyce oznacza to, że zarządy muszą traktować cyberodporność jako fundament swojej przewagi konkurencyjnej. W branży, gdzie liczy się niezawodność i tempo działania, to właśnie odporność na ataki stanie się walutą przyszłości.
2 października, 2025
Cyberbezpieczeństwo 2025: Nowe Pole Bitwy
Krajobraz cyberbezpieczeństwa przechodzi fundamentalną transformację. Już nie mamy do czynienia z prostą eskalacją liczby ataków, ale ze strategiczną zmianą w ich naturze, napędzaną przez komercjalizację narzędzi hakerskich i rosnącą rolę sztucznej inteligencji. Geopolityka i wszechobecna cyfryzacja jedynie poszerzają pole bitwy, stawiając przed firmami wyzwania, które wymagają nowego podejścia do obrony.

Nowy paradygmat: AI i ekonomia usług cyberprzestępczych

Kluczową zmianą jest dojrzewanie modelu Cybercrime-as-a-Service (CaaS). Wyspecjalizowane grupy oferują na czarnym rynku gotowe narzędzia, luki w zabezpieczeniach, a nawet pełną obsługę ataków. To obniża próg wejścia dla mniej zaawansowanych technicznie przestępców i jednocześnie zwiększa skalę oraz wyrafinowanie operacji.

W tym ekosystemie generatywna sztuczna inteligencja staje się potężnym mnożnikiem siły. Służy do tworzenia wysoce spersonalizowanych i przekonujących kampanii phishingowych czy oszustw typu deepfake. Choć masowe ataki wideo mogą być jeszcze nieopłacalne, klonowanie głosu w czasie rzeczywistym staje się realnym zagrożeniem w ukierunkowanych oszustwach, np. mających na celu wyłudzenie firmowych środków. AI jest również wykorzystywana do automatyzacji rekonesansu i tworzenia złośliwego oprogramowania, które potrafi dynamicznie adaptować się do środowiska ofiary, by uniknąć wykrycia.

Ewolucja taktyki: Atakujący stawiają na spryt

Obserwujemy wyraźny odwrót od prostych, głośnych ataków na rzecz bardziej subtelnych i trudniejszych do wykrycia metod.
- Ataki „Living off the Land” i unikanie detekcji: Cyberprzestępcy coraz chętniej wykorzystują legalne, wbudowane w systemy operacyjne narzędzia (tzw. techniki living off the land). Gwałtowny wzrost użycia skryptów PowerShell pokazuje, że atakujący wolą maskować swoją aktywność w normalnym ruchu sieciowym, zamiast wprowadzać do systemów łatwe do zidentyfikowania obce oprogramowanie. Jednocześnie rośnie popularność złośliwego oprogramowania zdolnego do unikania systemów zabezpieczeń, którego wykrywalność w ostatnim kwartale 2023 roku wzrosła o 80%.
- Ransomware „na dużą skalę”: Ataki ransomware ewoluują w kierunku modelu „polowania na grubego zwierza”. Zamiast setek ataków na małe firmy, grupy przestępcze koncentrują się na sektorach krytycznych – opiece zdrowotnej, finansach, transporcie czy administracji publicznej. Udany atak na taką infrastrukturę gwarantuje nie tylko większy okup, ale także wywołuje chaos społeczny, co zwiększa presję na ofiarę. Techniki podwójnego i potrójnego wymuszenia (kradzież danych i groźba ich publikacji, połączona z atakami DDoS) stają się standardem.
- Powrót Dnia Zerowego i komercjalizacja luk: Wzrost liczby platform i aplikacji tworzy nowe możliwości dla wykorzystania niezałatanych jeszcze luk (zero-day). Prognozuje się rozwój rynku brokerów zero-day – grup specjalizujących się w wyszukiwaniu i sprzedaży takich podatności w Darknecie. Stanowi to ogromne ryzyko, ponieważ nawet firmy z solidną polityką aktualizacji mogą stać się celem ataku.
- Łańcuch dostaw i ataki od wewnątrz: Skoro zabezpieczenia obwodowe stają się coraz szczelniejsze, atakujący szukają słabych ogniw w innych miejscach. Jednym z nich jest łańcuch dostaw oprogramowania, gdzie celem stają się systemy CI/CD (automatyzujące procesy deweloperskie) i komponenty firm trzecich. Drugim, coraz bardziej niepokojącym trendem, jest rekrutowanie pracowników z organizacji docelowych, aby uzyskać wstępny dostęp do sieci.
Rozszerzone pole ataku: Nowe cele, nowe ryzyka

Cyfryzacja i nowe technologie otwierają przed cyberprzestępcami kolejne drzwi.
- Chmura, kontenery i 5G: Błędne konfiguracje w chmurze pozostają jednym z głównych wektorów ataków, co udowodnił niedawny wyciek danych ponad 65 000 firm korzystających z usług Microsoft. Eksperci ostrzegają przed nowym zagrożeniem w postaci robaków chmurowych, zaprojektowanych specjalnie do autonomicznego rozprzestrzeniania się w środowiskach Kubernetes. Równocześnie, wraz z rozwojem sieci 5G, jej infrastruktura staje się atrakcyjnym celem, a udany atak mógłby sparaliżować kluczowe sektory gospodarki.
- Systemy specjalistyczne: MFT, XIoT i Blockchain: Systemy do zarządzania transferem plików (MFT) okazały się podatne na ataki na dużą skalę. Gwałtownie rośnie też liczba podłączonych urządzeń w ramach Rozszerzonego Internetu Rzeczy (XIoT) – od przemysłowych systemów sterowania po urządzenia medyczne. Prognozuje się, że do 2024 roku liczba połączeń IoT przekroczy 80 miliardów, z czego większość w infrastrukturze krytycznej. Nawet prywatne sieci blockchain nie są bezpieczne – pojawiły się koncepcje ataków polegających na zaszyfrowaniu całej sieci i żądaniu okupu.
Odporność ponad obroną

W obliczu tak złożonych i dynamicznych zagrożeń tradycyjne podejście do cyberbezpieczeństwa przestaje wystarczać. Kluczowe staje się budowanie cyberodporności organizacyjnej – zdolności do funkcjonowania nawet w trakcie ataku i szybkiego powrotu do normalnej działalności.

Fundamentalną strategią obronną staje się architektura Zero Trust (zero zaufania), która zakłada, że zagrożenie może znajdować się już wewnątrz sieci. Każda próba dostępu do zasobów, niezależnie od pochodzenia, musi być weryfikowana. Równie ważna jest współpraca między sektorem publicznym a prywatnym w celu wymiany informacji o zagrożeniach oraz nieustanna edukacja pracowników, stanowiących pierwszą linię obrony przed atakami socjotechnicznymi. Bez holistycznego podejścia, łączącego zaawansowaną technologię z kulturą bezpieczeństwa, wygrana w tej niekończącej się walce będzie niemożliwa.
25 września, 2025
Akamai Technologies ostrzega: 4-etapowy szantaż definiuje nowe oblicze ransomware

Cyberprzestępcy udoskonalają swoje metody, przechodząc na bardziej złożone, czterofazowe taktyki wymuszeń, aby zmaksymalizować presję na swoje ofiary.

Jak wynika z najnowszego raportu „Ransomware 2025” opublikowanego przez Akamai Technologies, choć podwójny szantaż — polegający na szyfrowaniu danych i groźbie ich upublicznienia — wciąż jest dominującą metodą, na horyzoncie pojawia się nowy, bardziej agresywny trend.

Nowa taktyka, określana jako poczwórne wymuszenie, rozszerza arsenał atakujących o dodatkowe działania. Oprócz kradzieży i szyfrowania danych, cyberprzestępcy sięgają po ataki typu DDoS (rozproszona odmowa usługi), aby sparaliżować działalność operacyjną firmy.

Co więcej, w celu zwiększenia presji psychologicznej, nękane są również podmioty trzecie, takie jak klienci, partnerzy biznesowi czy media. Te działania przekształcają cyberatak w rozległy kryzys biznesowy, który wymusza na organizacjach fundamentalne przemyślenie dotychczasowych strategii bezpieczeństwa i reagowania na incydenty.

Istotnym czynnikiem napędzającym ewolucję i skalę zagrożeń jest rosnąca rola generatywnej sztucznej inteligencji oraz dużych modeli językowych (LLM).

Narzędzia te znacząco obniżają próg wejścia dla mniej doświadczonych przestępców, umożliwiając im tworzenie zaawansowanego kodu ransomware oraz doskonalenie technik socjotechnicznych, co przekłada się na większą skuteczność kampanii.

Raport zwraca również uwagę na rosnącą aktywność hybrydowych grup, łączących motywacje finansowe z haktywizmem. Wykorzystują one platformy typu „ransomware jako usługa” (RaaS), aby wzmacniać swój wpływ. Podobne strategie, choć inne cele, przyświecają grupom zajmującym się cryptominingiem.

Analiza Akamai wykazała, że prawie połowa tego typu ataków była wymierzona w sektor edukacyjny i organizacje pozarządowe, co prawdopodobnie wynika z ich ograniczonych zasobów na cyberbezpieczeństwo. Zmieniający się krajobraz zagrożeń stawia przed firmami nowe wyzwania, które obejmują nie tylko technologię, ale również aspekty prawne i regulacyjne.

1 września, 2025
Iluzja gotowości. Dlaczego 69% firm myli się co do swojej odporności na ransomware?

