CyberCafe - Aktualności Cyberbezpieczeństwa

Nowy incydent cybernetyczny dotyczący dostaw Gainsight mógł mieć wpływ na dane klientów Salesforce. Incydent ten wywołał podejrzenia dotyczące dostępu nieautoryzowanego do danych klientów Salesforce poprzez połączenie aplikacji.

Aktualny przewodnik CISA i jego partnerów dotyczy sposobów ograniczania cyberprzestępczości wspieranej przez infrastrukturę Bulletproof Hosting, której dostawcy najczęściej ignorują prośby o usunięcie treści szkodliwych. Zalecane działania obejmują identyfikację zasobów internetowych, analizę ciągłego ruchu oraz wdrażanie automatycznych recenzji list blokujących, mających na celu ochronę systemów przed cyberzagrożeniami.

W tym tygodniu w świecie hakerstwa i cyberbezpieczeństwa działo się wiele. Od Tajlandii, przez Londyn aż do Stanów Zjednoczonych, widzieliśmy aresztowania, działających szpiegów i duże ruchy w sieci. Hakerzy zostają złapani, a szpiedzy robią postępy. Nawet proste rzeczy, jak dodatki do przeglądarek internetowych i inteligentne urządzenia w domu, są wykorzystywane do atakowania ludzi. Każdego dnia pojawia się nowa historia, pokazująca, jak szybko zmienia się walka o kontrolę nad internetem. Rządy zaostrzają karanie cyberprzestępców, duże firmy technologiczne spieszą się z naprawą bezpieczeństwa. Badacze znajdują słabe punkty w aplikacjach i urządzeniach, których codziennie używamy. Zobaczyliśmy fałszywych rekruterów pracy na LinkedIn szpiegujących ludzi, ogromne przypadki prania brudnych pieniędzy za pomocą kryptowalut oraz zupełnie nowe złośliwe oprogramowanie stworzone tylko po to, aby przełamać zabezpieczenia Apple dla systemu MacOS. Wszystkie te historie przypominają nam, że ta sama technologia, która usprawnia życie, może zostać łatwo przekształcona w broń.

W ciągu ostatniego tygodnia działo się wiele w świecie hakerstwa i bezpieczeństwa online. Zatrzymano hakerów, szpiedzy doskonalą swoje zdolności, a nawet proste rzeczy jak dodatki do przeglądarek czy inteligentne urządzenia domowe są wykorzystywane do ataków. Widać, jak szybko zmieniają się walki o internet. Rządy zaostrzają działania przeciwko cyberprzestępczości, duże firmy technologiczne spieszą się, by zabezpieczyć swoje systemy, a badacze odkrywają słabe punkty w codziennych aplikacjach i urządzeniach. Nowe historie przypominają, że technologia, która ułatwia życie, może być łatwo przekształcona w broń.

Pracownik techniczny holenderskiego operatora elektrowni wiatrowej został skazany na 120 godzin prac społecznych po tym, jak okazało się, że potajemnie zainstalował sprzęt do kopania kryptowalut na dwóch farmach wiatrowych Nordex. Incydent miał miejsce podczas powrotu firmy do normy po ataku ransomware. Sprawca podłączył trzy kopalnie kryptowalut oraz dwa węzły Helium do wewnętrznej sieci pracodawcy między sierpniem a listopadem 2022 roku. Sąd w Assen dowiedział się, że Nordex niedługo przed odkryciem nieupoważnionego kopania kryptowalut zmagał się z atakiem ransomware. Skazany musi zapłacić odszkodowanie i wykonać prace społeczne, co stanowi ostrzeżenie dla organizacji o zagrożeniach ze strony wewnętrznych pracowników.

Wielka Brytania, USA i Australia nałożyły sankcje na trzy rosyjskie firmy hostingowe oraz czterech rosyjskich wykonawców z nimi związanych. Hostinngi takie jak Media Land, ML.Cloud i Aeza Group, wspierające grupy ransomware i cyberprzestępczości, zostały objęte sankcjami. Organizacje te są kluczowym ogniwem w maszynie cyberprzestępczości, udostępniając infrastrukturę online dla sprawców zagrożeń. Działania sankcyjne mają na celu utrudnienie transakcji z Zachodem poprzez legalne kanały bankowe oraz osłabienie ekosystemu cyberprzestępczości.