W dzisiejszym cyfrowym krajobrazie większość liderów IT wierzy, że ich organizacje są przygotowane na atak ransomware. To poczucie bezpieczeństwa jest powszechne, jednak dane z raportu Veeam pokazują, że często bywa niebezpieczną iluzją. Najnowsze analizy rzucają światło na alarmującą rozbieżność między postrzeganą gotowością a brutalną rzeczywistością po ataku.

Zaskakujące 69% firm uważa się za przygotowane na odparcie zagrożenia, ale gdy dojdzie do incydentu, zaledwie 10% z nich jest w stanie odzyskać ponad 90% swoich danych. Co gorsza, ponad połowa (57%) ofiar odzyskuje mniej niż połowę utraconych zasobów.

Problem nie leży więc w braku świadomości zagrożenia czy w braku planów reagowania – te posiada niemal każda organizacja. Problem tkwi w jakości tych planów i fundamentalnym braku ich weryfikacji, co tworzy fałszywe poczucie bezpieczeństwa.

Anatomia fałszywego poczucia bezpieczeństwa: Syndrom „papierowego planu”

Posiadanie dokumentu zatytułowanego „Plan Reagowania na Incydenty” to nie to samo co posiadanie działającej strategii odporności. Wiele z tych planów to „papierowe tygrysy” – wyglądają imponująco na półce, ale zawodzą w chwili próby. Dzieje się tak z kilku powodów.

Po pierwsze, plany często są niekompletne. Skupiają się na prewencji i wstępnej reakcji, traktując po macoszemu kluczowy element: szczegółowe, przetestowane procedury odzyskiwania danych. Firmy zakładają, że ich kopie zapasowe zadziałają, ale rzadko to sprawdzają w realistycznych warunkach.

Statystyki potwierdzają tę tezę – tylko 44% organizacji zweryfikowało swoje podstawowe możliwości techniczne w zakresie odzyskiwania danych. Oznacza to, że ponad połowa firm działa w oparciu o nieprzetestowane, potencjalnie błędne założenia.

Kolejnym krytycznym błędem jest brak odpowiedniej izolacji. Zaledwie 32% firm posiada sprawdzony plan oddzielenia środowiska do odzyskiwania danych od reszty sieci.

Bez takiej separacji, kopie zapasowe mogą zostać zaszyfrowane razem z danymi produkcyjnymi, a proces odtwarzania systemów może prowadzić do ich natychmiastowej, ponownej infekcji.

Konsekwencje: Gdy teoria spotyka się z atakiem

Skutki tej luki w przygotowaniu są dotkliwe i wykraczają daleko poza problemy techniczne. Największym kosztem ataku ransomware rzadko jest sam okup. Prawdziwe straty wynikają z długotrwałego paraliżu operacyjnego, który zatrzymuje kluczowe procesy biznesowe na dni, a nawet tygodnie.

Prowadzi to do bezpośrednich strat finansowych, kar umownych i, co najważniejsze, nieodwracalnej utraty zaufania w oczach klientów i partnerów.

Presję dodatkowo zwiększa ewolucja taktyk cyberprzestępców. Obecnie standardem jest kradzież danych przed ich zaszyfrowaniem, co stwarza groźbę ich upublicznienia i podwaja presję na zapłatę okupu.

Co więcej, czas od pierwszego wtargnięcia do pełnego ataku systematycznie się skraca, nie pozostawiając miejsca na improwizację czy tworzenie planu w trakcie kryzysu.

Od iluzji do odporności: Jak sprawić, by plan zadziałał

Przejście od pasywnego planowania do aktywnego budowania odporności jest możliwe, ale wymaga zmiany myślenia i wdrożenia kultury ciągłego testowania.

1. Traktuj odzyskiwanie jak proces, nie dokument. Odporność nie jest jednorazowym projektem, ale ciągłym procesem. Wymaga to regularnych symulacji i ćwiczeń, które angażują nie tylko dział IT, ale także liderów biznesowych, aby przetestować łańcuch decyzyjny w warunkach kryzysu.

2. Weryfikuj integralność i dostępność backupów. Należy wyjść poza proste „odhaczenie”, że kopia zapasowa została wykonana. Konieczne jest regularne testowanie możliwości pełnego przywrócenia danych i systemów z kopii.

3. Zdefiniuj i przetestuj cele czasowe (RTO). Czy deklarowany w planie czas odzyskania systemów jest realistyczny? Tylko rygorystyczne testy są w stanie ujawnić prawdziwe możliwości organizacji i wskazać potencjalne wąskie gardła w procesie.

4. Zbuduj bezpieczną infrastrukturę awaryjną. Posiadanie gotowego do użycia, odizolowanego i „czystego” środowiska jest absolutnie kluczowe dla szybkiego i bezpiecznego wznowienia działalności bez ryzyka ponownej infekcji.

Największym zagrożeniem związanym z ransomware nie jest sam złośliwy kod, ale organizacyjna iluzja gotowości, która usypia czujność i promuje bierność. Prawdziwa cyberodporność nie pochodzi z posiadania planu, ale z pewności, że ten plan działa. Tę pewność buduje się wyłącznie przez bezlitosne i regularne testowanie założeń.

21 sierpnia, 2025
Ransomware z drugiej ręki. Jak kopiowanie kodu obniża barierę wejścia do cyberprzestępczości
Gdyby cyberprzestępczość miała swój GitHub, ransomware Nitrogen i LukaLocker byłyby jej popularnymi forkami. W coraz większej liczbie ataków nie chodzi już o zaawansowane techniki, lecz o skuteczne wykorzystanie dostępnych komponentów. Recykling złośliwego kodu stał się praktyką powszechną i niepokojąco efektywną. W rezultacie organizacje IT stają dziś przed wyzwaniem, które nie wynika z pojawiania się nowych zagrożeń, ale z odświeżonych wersji dobrze znanych szkodników.

Stary kod, nowe opakowanie

W 2022 roku kod źródłowy niegdyś wpływowego ransomware CONTI trafił do sieci po wewnętrznym rozłamie grupy, której część członków sprzeciwiła się poparciu dla rosyjskiej inwazji na Ukrainę. W efekcie światło dzienne ujrzał pełen zestaw narzędzi przestępczych, zawierający m.in. logikę szyfrowania plików, omijania zabezpieczeń i komunikacji z ofiarą.

Dwa lata później analitycy z niemieckiej firmy SECUINFRA wykryli nowe warianty ransomware – LukaLocker i Nitrogen – które wykorzystywały ten sam kod. Choć ich nazwy, taktyki i detale techniczne nieco się różniły, analiza wykazała wyraźne podobieństwa: identyczne schematy szyfrowania, struktura kodu, mechanizmy komunikacji z ofiarą oraz sposób zaciemniania funkcji.

To pokazuje, jak łatwo jest dziś zbudować nowe zagrożenie przy minimalnym nakładzie pracy. Wystarczy gotowy kod, kilka kosmetycznych zmian i kanał dystrybucji. Taka „inżynieria niskiego wysiłku” znacząco obniża barierę wejścia do świata przestępczego.

Cyberprzestępczość jako inżynieria modułowa

W świecie IT mówimy dziś o komponentyzacji, mikroserwisach i ponownym wykorzystaniu kodu. W świecie cyberprzestępczości dzieje się dokładnie to samo – z tą różnicą, że celem nie jest innowacja, lecz efektywność ataku.

LukaLocker i Nitrogen są niemal książkowym przykładem. W obu przypadkach rdzeń kodu opiera się na tym samym silniku ransomware. Zmieniono detale: nazwę, niektóre funkcje, sposób komunikacji z ofiarą. Ale kluczowe elementy – szyfrowanie RSA lub ECC, mutexy zapobiegające podwójnemu szyfrowaniu, ukrywanie importów za pomocą kodowania Base64 – pozostały bez zmian.

To nie przypadek. Recykling kodu pozwala skrócić czas potrzebny na przygotowanie złośliwego oprogramowania, zredukować ryzyko błędów i błyskawicznie wprowadzić „produkt” na rynek przestępczy. Można go łatwo dostosować do potrzeb konkretnej kampanii – zmieniając kanały komunikacji (np. z Tox na Telegram), techniki wyłudzania okupu (np. telefoniczne groźby) czy sposoby publikacji danych (np. dark webowe blogi).

Reaktywność to za mało

Dla zespołów bezpieczeństwa i CISO oznacza to zmianę reguł gry. Tradycyjne podejście, oparte na wykrywaniu nowych sygnatur, staje się coraz mniej skuteczne. Skoro nowe warianty opierają się na dobrze znanych mechanizmach, trudno zaklasyfikować je jako „nowe zagrożenie” w klasycznych systemach detekcji.

To wyzwanie wymaga przejścia od reaktywnego do proaktywnego modelu obrony. Zamiast polegać na wykrywaniu nazw malware czy ich hashy, organizacje powinny skupić się na analizie zachowań – np. nietypowych operacjach na plikach, uruchamianiu narzędzi typu `bcdedit.exe`, tworzeniu mutexów czy wzorcach szyfrowania.

Ważną rolę odgrywa również threat intelligence – nie tylko w czasie rzeczywistym, ale także w kontekście analizy kodu i mapowania podobieństw między kolejnymi wariantami zagrożeń. Dzięki temu możliwe jest rozpoznanie znanych wzorców w nieznanych formach.

Crime-as-a-Service: szybka ścieżka do przestępstwa

Zjawisko recyklingu kodu nie istnieje w próżni. Jest częścią szerszego trendu, który przypomina modele znane z rynku SaaS. Crime-as-a-Service (CaaS) i Ransomware-as-a-Service (RaaS) demokratyzują dostęp do zaawansowanych narzędzi cyberprzestępczych. Twórcy kodu udostępniają go odpłatnie lub bezpłatnie, a inni przestępcy – często bez głębokich kompetencji technicznych – adaptują go do własnych celów.

W przypadku LukaLockera pojawiły się nawet elementy „obsługi klienta” – zespół call center kontaktujący się z ofiarami, aby wzmocnić presję na zapłatę okupu. To pokazuje, że granica między cyberatakiem a zorganizowaną operacją biznesową zaciera się coraz bardziej.

Jak się bronić przed „starym” zagrożeniem?

Choć LukaLocker i Nitrogen nie wprowadzają rewolucji technicznej, są równie niebezpieczne jak ich pierwowzór. To właśnie ich „przeciętność” czyni je trudniejszymi do wykrycia. W odpowiedzi na tę nową falę zagrożeń, eksperci ds. bezpieczeństwa wskazują na kilka kluczowych działań:
- Wdrożenie usług MDR (Managed Detection & Response): Stały monitoring i aktywne reagowanie pozwalają wyprzedzać ataki opierające się na dobrze znanych wzorcach.
- Monitorowanie dark webu: Analiza wycieków danych uwierzytelniających i aktywności grup przestępczych może ostrzec przed potencjalnym celem ataku
- Ocena zagrożeń i testy IR: Regularna analiza środowiska IT pod kątem śladów znanych technik (np. z CONTI) oraz testowanie planów reagowania na incydenty.
- Szkolenia i kultura bezpieczeństwa: Uświadomienie pracownikom, że zagrożenia mogą wyglądać znajomo, ale mieć nowe konsekwencje.
Kopiowanie kodu stało się naturalną częścią rozwoju oprogramowania. Niestety, ten sam mechanizm działa w cyberprzestępczości. LukaLocker i Nitrogen pokazują, że nawet nieoryginalny kod może być śmiertelnie skuteczny, jeśli zostanie odpowiednio wykorzystany. Dla firm oznacza to konieczność porzucenia iluzji, że jedynie „nowe” zagrożenia są warte uwagi. Przestępcy już dawno zrozumieli, że nie trzeba być innowacyjnym, by być skutecznym. Teraz kolej na organizacje, by przestawiły swój model bezpieczeństwa na śledzenie i neutralizowanie dobrze znanych, ale wciąż groźnych mechanizmów działania – zanim zostaną wykorzystane ponownie.
7 sierpnia, 2025
Cyberataki rosną o 36% w jeden miesiąc

W maju 2025 roku krajobraz cyberzagrożeń stał się wyraźnie bardziej burzliwy. Z danych opublikowanych przez firmę Acronis wynika, że mieliśmy do czynienia z jednym z najbardziej intensywnych miesięcy pod względem aktywności cyberprzestępczej w ostatnim czasie. Liczby są jednoznaczne: wzrosła nie tylko liczba wykrytych zagrożeń i zablokowanych podejrzanych stron, ale również odnotowano więcej udanych ataków, w tym przypadków ransomware i naruszeń danych.

Choć skoki incydentów nie są w tej branży niczym nowym, to tempo i skala wzrostów mogą budzić niepokój.

Wzrost o kilkadziesiąt procent w ciągu miesiąca

Acronis, specjalizujący się w ochronie danych i cyberbezpieczeństwie, informuje, że w maju jego systemy zablokowały ponad 10,8 miliona niebezpiecznych adresów URL — o 22% więcej niż w kwietniu. W tym samym czasie liczba wykrytych ataków złośliwego oprogramowania wzrosła aż o 36%, osiągając ponad 800 tys. przypadków.

Tego typu aktywność wskazuje na wzrost skuteczności kampanii phishingowych i rosnącą aktywność botnetów, które dystrybuują malware na masową skalę. Co istotne, wzrosty te są globalne, ale szczególne ogniska zagrożeń pojawiają się w konkretnych regionach.

W centrum cyfrowej burzy

Globalny średni spółczynnik wykrycia malware wyniósł 6,7%. Wysoka aktywność cyberzagrożeń została odnotowana w Niemczech, Wietnamie, Indiach, Peru, Brazylii, Hiszpanii i Zjednoczonych Emiratach Arabskich.

Taki geograficzny rozkład wskazuje, że cyberprzestępcy coraz częściej kierują się nie tylko technicznymi możliwościami penetracji danego rynku, ale również jego podatnością na nieodpowiednie zabezpieczenia i niską dojrzałość organizacyjną w obszarze cyberbezpieczeństwa.

Lumma, Remcos, AsyncRAT – klasyka z nowymi sztuczkami

W maju szczególnie często pojawiały się trzy rodzaje złośliwego oprogramowania: Lumma, Remcos i AsyncRAT. To dobrze znane narzędzia w arsenale cyberprzestępców – wykorzystywane do zdalnego przejęcia systemu, kradzieży danych i dalszego rozprzestrzeniania infekcji. Co istotne, są one trudne do wykrycia dla tradycyjnych systemów AV, co czyni je atrakcyjnymi dla przestępców działających na dużą skalę.

To kolejny sygnał, że klasyczne oprogramowanie antywirusowe bez wsparcia rozwiązań opartych na analizie behawioralnej lub sztucznej inteligencji nie jest w stanie skutecznie bronić organizacji.

Ransomware – niezmiennie dochodowy model ataku

Chociaż malware zdominował statystyki, to ransomware pozostaje najbardziej kosztownym i uciążliwym zagrożeniem. Trzy aktywne grupy — SafePay, Silent RansomGroup i Quilin — odpowiadały łącznie za niemal 200 znanych ataków w maju. Ich modus operandi to szyfrowanie systemów i wymuszanie okupu, często wspierane dodatkowym szantażem opartym na ujawnieniu danych.

Z punktu widzenia firm każdy taki atak to nie tylko problem operacyjny, ale również ryzyko utraty reputacji, kar finansowych (w przypadku naruszeń RODO) i konieczność kosztownej odbudowy infrastruktury.

Naruszenia danych: nie tylko efekt uboczny

W ślad za wzrostem liczby ataków poszły również naruszenia danych. W maju odnotowano ich ponad 580 — o 80 więcej niż miesiąc wcześniej. To wyraźny znak, że cyberataki coraz częściej kończą się nie tylko próbą zaszyfrowania danych czy przejęcia systemu, ale również realnym wyciekiem informacji – zarówno osobowych, jak i biznesowych.

Wzrost incydentów tego typu zwiększa presję regulacyjną na firmy, a także sprawia, że zarządy coraz częściej muszą traktować cyberbezpieczeństwo jako integralną część zarządzania ryzykiem i ładu korporacyjnego.

Rośnie presja na prewencję

Wnioski płynące z raportu Acronis nie są nowe, ale dziś brzmią donośniej niż zwykle: prewencja to jedyny realny sposób na ograniczenie strat. Regularne zmiany haseł, szyfrowanie wrażliwych danych, wdrażanie narzędzi opartych na AI, bieżące aktualizacje systemów oraz ochrona komunikacji e-mail to obecnie absolutne minimum.

W kontekście stale ewoluującego krajobrazu zagrożeń, firmy muszą inwestować nie tylko w narzędzia, ale też w kompetencje zespołów IT, edukację użytkowników i systemowe podejście do zarządzania incydentami.

Majowe statystyki to nie tylko zbiór liczb – to sygnał ostrzegawczy dla całego rynku. Ochrona przed cyberzagrożeniami przestaje być zadaniem wyłącznie dla specjalistów IT. Zarządzanie ryzykiem cyfrowym wkracza na salony zarządów, do działów compliance i finansów.

Dla dostawców technologii, integratorów i firm z sektora kanału sprzedaży IT oznacza to rosnący popyt na kompleksowe, skalowalne rozwiązania bezpieczeństwa — nie tylko techniczne, ale też organizacyjne i edukacyjne.

7 lipca, 2025
Ingram Micro ofiarą ataku ransomware. Zakłócenia globalnych operacji dystrybucyjnych

Awaria systemów Ingram Micro została wywołana atakiem ransomware – potwierdza firma w oficjalnym komunikacie. Za incydentem stoi gang SafePay, który od początku roku prowadzi agresywną kampanię wymierzoną w duże przedsiębiorstwa. Informacje, jako pierwszy, podał serwis Sleeping Computer.

Atak rozpoczął się w czwartek rano i spowodował czasowe wyłączenie krytycznych systemów Ingram Micro, w tym platformy zamówień online oraz wewnętrznych narzędzi wspierających działalność operacyjną. Wśród dotkniętych systemów znajdują się m.in. Xvantage – oparta na AI platforma dystrybucyjna, oraz Impulse – system udostępniania licencji. Jak wynika z nieoficjalnych informacji, niektórym pracownikom zalecono przejście na pracę zdalną oraz zaprzestanie korzystania z firmowej sieci VPN.

Chociaż firma nie potwierdziła publicznie, że padła ofiarą cyberataku, komunikaty wewnętrzne i zakłócenia w działaniu usług wskazują na szeroko zakrojony incydent bezpieczeństwa. Na urządzeniach pracowników miały pojawić się typowe dla ataków ransomware notatki z żądaniem okupu. Ich treść odpowiada schematowi stosowanemu przez grupę SafePay, która od końca 2024 roku zebrała już ponad 220 ofiar.

Z informacji przekazywanych przez źródła zbliżone do śledztwa wynika, że wektor ataku mógł stanowić dostęp przez platformę VPN GlobalProtect – narzędzie powszechnie wykorzystywane w korporacyjnych środowiskach hybrydowych. Grupy ransomware coraz częściej wykorzystują wrażliwe punkty VPN, ataki brute-force oraz dane uwierzytelniające uzyskane w wyniku wcześniejszych naruszeń.