W odcinku 444 podcastu 'Smashing Security' z doświadczonym specjalistą cyberbezpieczeństwa Grahamem Cluleyem i gościem specjalnym Tricią Howard omawiane są odpowiedzi na naruszenia danych, kampanie malware w branży hotelarskiej, testowanie penetracyjne z wykorzystaniem sztucznej inteligencji, zjawisko cyberprzestępczości napędzanej AI oraz pytania, które szefowie ds. bezpieczeństwa powinni zadawać w poniedziałek rano. Dodatkowo w odcinku ożywiony został utracony odcinek Doctora Who oraz przeanalizowano karierę Eddiego Murphy'ego.

W trzecim kwartale 2025 r. zaktualizowano metodykę obliczania wskaźników statystycznych na podstawie Kaspersky Security Network. Skoncentrowano się na atakach złośliwego oprogramowania na urządzenia mobilne oraz pakietach instalacyjnych. W obszarze mobilnym zauważono m.in. zwiększoną liczbę próbek szkodliwego oprogramowania dla systemu Android oraz przypadki wykorzystywania Trojanów do generowania sztucznych wyświetleń reklam. Ponadto, trendem było zmniejszenie udziału bankowych trojanów, co nie wynikało z ich zmniejszonej ilości, lecz z rosnącego udziału innych szkodliwych pakietów.

W III kwartale 2025 roku świat cyberbezpieczeństwa był na progu znaczących wydarzeń. Organizacje ścigały sprawców ataków ransomware, międzynarodowe operacje likwidowały infrastrukturę złośliwego oprogramowania, a badacze wykrywali nowe rodziny ransomware i szpiegowskie oprogramowanie. Warto zauważyć, że atakujący coraz sprawniej wykorzystują luki w zabezpieczeniach, co wymaga szybkiej reakcji na nowe zagrożenia.

W trzecim kwartale 2025 r. ransomware wzrósł, a trzy grupy odpowiedzialne były za większość przypadków. Dostęp do systemów najczęściej uzyskiwano poprzez skompromitowane dane logowania do VPN-ów. Ważne jest wdrożenie wieloczynnikowej autoryzacji oraz polityk dostępu.

Kraken, grupa operacyjna mówiąca po rosyjsku, wykorzystuje nietypowy proces benchmarkingu w celu mierzenia szybkości szyfrowania ofiar przez złośliwe oprogramowanie. Ich narzędzia obejmują systemy Windows, Linux oraz VMware ESXi, a ich tarcza ataku to organizacje w USA, UK, Kanadzie, Danii, Panamie i Kuwejcie. Współpraca z innymi grupami, takimi jak HelloKitty, wskazuje na ewolucję grupy Kraken na rynku przestępczym cyberprzestępczym.

W trzecim kwartale 2025 roku liczba aktywnych grup ransomware i wymuszających okup osiągnęła rekordowe 85, co stanowi największą liczbę do tej pory. Rynek, który kiedyś był skoncentrowany wokół kilku gigantów oferujących ransomware-as-a-service (RaaS), rozpadł się na dziesiątki mniejszych, krótkotrwałych operacji. Fragmentacja ta niesie ze sobą szereg wyzwań dla profesjonalistów cyberbezpieczeństwa, osłabiając przewidywalność i wiarygodność rynku ransomware.

W trzecim kwartale 2025 r. fragmentacja rynku ransomware — dawniej zdominowanego przez duże grupy RaaS — doprowadziła do powstania wielu mniejszych, krótkotrwałych operacji. Obecność ponad 85 platform udostępniania danych o ofiarach świadczy o wzroście działań poza tradycyjnymi hierarchiami. Powrót LockBit 5.0 zapowiada możliwą rekoncentrację ransomware economy, wzmacniając jednocześnie problematyczną strukturę rynku. Ewolucja zagrożeń cybernetycznych w stronę działań marketingowych kontrastuje z obniżającymi się stawkami wypłat okupów i malejącym zaufaniem ofiar do obiecujących szyfrowania hakerów. W obliczu tych zmian należy monitorować mobilność affiliate, nakładanie się infrastruktury oraz ekonomiczne incentywy, które podtrzymują ransomware pomimo jego fragmentacji.