SafePay to stosunkowo nowy gracz w środowisku ransomware-as-a-service, jednak w krótkim czasie zyskał reputację wyjątkowo skutecznego i agresywnego. Swoje ataki opiera na zautomatyzowanych łańcuchach infekcji oraz schematach wykradania danych, choć w tym przypadku nie potwierdzono, czy doszło do zaszyfrowania plików lub kradzieży informacji. Co istotne, stosowane przez grupę sformułowania w notatkach okupowych są standardowe i nie zawsze przekładają się na rzeczywisty zakres naruszeń.

Dla rynku IT zdarzenie to ma poważne konsekwencje. Ingram Micro, jako jeden z kluczowych dystrybutorów technologii i usług B2B, obsługuje partnerów i resellerów na całym świecie. Przerwy w funkcjonowaniu systemów logistycznych i licencyjnych mogą wpłynąć na dostępność produktów oraz realizację zamówień, zwłaszcza w środowiskach MSP i integratorskich.

To kolejny dowód na to, jak newralgiczne dla globalnych łańcuchów technologicznych są kwestie cyberbezpieczeństwa. Im bardziej złożona jest infrastruktura IT – obejmująca AI, chmurę i integracje zewnętrzne – tym bardziej podatna staje się na zautomatyzowane kampanie ransomware. Przypadek Ingram Micro to nie tylko incydent techniczny, ale ostrzeżenie dla całego sektora dystrybucji.

7 lipca, 2025
Raport Sophos: Dlaczego firmy wciąż przegrywają z ransomware?

Nowy raport Sophos „State of Ransomware 2025” rzuca światło na ewolucję zagrożeń, które dziś dotykają nie tylko systemów, ale przede wszystkim luk organizacyjnych i kompetencyjnych w firmach. Aż 40 proc. przedsiębiorstw, które padły ofiarą ataku, przyznało, że nie posiadało odpowiedniej wiedzy do przeciwdziałania zagrożeniom – a tyle samo dowiedziało się o lukach dopiero po fakcie.

Braki kadrowe, niedoinwestowanie w ochronę IT i niezałatane podatności – te trzy elementy tworzą nową triadę cyberzagrożeń. Nie ma dziś jednego dominującego wektora ataku – firmy wskazywały średnio trzy współwystępujące przyczyny skuteczności ransomware. Co znamienne, aż 65 proc. respondentów przyznało, że padło ofiarą przez znane lub nieuświadomione luki w zabezpieczeniach.

Z danych Sophos wynika, że tradycyjna metoda – szyfrowanie danych i żądanie okupu – powoli ustępuje miejsca bardziej wyrafinowanym formom szantażu. Tylko połowa ataków wiązała się z szyfrowaniem danych, najniżej od sześciu lat. Zamiast tego rośnie udział incydentów, w których przestępcy po prostu kradną dane i grożą ich ujawnieniem. Zjawisko to szczególnie dotyka większych firm – są one o 40 proc. bardziej narażone na wyciek danych niż mniejsze organizacje.

Mimo rosnącej świadomości i spadku średnich kwot okupu (do 1 mln USD), aż 49 proc. firm decyduje się płacić przestępcom. Zaledwie połowa sięga po kopie zapasowe – najniższy odsetek od sześciu lat. Tymczasem to właśnie backup i szybka reakcja pozostają kluczowe dla odzyskania sprawności – co trzecia firma korzystała też z innych metod, np. publicznych kluczy deszyfrujących.

Dobra wiadomość? Firmy szybciej wracają do działania – 53 proc. w ciągu tygodnia. Zła? Wciąż zbyt wiele organizacji działa reaktywnie. Raport Sophos to kolejne ostrzeżenie, że skuteczna cyberochrona nie może być oparta tylko na technologii. Potrzebna jest także strategia, ludzie i świadomość, że szantaż dziś rzadziej nosi kaptur – a częściej ma adres e-mail.

26 czerwca, 2025
Jak ransomware-as-a-service zmienia cyberbezpieczeństwo w 2025 roku

W branży cyberbezpieczeństwa nie brakuje nowych wyzwań, ale jedno z nich wyrasta ponad resztę: ransomware. W 2023 roku globalne straty z tytułu okupu przekroczyły miliard euro, a rzeczywiste koszty – związane z przestojami, odbudową systemów i utratą zaufania – są wielokrotnie wyższe. Co gorsza, krajobraz zagrożeń staje się coraz bardziej zindustrializowany i wyrafinowany. Ataki są lepiej zaplanowane, trudniejsze do wykrycia i skuteczniejsze. Dla firm oznacza to jedno: ransomware to nie tylko problem IT – to ryzyko egzystencjalne.

Ransomware jako usługa

Jeszcze kilka lat temu ransomware był dziełem pojedynczych cyberprzestępców. Dziś to branża z własnym łańcuchem wartości. Modele ransomware-as-a-service (RaaS) pozwalają tworzyć złośliwe oprogramowanie, które następnie wynajmowane jest „afiliantom” – grupom atakującym ofiary. W tym modelu autorzy złośliwego kodu oferują wsparcie techniczne, aktualizacje i instrukcje, a afilianci dzielą się zyskami z okupu.

W 2024 roku nowym graczem na tym rynku została platforma RansomHub, która przejęła schedę po rozbitych grupach ALPV/BlackCat i LockBit. Jej narzędziami posłużyła się m.in. grupa ShadowSyndicate, znana z ataków na cele w Europie i USA. Takie „franczyzy” pokazują, jak bardzo przestępczość zorganizowana weszła na terytorium cyfrowe – i jak trudne staje się jej zwalczanie.

Szantaż, który działa

Drugi czynnik eskalacji zagrożenia to podwójny szantaż. Atakujący nie tylko szyfrują dane, ale również je wykradają. Następnie grożą ich upublicznieniem – np. na dedykowanych stronach w darknecie – jeśli ofiara nie zapłaci okupu. Ofiary są często zmuszane do szybkiej decyzji, nierzadko pod presją zegara odliczającego czas do wycieku.

Ten model – łączący blokadę operacyjną z reputacyjnym ryzykiem – okazuje się skuteczny. Przedsiębiorstwa, zwłaszcza te bez skutecznych kopii zapasowych lub planów reagowania kryzysowego, często wybierają opcję płatności.

Szyfrowanie, którego nie da się złamać

Techniczna strona ataków również uległa radykalnemu postępowi. Współczesne ransomware korzysta z kombinacji szyfrowania AES i RSA – pliki są szyfrowane lokalnie, a klucz odszyfrowujący przechowywany na serwerze przestępców. To oznacza, że bez klucza prywatnego (którego ofiara nie posiada) odzyskanie danych jest praktycznie niemożliwe. Dla wielu firm jedyną drogą ratunku pozostaje zapłata.

Jak atakujący dostają się do systemów?

Wejście do sieci najczęściej następuje przez phishing, niezałatane luki w oprogramowaniu lub zdalny dostęp (RDP/VPN) bez zabezpieczeń. Częste są także ataki na łańcuch dostaw, w których ofiara staje się celem pośrednim – poprzez skompromitowanego partnera lub dostawcę IT. Na popularności zyskuje też handel danymi dostępowymi na forach darknetu – administratorzy, których dane logowania zostały skradzione, mogą nie wiedzieć, że stali się furtką do ataku.

Odporność zamiast reakcji

Co mogą zrobić firmy? Eksperci nie pozostawiają złudzeń: kluczowe są prewencja i procedury. A najlepszą strategią jest dwuetapowa obrona: techniczna i organizacyjna.

Po stronie technologii podstawą są rozwiązania klasy EDR/XDR (np. CrowdStrike, SentinelOne, Microsoft Defender), zapory NextGen (Check Point, Fortinet), systemy SIEM i MDR, a także narzędzia do backupu odporne na manipulacje (Rubrik, Veeam). Ważna jest również segmentacja sieci, MFA i monitoring w czasie rzeczywistym.

Po stronie organizacyjnej firmy powinny inwestować w regularne szkolenia z cyberhigieny (np. KnowBe4, Proofpoint), testy phishingowe, plany reagowania kryzysowego i symulacje incydentów. Zaskakująco, według danych z Niemiec, aż 60% firm nie posiada żadnego formalnego planu działania na wypadek cyberataku.

Ramy takie jak NIST Cybersecurity Framework czy ISO 27001 pomagają uporządkować działania, ale same w sobie nie gwarantują bezpieczeństwa. Liczy się wdrożenie i konsekwencja.

Ransomware to już nie incydent – to model biznesowy

Firmy muszą przestać traktować ransomware jako rzadkie zdarzenie. To powtarzalna, skalowalna i profesjonalna działalność przestępcza, której jedynym celem jest zysk. Dobrze zorganizowani przestępcy, korzystający z gotowych platform, nie potrzebują wielkiej wiedzy technicznej – wystarczy kupić dostęp i wybrać ofiarę.

W tym kontekście szybkość reakcji i zdolność do odbudowy stają się równie ważne co zapobieganie. W świecie, gdzie ransomware staje się usługą, odporność organizacyjna staje się usługą krytyczną.

19 czerwca, 2025
Ransomware w mikrokodzie: cicha luka pod systemem operacyjnym

Nowe odkrycie badacza z Rapid7 pokazuje, jak głęboko mogą sięgnąć zagrożenia cybernetyczne – dosłownie. Okazuje się, że warstwa mikrokodu, czyli niskopoziomowe oprogramowanie zarządzające instrukcjami procesora, może zostać wykorzystana do osadzenia ransomware bezpośrednio w chipie. To poziom, który omija wszystkie znane warstwy zabezpieczeń – od antywirusów po sandboxy i systemy EDR.

Proof-of-concept zaprezentowany przez Christiaana Beeka pokazuje, że złośliwe aktualizacje mikrokodu są nie tylko możliwe, ale i potencjalnie niewykrywalne. Teoretycznie wymagają one fizycznego lub uprzywilejowanego dostępu do systemu, ale sam fakt istnienia takiej ścieżki ataku to sygnał ostrzegawczy.

Dla branży IT i cyberbezpieczeństwa to ważne przypomnienie: im niższy poziom w systemie, tym trudniejsza detekcja. Jeśli ransomware trafi do mikrokodu, nie pomoże ani reinstalacja systemu, ani wymiana dysku – jedyną skuteczną metodą może być wymiana całego procesora.

Choć ryzyko masowego wykorzystania tej techniki jest dziś niskie, luka pokazuje słabość obecnych modeli zaufania do sprzętu. Sektor zbroi się w zaawansowane technologie, ale to podstawy – jak MFA i kontrola dostępu – nadal decydują o odporności. Inaczej możemy wygrać bitwę o AI, a przegrać wojnę z firmware’em.

13 maja, 2025
IBM bije na alarm: kradzież poświadczeń wypiera ransomware

W 2024 roku ransomware zszedł na dalszy plan. Cyberprzestępcy coraz rzadziej stawiają na widowiskowe ataki z szyfrowaniem danych, a coraz częściej wybierają coś znacznie bardziej cennego i mniej ryzykownego: kradzież danych uwierzytelniających. Jak pokazuje opublikowany właśnie raport IBM X-Force Threat Intelligence Index 2025, niemal połowa wszystkich cyberataków w ubiegłym roku zakończyła się przejęciem poświadczeń lub danych – i ten trend nabiera rozpędu.

Gospodarka nieautoryzowanego dostępu

Tożsamość stała się punktem wejścia, walutą i towarem. Według danych IBM X-Force, liczba e-maili zawierających tzw. infostealery – złośliwe oprogramowanie kradnące dane logowania – wzrosła w 2024 roku o 84%, a wstępne dane za 2025 mówią nawet o 180-procentowym wzroście rok do roku.

Za tą zmianą stoi nie tylko technologia, ale też kalkulacja ryzyka. Kradzież tożsamości jest cichsza, bardziej skalowalna i trudniejsza do wykrycia niż ransomware. Atakujący coraz rzadziej zostawiają po sobie ślady – często rezygnując z trwałej obecności w systemie na rzecz szybkiego przejęcia konta i monetyzacji dostępu na forach dark webu. To nowa normalność: zautomatyzowany phishing wspomagany przez AI, masowe przejęcia kont i gotowe zestawy do obchodzenia MFA.

IBM alarmuje – ransomware się kurczy, ale nie znika

Choć ransomware pozostaje najczęstszym rodzajem złośliwego oprogramowania, jego udział w krajobrazie zagrożeń maleje. IBM wskazuje na spadek liczby incydentów tego typu, co pokrywa się z globalną presją organów ścigania i likwidacją infrastruktury botnetowej. Część znanych grup, takich jak Wizard Spider czy QakBot Group, zniknęła z radarów lub przekształciła się w bardziej rozproszone operacje. Inne – jak Clop czy Lockbit – zaczęły rozwijać narzędzia dostosowane do systemów Linux, co sugeruje zmianę targetu i próbę utrzymania rentowności w nowych sektorach.

Europa pod ostrzałem, przemysł na celowniku

Europa – mimo mniejszego udziału w globalnych statystykach niż Azja czy Ameryka Północna – pozostaje jednym z najczęściej atakowanych regionów. Wysoka koncentracja infrastruktury krytycznej, złożone środowiska chmurowe i zależność od starszych technologii to połączenie, które przyciąga atakujących.

Sektor przemysłowy, czwarty rok z rzędu, był najbardziej dotknięty ransomware. Przestoje w produkcji to wciąż jeden z najbardziej kosztownych scenariuszy, co czyni ten sektor łakomym kąskiem dla cyberprzestępców – zwłaszcza tych, którzy wciąż wierzą w opłacalność szyfrowania danych.

Systemy niedoinwestowane, zabezpieczenia spóźnione

Raport IBM X-Force zwraca też uwagę na chroniczne zapóźnienia w aktualizacjach bezpieczeństwa. Ponad połowa instancji Red Hat Enterprise Linux nie miała załatanej przynajmniej jednej krytycznej luki, a 18% – pięciu lub więcej. To nie jest tylko kwestia infrastruktury IT – to cicha akceptacja ryzyka w organizacjach, które często mają trudność z wdrożeniem nawet podstawowych praktyk bezpieczeństwa.

Przestępczość się profesjonalizuje, firmy wciąż reagują z opóźnieniem

Najbardziej niepokojące w raporcie IBM X-Force nie są same dane, ale kierunek, w jakim zmierza cyberprzestępczość. Z organizacji przestępczych stają się one coraz bardziej przypominać sprawnie działające przedsiębiorstwa: korzystające z narzędzi AI, oferujące „usługi w abonamencie” i działające globalnie.

Tymczasem firmy – zwłaszcza w Europie – wciąż częściej gaszą pożary niż zapobiegają ich powstawaniu. Reaktywna strategia wobec zagrożeń przestaje być wystarczająca, a klasyczne zabezpieczenia – jak MFA – stają się podatne na nowe techniki obejścia.

23 kwietnia, 2025
MDR obniża koszt ataku ransomware o 97,5%. Nowe dane Sophos

Gdy ransomware stał się biznesem o miliardowych obrotach, coraz więcej organizacji szuka sposobów na ograniczenie ryzyka — nie tylko w ujęciu technologicznym, ale też finansowym. Według najnowszego raportu Sophos, różnice między podejściem tradycyjnym a usługami Managed Detection and Response (MDR) są wyraźniejsze niż kiedykolwiek.

97,5% mniej. Tyle wynosi różnica w odszkodowaniach

Z badania przeprowadzonego przez niezależną firmę Vanson Bourne na zlecenie Sophos wynika, że organizacje korzystające z MDR zgłaszają średnio 97,5% niższe roszczenia odszkodowawcze po cyberataku niż te, które polegają wyłącznie na tradycyjnym bezpieczeństwie punktów końcowych. W liczbach bezwzględnych to 75 tys. USD vs. 3 mln USD.

Powód? Zespoły MDR, działające w trybie 24/7, są w stanie szybciej zidentyfikować i zatrzymać atak, zanim wyrządzi on poważne szkody. Kluczowa okazuje się tu nie tylko technologia, ale i doświadczenie — w wielu przypadkach lokalne zespoły IT po prostu nie mają ani kompetencji, ani zasobów, by reagować z taką samą skutecznością.

EDR i XDR – krok w dobrą stronę, ale to jeszcze nie MDR

Co ciekawe, również organizacje korzystające z bardziej zaawansowanych narzędzi, jak EDR (Endpoint Detection and Response) czy XDR (Extended Detection and Response), osiągają lepsze wyniki niż ci, którzy ograniczają się do podstawowej ochrony. Średnia wysokość roszczenia w tej grupie to 500 tys. USD — znacznie mniej niż 3 mln USD, ale nadal sześciokrotnie więcej niż w przypadku MDR.

Sophos zwraca uwagę, że skuteczność rozwiązań EDR/XDR silnie zależy od kompetencji zespołów wewnętrznych. W odróżnieniu od usług MDR, które zakładają aktywną interwencję ekspertów zewnętrznych, narzędzia EDR/XDR są pasywne — wykrywają, ale niekoniecznie reagują. A czas ma tu znaczenie kluczowe.

Czas to pieniądz — dosłownie

Różnice w szybkości odzyskiwania po ataku ransomware są równie uderzające. Organizacje z MDR wracają do normalnego działania średnio po trzech dniach. Dla porównania, przy samym EDR/XDR to aż 55 dni, a w przypadku zabezpieczeń tradycyjnych — 40 dni.

To nie tylko kwestia operacyjna. Dłuższy czas przestoju przekłada się bezpośrednio na koszty — zarówno w postaci utraconych przychodów, jak i naruszonej reputacji.

Co mówią dane?

Badanie objęło 282 roszczenia odszkodowawcze zgłoszone przez 232 organizacje na całym świecie. Przeanalizowano przypadki firm korzystających z łącznie 19 różnych rozwiązań endpointowych i 14 dostawców usług MDR. Wszystkie organizacje miały aktywne MFA w momencie ataku, co pozwala zminimalizować wpływ tego czynnika na wyniki.

Jednym z ciekawszych wniosków jest też większa przewidywalność szkód wśród użytkowników MDR. Roszczenia w tej grupie były bardziej spójne, co może mieć istotne znaczenie z punktu widzenia ubezpieczycieli. W przypadku EDR/XDR rozrzut był znacznie większy, co sugeruje, że te technologie — choć potencjalnie skuteczne — wciąż pozostawiają pole do ludzkiego błędu.

Co to oznacza dla kanału partnerskiego?

Dla dostawców rozwiązań IT i partnerów MSP, dane Sophos mogą stać się potężnym argumentem sprzedażowym. MDR nie tylko zmniejsza ryzyko, ale również czyni je bardziej przewidywalnym — a to, w oczach klientów i ich ubezpieczycieli, ma ogromną wartość.

Pytanie nie brzmi więc: czy MDR się opłaca? Raczej: jak długo jeszcze można sobie pozwolić na jego brak.