Wspólna operacja organów ścigania Europolu i Eurojust doprowadziła do zakłócenia działalności rodzin szkodliwego oprogramowania Rhadamanthys Stealer, Venom RAT i botnetu Elysium. Włady sprawiający szkody cyberprzestępcy zostali zatrzymani, setki tysięcy zainfekowanych komputerów zostało oczyszczonych, a dziesiątki serwerów i domen przejętych, co oznacza znaczący cios w ekosystem cyberprzestępczy. Współdziałanie organów ścigania i sektora prywatnego odegrało kluczową rolę w tej operacji, zwalczając infrastrukturę wspierającą ransomware oraz groźne narzędzia cybernetyczne.

W ramach wspólnych działań prawniczych pod przewodnictwem Europolu i Eurojustu zaburzono rodziny złośliwego oprogramowania takie jak Rhadamanthys Stealer, Venom RAT oraz botnet Elysium. Operacja ta, przeprowadzona między 10 a 13 listopada 2025 r., jest najnowszą fazą działań operacji Koniec Gry, mającej na celu obalenie infrastruktur przestępczych i zwalczanie sprawców ransomware na całym świecie.

Biuletyn Zagrożeń analizuje najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, których tematyka obejmuje nowe inicjatywy legislacyjne w Wielkiej Brytanii, naruszenia bezpieczeństwa przez byłego pracownika Intela, aktualizacje projektu OWASP, wycieki danych z firm AI, phishing na Facebooku, ulepszenia związane z przeglądarką Firefox oraz ataki phishingowe wykorzystujące nowe narzędzia i platformy technologiczne. Ostatnie wydarzenia potwierdzają, że świat cybernetyczny nigdy nie zwalnia tempa, a świadomość i uważność stanowią klucz do efektywnej obrony przed coraz bardziej zaawansowanymi zagrożeniami.

W artykule omówiono najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, takie jak projekty prawne na rzecz wzmocnienia krajowej ochrony, przypadki wycieku danych, nowe puste zaznaczenia zagrożeń czy dostępność wsparcia dla menedżerów haseł. Opublikowano także wyniki badania dotyczącego wycieków tajnych informacji przez firmy zajmujące się sztuczną inteligencją oraz opisano nowe kampanie phishingowe. Również podjęto debatę na temat kontrowersyjnych zmian w wymogach dotyczących prywatności i bezpieczeństwa danych osobowych obywateli UE. Konkluzja wskazuje na nieustanny rozwój zagrożeń w cyberprzestrzeni, przy jednoczesnym postępie w dziedzinie ochrony danych i bezpieczeństwa.

W najnowszym odcinku podcastu „Smashing Security” Tinder planuje przeszukiwać twoją galerię zdjęć, a deepfake z udziałem Warrena Buffetta radzi o „numer jeden wskazówkach inwestycyjnych”. Czy agencjalna sztuczna inteligencja zastąpi twoich współprowadzących? Dowiedz się także, dlaczego warto czytać książki. W odcinku specjalnym z udziałem Rona Eddingsa poruszane są tematy dotyczące nowego albumu Lili Allen, aplikacji Claude Code i wiele więcej.

Rosyjski haker Aleksey Olegovich Volkov przyznaje się do pomagania grupie ransomware Yanluowang w infekowaniu firm w USA poprzez dostarczanie dostępu do sieci ofiar. Za swoje działania zarobił ponad 256 000 USD i teraz ma zapłacić ponad 9 milionów USD w rekompensacie. Sprawa ta pokazuje zorganizowaną strukturę ekosystemu ransomware oraz to, że płatności w kryptowalutach mogą zostać wyśledzone.

GootLoader, związanym z grupą groźnych cyberprzestępców Hive0127, ponownie się pojawił, wykorzystując nową metodę ukrywania malwara na stronach WordPress. Oprogramowanie wykorzystuje m.in. niestandardowe czcionki WOFF2 do maskowania nazw plików i atakuje z wykorzystaniem tzw. zakażonych archiwów ZIP. Przestępcy rozprzestrzeniają to zagrożenie przede wszystkim za pomocą taktyki manipulowania wynikami wyszukiwania w celu dostarczenia dodatkowych ładunków, w tym ransomware'u.

Złośliwe oprogramowanie GootLoader powróciło, wykorzystując niestandardowe czcionki WOFF2 do zamaskowania nazw plików, atakując strony WordPress. Atak polega na przekierowywaniu użytkowników za pomocą oszukujących fraz w wyszukiwarkach oraz ukrywaniu prawdziwej natury plików ZIP za pomocą trików obfuscacji.