25 marca, 2025
Rekordowy luty: 962 organizacje ofiarami ransomware – wzrost o 126%
Luty 2025 roku zapisał się w historii cyberbezpieczeństwa jako miesiąc o rekordowej liczbie ataków ransomware. Według najnowszego raportu Bitdefender, odnotowano aż 962 ofiary na całym świecie, co stanowi wzrost o 126% w porównaniu z lutym 2024 roku.

Clop na czele atakujących

Spośród wszystkich ataków, grupa ransomware Clop (Cl0p) była odpowiedzialna za 335 incydentów, co oznacza trzykrotny wzrost w porównaniu z poprzednim miesiącem. Ta nagła eskalacja jest wynikiem zmiany strategii cyberprzestępców, którzy coraz częściej wykorzystują nowo odkryte luki w oprogramowaniu dostępnym z poziomu Internetu.

Szybkie wykorzystanie luk w zabezpieczeniach

Po ujawnieniu nowej luki w zabezpieczeniach, cyberprzestępcy w ciągu 24 godzin skanują Internet w poszukiwaniu podatnych systemów. Po uzyskaniu dostępu, rozpoczynają ręczne ataki, które mogą prowadzić do wdrożenia ransomware lub kradzieży danych tygodnie, a nawet miesiące później.

Przykład: luki w oprogramowaniu Cleo

Doskonałym przykładem takiego podejścia są luki CVE-2024-50623 i CVE-2024-55956 w oprogramowaniu Cleo Harmony, VLTrader i LexiCom. Obie luki, ocenione na 9,8 w skali CVSS, umożliwiały zdalne wykonanie poleceń na zaatakowanych systemach. Chociaż zostały ujawnione odpowiednio w październiku i grudniu 2024 roku, większość ataków miała miejsce w lutym 2025 roku, co pokazuje opóźnienie między wykryciem luki a jej wykorzystaniem przez przestępców.

Nowe techniki ataków

Oprócz rekordowej liczby ataków, raport Bitdefender ujawnia nowe techniki stosowane przez cyberprzestępców.Niektóre grupy wykorzystują deepfake’i oraz kamery internetowe do ominięcia mechanizmów wykrywania i wdrożenia ransomware. Ponadto, coraz częściej stosowane są podwójne wymuszenia, zwłaszcza w przypadku pojawienia się nowych grup ransomware na scenie cyberprzestępczej.

Zalecenia dla organizacji

W obliczu rosnącego zagrożenia, Bitdefender zaleca organizacjom:
- Aktywne wykrywanie zagrożeń: Monitorowanie sieci i systemów w celu szybkiego identyfikowania podejrzanej aktywności.
- Szybkie wdrażanie łatek: Regularne aktualizowanie oprogramowania, aby zamknąć potencjalne luki bezpieczeństwa.
- Korzystanie z zaawansowanych systemów wykrywania: Wdrożenie narzędzi do wykrywania i reagowania na incydenty, które mogą pomóc w szybkim powstrzymaniu ataków ransomware.
Wdrożenie tych działań może znacząco zwiększyć poziom ochrony przed rosnącym zagrożeniem ze strony ransomware.
14 marca, 2025
Atak ransomware na żywo – zobacz, jak działają hakerzy i jak się bronić

Cyberprzestępcy nie zwalniają tempa – prognozy na 2025 rok wskazują, że liczba ataków ransomware na polskie przedsiębiorstwa może przekroczyć 2 tysiące tygodniowo. Polska awansowała na 7. miejsce w globalnym rankingu najczęściej atakowanych państw, co świadczy o rosnącym zainteresowaniu cyberprzestępców naszym rynkiem, przy czym celują oni zwłaszcza w firmy z sektorów: finansowego, administracyjnego i przemysłowego.

Przestępcy nie próżnują i coraz częściej stosują podwójne wymuszenia – żądając zarówno okupu za odszyfrowanie danych, jak i grożąc ujawnieniem skradzionych informacji. Poza tym, każdy atak oznacza nie tylko ryzyko utraty danych, ale także kosztowne przestoje oraz potencjalną skazę na reputacji firmy.

Na żywo: Jak wygląda atak ransomware i jak go zatrzymać?

Ransomware działa w sposób niezwykle podstępny – często infekuje systemy organizacji tygodniami, zanim hakerzy zdecydują się na uruchomienie szyfrowania plików. Symulację rzeczywistego ataku ransomware będzie można zobaczyć podczas webinaru „Ochrona przed ransomware: Zintegrowane rozwiązania Dell Technologies dla nowoczesnego biznesu”, gdzie doświadczeni eksperci z firm Dell Technologies i Advatech pokażą na żywo, jak w praktyce wygląda taki atak: od momentu zainfekowania systemu, przez eskalację uprawnień, aż po zaszyfrowanie kluczowych plików.

Wiele przedsiębiorstw nie zdaje sobie sprawy, że atak może nastąpić błyskawicznie, a przywrócenie sprawności systemów trwa nawet kilka tygodni, jeśli nie zastosowano odpowiednich zabezpieczeń i strategii. Symulacja zaprezentowana podczas webinaru pomoże zrozumieć, jak przestępcy wykorzystują luki w zabezpieczeniach, aby dostać się do infrastruktury IT.

Krajobraz po ataku ransomware – skutki dla biznesu i infrastruktury IT

Ransomware to nie tylko problem techniczny – jego skutki mogą prowadzić do poważnych konsekwencji prawnych i finansowych. Przekonała się o tym spółka American Heart of Poland SA, na którą Prezes UODO nałożył karę w wysokości prawie 1,5 mln zł za naruszenie ochrony danych osobowych po ataku ransomware. Cyberprzestępcy wykradli i opublikowali w darknecie dane pacjentów, w tym numery PESEL, adresy, informacje o stanie zdrowia, a nawet dane logowania i kont bankowych. Co więcej, atakujący zażądali okupu w wysokości 3 mln dolarów, grożąc dalszym ujawnianiem poufnych informacji.

Takie przykłady niestety nie są rzadkością. Należy zauważyć, że wiele firm, które zostały dotknięte atakami i nie były odpowiednio przygotowane, musiało całkowicie zakończyć działalność. Przygotowanie na atak to nie tylko kwestia technologii, ale także strategii i procedur. Firmy powinny regularnie przeprowadzać testy odpornościowe, wdrażać polityki zarządzania kryzysowego i stosować rozwiązania, które pozwalają na szybkie przywrócenie operacji biznesowych.

Bezpieczeństwo i ciągłość biznesu dzięki zintegrowanym rozwiązaniom Dell Technologies

Wobec rosnącej liczby ataków ransomware kluczowym wyzwaniem dla firm jest odpowiednie zabezpieczenie ich infrastruktury IT. Bezpieczne Data Center musi łączyć zarówno ochronę fizyczną, jak i cyfrową, aby skutecznie minimalizować ryzyko utraty danych i długotrwałych przestojów. Jednym z fundamentów bezpieczeństwa jest segmentacja infrastruktury – podział na strefy o różnych poziomach dostępu ogranicza rozprzestrzenianie się zagrożeń w przypadku ataku.

Równie istotna jest redundancja systemów, czyli mechanizmy automatycznego przełączania na zapasowe środowisko w razie awarii. Niestety, wiele organizacji nadal nie posiada skutecznych narzędzi do szybkiego odzyskiwania danych po ataku, co wydłuża czas przestoju i prowadzi do znaczących strat finansowych. Odpowiednio zaprojektowane rozwiązania backupowe, przechowywane w odizolowanych, bezpiecznych środowiskach, są kluczowe dla ciągłości działania firmy. Podczas webinaru organizowanego przez Advatech i Dell Technologies, eksperci podzielą się wiedzą na temat tego, jak powinna wyglądać bezpieczna infrastruktura serwerowo-macierzowa i na co zwrócić uwagę przy projektowaniu systemu backupu. Zaprezentują także rozwiązania i najlepsze praktyki Dell Technologies dla zapewnienia cyberbezpieczeństwa platformom serwerowym oraz zintegrowane funkcjonalności cyber-resilience w zakresie utrzymania i rozwoju platformy przetwarzania i składowania danych Dell.

Dołącz do wydarzenia, podczas którego zobaczysz symulację rzeczywistego ataku ransomware na żywo i poznasz najlepsze strategie cyberochrony firmy. Dowiedz się, jak skutecznie zabezpieczyć środowisko IT i uniknąć kosztownych przestojów podczas webinaru „Ochrona przed ransomware: Zintegrowane rozwiązania Dell Technologies dla nowoczesnego biznesu”

Data: 13 marca 2025
Godzina: 11.00 – 12.30
Rejestracja
Organizatorzy: Advatech, Dell Technologies

3 marca, 2025
Cyberbezpieczeństwo 2025 – ransomware nadal groźne, ale wektor ataków się zmienia
W ostatnim kwartale 2024 roku badacze zauważyli zmiany, jeśli chodzi o cyberbezpieczeństwo firm – cyberprzestępcy zmienili podejście do uzyskiwania początkowego dostępu do systemów, coraz częściej wykorzystując web shell. Według raportu Cisco Talos, zamiast tradycyjnego przejmowania legalnych kont użytkowników, hakerzy skoncentrowali się na lukach bezpieczeństwa i niezałatanych, publicznie dostępnych aplikacjach.

W 35% incydentów w IV kwartale przestępcy korzystali z open-source’owych interfejsów web shell do atakowania niezaktualizowanych aplikacji internetowych. To znaczący wzrost w porównaniu do 10% z poprzedniego kwartału. Eksperci podkreślają, że ten trend wymaga skuteczniejszego monitorowania aplikacji oraz wdrażania polityk zarządzania uprawnieniami.

Ransomware: tymczasowy spadek i świąteczne wzmożenie ataków

Chociaż aktywność ransomware nieco osłabła w IV kwartale, w okresie okołoświątecznym ponownie wzrosła, głównie za sprawą grupy BlackBasta. To pokazuje, że zagrożenie to wciąż pozostaje istotnym ryzykiem, a w 2025 roku może powrócić ze zdwojoną siłą.

Ransomware, pre-ransomware oraz techniki szantażu z wykorzystaniem skradzionych danych stanowiły blisko 30% analizowanych przypadków – w porównaniu do 40% w poprzednim kwartale. Cisco Talos zwraca również uwagę na nowe zagrożenia, takie jak Interlock ransomware, przy jednoczesnej aktywności grup BlackBasta i RansomHub.

Cyberbezpieczeństwo i kluczowa luka

W 75% przypadków atakujący uzyskali dostęp do systemów poprzez przejęcie kont użytkowników, co było możliwe z powodu braku skutecznego uwierzytelniania wieloskładnikowego (MFA). Operatorzy BlackBasta w jednym z incydentów wykorzystali socjotechnikę, podszywając się pod dział IT ofiary w celu przejęcia danych logowania.

Ponadto, w niemal wszystkich atakach ransomware wykryto użycie narzędzi zdalnego dostępu. W poprzednim kwartale wskaźnik ten wynosił jedynie 13%, a w IV kwartale już 75% incydentów obejmowało wykorzystanie Splashtop, Atera, Netop, AnyDesk lub LogMeIn.

Eksploatacja podatnych aplikacji jako nowa dominująca metoda

Eksploatacja podatnych aplikacji publicznych stała się najczęstszą metodą uzyskiwania początkowego dostępu, odpowiadając za 40% przypadków. Wcześniej dominowało przejmowanie kont użytkowników. Ten wzrost ataków oraz ich konsekwencje podkreślają konieczność skutecznego zarządzania podatnościami oraz regularnych aktualizacji systemów.

Wzrost ataków typu password spraying

Od grudnia 2024 roku Cisco Talos odnotowało wzrost ataków password spraying. Hakerzy masowo próbowali odgadnąć i używać haseł w krótkim czasie, co prowadziło do blokowania kont użytkowników i utrudnienia dostępu do usług VPN. W jednym przypadku zanotowano niemal 13 milionów prób logowania w ciągu 24 godzin, co świadczy o wykorzystaniu zaawansowanych, zautomatyzowanych narzędzi.

Najczęściej atakowane sektory

Sektor edukacyjny po raz kolejny pozostawał najbardziej narażoną branżą, odpowiadając za niemal 30% wszystkich przypadków ransomware. Przyczyną jest ograniczony budżet IT placówek edukacyjnych oraz duża liczba użytkowników, co zwiększa podatność na ataki socjotechniczne.

Zalecenia Cisco Talos dla organizacji

Aby ograniczyć ryzyko ataków, Cisco Talos zaleca:
- Wdrożenie MFA – większość organizacji dotkniętych ransomware miała niewłaściwie skonfigurowane MFA lub mechanizm ten został złamany.
- Regularne aktualizacje – 15% incydentów wynikało z użycia przestarzałego oprogramowania.
- Segmentację sieci – 40% ataków web shell było możliwych z powodu słabej segmentacji sieci.
- Zastosowanie narzędzi EDR (Endpoint Detection and Response) – w 25% przypadków brakowało odpowiednich zabezpieczeń lub były one źle skonfigurowane.
IV kwartał 2024 roku przyniósł istotne zmiany w krajobrazie cyberzagrożeń. Ataki na podatne aplikacje internetowe stały się częstsze, a ransomware nadal stanowi poważne zagrożenie. Organizacje muszą konsekwentnie wdrażać skuteczne strategie cyberbezpieczeństwa, w tym MFA, segmentację sieci oraz regularne aktualizacje systemów. Eksperci podkreślają, że ochrona przed cyberatakami to proces wymagający stałego monitorowania, dostosowywania strategii oraz edukacji użytkowników.
18 lutego, 2025
Ransomware w odwrocie? Płatności okupu spadły o 35% w 2024 roku

W 2024 roku globalne płatności za ransomware spadły o 35%, osiągając wartość 813,55 mln dolarów. Dane te, opublikowane przez Chainalysis, pokazują, że działania organów ścigania oraz rosnąca odporność firm na ataki ransomware zaczynają przynosić efekty. Coraz więcej organizacji decyduje się nie płacić okupu, korzystając z kopii zapasowych i narzędzi deszyfrujących zamiast ulegać cyberprzestępcom.

Nagły zwrot w drugiej połowie roku

Początek 2024 roku nie zapowiadał tego trendu – liczba prób ataków ransomware wzrosła o 2,38% w porównaniu do analogicznego okresu w 2023 roku. Jednak w drugiej połowie roku nastąpił gwałtowny spadek płatności – aż o 34,9%. Oznacza to, że pomimo rosnącej liczby ataków, firmy skuteczniej odpierają zagrożenia i rzadziej decydują się na zapłatę.

Najaktywniejsze grupy cyberprzestępcze

Większość grup ransomware odnotowała spadek aktywności, z wyjątkiem Akiry – jedynej z dziesięciu najaktywniejszych grup, która zwiększyła swoje działania w drugiej połowie 2024 roku. Ponadto różnica między żądanymi kwotami a faktycznie płaconymi okupami wzrosła o 53%, co sugeruje, że ofiary coraz częściej negocjują lub znajdują alternatywne metody odzyskiwania danych.

Nowe zagrożenia pomimo spadku płatności

Pomimo optymistycznych danych dotyczących ransomware, rok 2024 przyniósł inne wyzwania dla cyberbezpieczeństwa. Liczba nowych witryn publikujących wykradzione dane podwoiła się. Niektóre grupy cyberprzestępcze zawyżały skalę swoich ataków, publikując ponownie te same wycieki lub sugerując dostęp do globalnych korporacji, gdy w rzeczywistości naruszały tylko lokalne oddziały.

LockBit i ALPV tracą na znaczeniu

Operacje policyjne odegrały kluczową rolę w ograniczeniu aktywności cyberprzestępców. W lutym 2024 roku grupa LockBit – jedna z najaktywniejszych w 2023 roku – została dotknięta szeroko zakrojoną akcją służb. W efekcie płatności na jej rzecz spadły o 79% między lipcem a grudniem, a jej udział w globalnych atakach zmniejszył się z 26% do 20%. Z kolei druga pod względem aktywności grupa ALPV zakończyła działalność po serii nieudanych ataków.

Nowe techniki i przyszłe wyzwania

Choć obecne trendy wydają się korzystne dla cyberbezpieczeństwa, grupy ransomware nadal ewoluują, wykorzystując nowe techniki unikania wykrycia. Kod źródłowy wielu narzędzi ransomware krąży w sieci, co sprzyja powstawaniu nowych grup. Ponadto przestępcy skracają czas negocjacji okupu – obecnie rozpoczynają się one już kilka godzin po ataku.

Władze i firmy muszą kontynuować działania na rzecz poprawy cyberbezpieczeństwa, aby uczynić ransomware nieopłacalnym dla przestępców. Mimo spadku płatności, zagrożenie wciąż ewoluuje, a walka z cyberatakami pozostaje kluczowym wyzwaniem na kolejne lata.

8 lutego, 2025
Ransomware Interlock uderza w korporacje

Ransomware pozostaje jednym z najpoważniejszych zagrożeń w świecie cyfrowym, nieustannie się rozwijając i adaptując do nowych zabezpieczeń. Najnowszym przykładem jest Interlock – nowy rodzaj złośliwego oprogramowania, który przyciągnął uwagę badaczy z Cisco Talos. Interlock wyróżnia się zaawansowaniem technicznym oraz unikalnymi metodami działania, które zwiększają jego skuteczność w atakach na duże organizacje.

Podwójne wymuszenie jako strategia

Interlock nie tylko szyfruje dane ofiar, ale stosuje strategię podwójnego wymuszenia (ang. double extortion), grożąc ujawnieniem wykradzionych danych, jeśli okup nie zostanie zapłacony. Jego celem są głównie organizacje o złożonej infrastrukturze, takie jak instytucje rządowe, firmy technologiczne czy sektor zdrowia. W pierwszych atakach, zarejestrowanych we wrześniu 2024 roku, Interlock wykorzystywał niezałatane luki w zabezpieczeniach, aby przejąć kontrolę nad systemami ofiar.

Zaawansowane techniki ataku

Proces ataku trwa średnio 17 dni i zaczyna się od fałszywego pliku instalatora Google Chrome, który uruchamia złośliwe oprogramowanie typu RAT (Remote Access Trojan). Następnie, zainstalowany skrypt PowerShell zapewnia napastnikom trwały dostęp do systemu, umożliwiając m.in. kradzież poświadczeń i rejestrowanie naciśnięć klawiszy. Dalsze działania obejmują wykorzystanie technik takich jak kerberoasting oraz narzędzi, takich jak Azure Storage Explorer i AzCopy, do przesyłania danych do chmury kontrolowanej przez atakujących.

Powiązania z Rhysida

Analizy Cisco Talos sugerują, że Interlock może być ewolucją wcześniejszego ransomware Rhysida. Podobieństwa w kodzie, metodach ataku i listach wykluczeń plików wskazują na wspólną linię rozwoju obu wariantów. Interlock dodatkowo stosuje nowe techniki, które zwiększają jego skuteczność, np. groźby ujawnienia danych ofiar w ciągu 96 godzin od ataku.