Ataki na łańcuch dostaw z wykorzystaniem technologii AI wzrosły o 156% w zeszłym roku. Poznaj dlaczego tradycyjne obrony zawodzą i co CISO powinien zrobić teraz, aby chronić swoje organizacje.

Ataki na łańcuchy dostaw z wykorzystaniem sztucznej inteligencji wzrosły o 156% w zeszłym roku. Artykuł analizuje nowe, bardziej zaawansowane ataki oraz przedstawia konieczne działania, jakimi muszą teraz zająć się specjaliści ds. bezpieczeństwa informatycznego CISO, aby chronić swoje organizacje.

W listopadzie 2025 roku holenderski nadawca telewizyjny i radiowy padł ofiarą cyberprzestępców, którzy sparaliżowali jego systemy komputerowe. Atak zmusił pracowników do ręcznego odtwarzania muzyki z płyt CD i winylowych, a także wprowadził zakłócenia w przekazie informacji awaryjnej. Podejrzewa się, że atak mógł być ransomwarem, co stanowi poważne zagrożenie nie tylko finansowe, ale i dla bezpieczeństwa publicznego.

W uznaniu dla osiągnięć Davida Harleya, doświadczonego badacza cyberbezpieczeństwa, autora i mentora, który był mostem między stroną techniczną a ludzką w dziedzinie bezpieczeństwa.

W odcinku 442 podcastu „Smashing Security” omawiane są ataki na czas ze strony grupy hakerskiej z wsparciem państwowym oraz sytuacje, gdy negocjatorzy okupu zbaczają na złą drogę. Cyberbezpieczeństwo w kontekście ataku na zegar narodowy i negocjacji z ransomware'ami. Goście: Graham Cluley oraz specjalny gość Dave Bittner.

W odcinku tym Tanya Janca, uznaną ekspertka ds. bezpieczeństwa aplikacji i założycielka We Hack Purple, dzieli się swoimi doświadczeniami z pierwszej linii cyberbezpieczeństwa, w tym z czasów pracy jako tester penetracyjny i reagujący na incydenty.

Po wykryciu cyberataku kluczowy jest szybki i skuteczny dział postępowania w celu zapobieżenia dalszej penetracji oraz minimalizacji szkód. Warto posiadać wypracowany plan reakcji na incydent, który obejmuje wczesne wykrycie, izolację, usunięcie zagrożenia, a następnie przywrócenie systemów i analizę zdarzenia w celu doskonalenia procedur.

W październiku 2025 r. problematyczne stają się deepfake'i, umożliwiające stworzenie przekonujących materiałów wideo, obrazów i dźwięku. Oszuści wykorzystują sztuczną inteligencję do generowania fałszywych treści, takich jak inwestycje oszustów czy wymuszanie pieniędzy poprzez deepfake'i nagości. Firmy również padają ofiarą, gdy oszustwa obejmują syntetyczne głosy i wideo, by oszukać pracowników i wyłudzić pieniądze.

W dobie pracy zdalnej i hybrydowej problemem staje się tzw. shadow IT, czyli użytkowanie przez pracowników niezatwierdzonego sprzętu i oprogramowania, co naraża organizacje na ataki cybernetyczne, ryzyko utraty danych i problemy z zgodnością. Wraz z rosnącym użyciem narzędzi generatywnego AI przez pracowników, przedsiębiorstwa tracą kontrolę nad tym, w jaki sposób przechowywane są i udostępniane wrażliwe dane korporacyjne.

Financial Transactions and Reports Analysis Center of Canada (FINTRAC) nałożył karę w wysokości 176 mln dolarów na Xeltox Enterprises Ltd., działającego pod nazwą Cryptomus, za naruszenie przepisów przeciwdziałania praniu brudnych pieniędzy. Platforma Cryptomus nie zgłaszała podejrzanych transakcji związanych z praniem dochodów pochodzących z handlu materiałami dot. wykorzystywania seksualnego dzieci, oszustwami, płatnościami ransomware i unikaniem sankcji. Badania wykazały, że 122 usługi cyberprzestępcze korzystające z Cryptomusa reklamują anonimowość oraz wymianę kryptowalut na gotówkę w bankach objętych sankcjami USA i innych zachodnich krajów. FINTRAC nałożył karę w wysokości 176 mln dolarów, co stanowi znaczącą sumę dla agencji, która w zeszłym roku nałożyła łącznie kary na mniej niż 26 mln dolarów. Śledztwo wykazało, że wiele przedsiębiorstw korzystających z Cryptomusa działało na fałszywych adresach we współpracy z MSB związanymi z Rosją i Iranem.