Rosnące zagrożenie dla dużych organizacji

Interlock jest kolejnym dowodem na to, że ransomware staje się coraz bardziej wyspecjalizowane i groźne. Ataki takie jak ten podkreślają znaczenie inwestowania w zaawansowane rozwiązania z zakresu cyberbezpieczeństwa oraz regularne aktualizowanie zabezpieczeń, aby zminimalizować ryzyko naruszeń.

źródło: Cisco Talos

23 stycznia, 2025
Od dyskietek po kryptowaluty: 35 lat ransomware

Grudzień 2024 roku to ważny moment dla świata cyberbezpieczeństwa – upływa 35 lat od pierwszego ataku ransomware i 20 lat od pojawienia się jego współczesnej formy, która z eksperymentalnego narzędzia przerodziła się w jedno z największych wyzwań dla użytkowników internetu.

Pierwsze kroki: ransomware na dyskietce

Pierwszy atak ransomware miał miejsce w 1989 roku. Na dyskietkach rzekomo zawierających ankietę dotyczącą ryzyka zachorowania na AIDS ukryto złośliwe oprogramowanie, które po 90 uruchomieniach komputera szyfrowało pliki i żądało okupu w formie czeku. Sprawca nie został ukarany. Próby tego typu w tamtych czasach często kończyły się fiaskiem ze względu na brak internetu i anonimowych metod płatności.

Nowa era kryminalna

Krytyczny zwrot nastąpił w 2004 roku z pojawieniem się ransomware GPCode, które korzystało z załączników w e-mailach, by infekować komputery ofiar. Choć początkowo stosowano proste algorytmy szyfrowania, rozwój technologii pozwolił przestępcom na wdrożenie bardziej zaawansowanych metod, takich jak klucze publiczne.

Przełomem okazały się kryptowaluty, które w 2013 roku zostały wykorzystane przez twórców CryptoLocker. Bitcoin umożliwił anonimowe transakcje, co nadało atakom ransomware bardziej profesjonalny i lukratywny charakter.

Profesjonalizacja cyberprzestępczości

W latach 2010–2020 środowisko ransomware przeszło głęboką transformację. Cyberprzestępcy zaczęli działać w modelu partnerskim, delegując zadania takie jak dystrybucja oprogramowania na mniej wykwalifikowane grupy, sami zaś skupili się na ulepszaniu technologii. Powstały nawet specjalistyczne portale dla partnerów, umożliwiające monitorowanie efektywności działań.

W 2019 roku pojawiło się oprogramowanie Maze, które wprowadziło podwójny szantaż – ofiary nie tylko traciły dostęp do zaszyfrowanych danych, ale grożono im również ujawnieniem wykradzionych informacji, co dodatkowo potęgowało presję.

„Wcześniej, w 2017 roku, ransomware WannaCry i NotPetya pokazały, jak destrukcyjne mogą być tego typu ataki. WannaCry automatycznie rozprzestrzeniało się między systemami, jednak ograniczony jeszcze wówczas sposób płatności z wykorzystaniem portfeli bitcoin utrudnił przestępcom identyfikację ofiar, które zapłaciły okup. Z kolei NotPetya, choć przypominało ransomware, w rzeczywistości działało bardziej jak narzędzie destrukcyjne – usuwając krytyczne dane, co czyniło odzyskanie plików niemożliwym nawet po zapłaceniu okupu”
komentuje Martin Lee z Cisco Talos.

Zmiana strategii i nowe cele

Podczas gdy początkowe ataki ransomware były skierowane na masowego użytkownika, ewolucja strategii skupiła uwagę przestępców na dużych instytucjach. Ataki takie jak SamSam (2016) pokazały, że celowanie w konkretne organizacje, takie jak szpitale czy korporacje, przynosi wyższe zyski.

Ostatnie lata przyniosły zarówno wzrost liczby ataków, jak i coraz lepsze narzędzia obronne. Kopie zapasowe danych stały się kluczowym elementem strategii ochrony, choć ich brak wciąż jest piętą achillesową wielu firm.

Ransomware pozostanie z nami, ewoluując wraz z technologią. Branża cyberbezpieczeństwa odpowiada jednak innowacjami, które pomagają ograniczać skutki zagrożeń.

„Ransomware raczej nie zniknie – jego opłacalność sprawia, że zostanie z nami na długie lata i wciąż będzie ewoluował. Cyberprzestępcy nadal będą wykazywali się niezwykłą pomysłowością w wymyślaniu nowych technik i metod mających na celu udoskonalenie swojego modelu biznesowego oraz unikania wykrycia ich samych i ich złośliwego oprogramowania. Branża cyberbezpieczeństwa odpowiada jednak swoimi innowacjami, stale tworząc nowe narzędzia i strategie ochrony. Dzięki stałemu aktualizowaniu wiedzy i globalnej współpracy możemy ograniczyć ryzyko i zbudować bardziej odporną cyfrową przyszłość”
podsumowuje Martin Lee, lider Cisco Talos w regionie EMEA.

źródło: Cisco Talos

10 grudnia, 2024
Bitdefender udostępnia darmowy dekryptor do groźnego ransomware
Czym jest ShrinkLocker i jak działa?

ShrinkLocker to zaskakująco nieskomplikowane zagrożenie ransomware. ShrinkLocker stosuje proste, mniej konwencjonalne podejście niż większość obecnych skomplikowanych zagrożeń typu ransomware. ShrinkLocker zmienia konfiguracje BitLockera tak, by zaszyfrować systemowe dyski.

W pierwszej kolejności ShrinkLocker sprawdza, czy na zainfekowanym urządzeniu BitLocker jest włączony. Jeśli nie, to go instaluje. Kolejnym krokiem jest ponowne szyfrowanie systemu za pomocą losowo wygenerowanego hasła. Ten unikalny kod jest przesyłany na prywatny serwer cyberprzestępcy. ShrinkLocker sprawia, że po ponownym uruchomieniu systemu użytkownik musi podać hasło, aby móc dostać się do zaszyfrowanego systemu. Ponadto na ekranie wyświetla się adres e-mail cyberprzestępcy, który żąda okupu za kod dostępu.

Możliwości ShrinkLocker

Dzięki połączeniu obiektów zasad grupy (GPO) i zaplanowanych zadań ShrinkLocker ma możliwość szyfrowania wielu systemów w sieci w ciągu 10 minut na urządzenie. Ta wysoka wydajność sprawia, że całkowite naruszenie domeny cyberprzestępca może osiągnąć przy bardzo niewielkim wysiłku. Prostota obsługi ShrinkLocker sprawia, że ten typ złośliwego oprogramowania jest bardzo atrakcyjny dla początkujących atakujących, lub samotnych wilków, którzy nie są częścią większego ekosystemu ransomware-as-a-service (RaaS).

Podczas analizy ShrinkLockera zespół Bitdefender zauważył zaskakującą rzecz: kod tego złośliwego oprogramowania mógł zostać napisany nawet ponad dekadę temu i początkowo nie był wykorzystywany do nielegalnych celów. Badacze bezpieczeństwa podczas analizy ShrinkLockera zauważyli także, że nazwa złośliwego oprogramowania ransomware, „ShrinkLocker”, jest nieprecyzyjna, ponieważ to internetowe zagrożenie nie zmniejsza partycji w obecnych systemach operacyjnych.

Największym zmartwieniem zespołu Bitdefender było ustalenie, czy typ złośliwego oprogramowania, taki jak ShrinkLocker może stać się nowym trendem wśród początkujących cyberprzestępców. Na szczęście dochodzenie zespołu Bitdefender ujawniło, że możliwe jest opracowanie deszyfratora, oraz odpowiednie skonfigurowanie BitLockera celem zneutralizowania tego cyberzagrożenia.

Jak odszyfrować ShrinkLocker?
- W pierwszej kolejności pobierz narzędzie deszyfrujące ze strony: https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
- Następnie włącz komputer i poczekaj, aż pojawi się ekran odzyskiwania BitLocker: Gdy ukaże się komunikat związany z podaniem klucza odzyskiwania BitLocker, naciśnij Esc, aby przejść do trybu odzyskiwania BitLocker.
- Następnie na ekranie BitLocker Recovery wybierz opcję „Pomiń ten dysk” i wybierz „Rozwiązywanie problemów” oraz „Opcje zaawansowane”.
- Kolejnym krokiem jest wybranie „Wiersz polecenia” z menu opcji zaawansowanych.
- Teraz upewnij się, że masz przygotowany plik “BDShrinkLockerUnlocker.exe”. Przenieś go na dysk USB i podłącz do komputera. W wierszu poleceń przejdź do litery dysku, na którym znajduje się deszyfrator.
- W wierszu poleceń wpisz następujące polecenie i naciśnij Enter: „D:\BDShrinkLockerUnlocker.exe„.
- Proces deszyfrowania może potrwać jakiś czas, więc zachowaj cierpliwość. Po zakończeniu deszyfrowania deskryptor automatycznie odblokuje dysk i wyłączy uwierzytelnianie za pomocą karty inteligentnej.
- Po ponownym uruchomieniu komputer powinien uruchomić się normalnie.
„Narzędzia deszyfrujące są z natury reaktywne, często ograniczone do określonych ram czasowych lub wersji oprogramowania. Dlatego pamiętaj o tym, że najlepszą metodą na uchronienie się przed skutkami działania oprogramowania ransomware jest niedopuszczenie do zainfekowania systemu. Dlatego koniecznie zabezpiecz wszystkie swoje urządzenia za pomocą skutecznego systemu antywirusowego, który został wyposażony w odpowiednie moduły do ochrony przed ransomware” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
25 listopada, 2024