Artykuł omawia zagrożenie ransomware wśród firm oraz środki, jakie można podjąć, aby zabezpieczyć się przed cyberprzestępcami. W oparciu o raporty Verizon i Coalition Inc. przedstawia statystyki dotyczące ataków ransomware oraz wskazuje na istotność budowania odporności na tego rodzaju zagrożenia.

W najnowszych incydentach cyberbezpieczeństwa widoczny trend długotrwałych, cichych włamań. Obrona polega teraz nie tylko na szybkim łataniu podatności, ale również na inteligentnym monitorowaniu i czujności na to, czego się nie spodziewamy. W artykule omówione zostały atak na F5 ze strony państwa, krytyczne podatności oraz konieczność zapobiegania wyciekom danych z chmur obliczeniowych poprzez właściwą konfigurację.

Ataki ClickFix, FileFix, fałszywe CAPTCHA - bez względu na nazwę, są szybko rosnącym źródłem naruszeń bezpieczeństwa, gdzie użytkownicy interakcjonują z złośliwymi skryptami w przeglądarce internetowej. Ataki te polegają na wykorzystywaniu użytkowników do uruchamiania złośliwych poleceń na ich urządzeniach poprzez kopiowanie złośliwego kodu i lokalne jego uruchamianie.

Podsumowanie analizy zagrożeń cybernetycznych w lipcu i sierpniu. Ransomware nadal stanowi główne zagrożenie, z nowymi schematami ataków i fragmentacją krajobrazu ransomware. Zalecenia obejmują szybkie łatanie podatności, MFA odporna na phishing oraz monitorowanie chmury i hybrydowych środowisk.

Artykuł ostrzega przed zagrożeniem związanym z biurami obsługi informatycznej, które mogą umożliwić atakującym obejście kontroli bezpieczeństwa. Wskazane jest zastosowanie zróżnicowanych obron oraz staranna ocena dostawcy usług IT.

Nakazy są często nieskuteczne w zatrzymaniu publikacji danych po naruszeniu, wpływając jednocześnie na wszystkich, zarówno przestępców, jak i dobre firmy. Ograniczenie danych może skutkować brakiem dostępu do informacji nie tylko dla złych, ale także dla dziennikarzy czy firm bezpieczeństwa.

Analityk cyberbezpieczeństwa relacjonuje historię Nathana Michaela, przywódcy grupy przestępczej Oak Cliff Swipers, która zaczęła od kradzieży kart kredytowych i obrotu nimi, a skończyła jako rozbudowane przedsięwzięcie przestępcze. W artykule podkreślono rolę platformy do ochrony końcowych punktów Zero Trust, a także inwestycje w bezpieczeństwo, takie jak zachowanie cyberbezpieczeństwa przez wyeliminowanie niebezpieczeństw znanych i nieznanych. Ponadto wzmianki o firmach takich jak Pantheon i ich usługi wspomagające szybkość, bezpieczeństwo i niezawodność stron internetowych.

Przemysł produkcji staje w obliczu wyjątkowo wymagającego środowiska zagrożeń, które sprawiają, że ataki są szczególnie szkodliwe. Produkcja jest sektorem o niskiej tolerancji na przestój, złożonymi łańcuchami dostaw oraz cennymi własnościami intelektualnymi, co stawia IT i liderów ds. bezpieczeństwa przed poważnymi wyzwaniami przestępczości cybernetycznej.

Analiza serii zdarzeń związanych z operacją pakowania jako usługi (PaaS) przez HeartCrypt. Badania wykazały, że ataki były przypisywane różnym aktorom zagrożeń. W analizie wykryto tysiące próbek, setki podrobionych dostawców oprogramowania oraz różne metody ataków. Przedstawiono konkretne przypadki ataków i mechanizmy zainfekowania, wskazując na przykłady z Włoch, Kolumbii i innych krajów.

W artykule omówiono ryzyka związane z korzystaniem z narzędzi oszustw w grze Roblox, tzw. script executorów, podając przykłady popularnych narzędzi i ostrzegając przed zagrożeniami związanymi z pobieraniem fałszywych wersji. Przestępcom zależy na dostępie do danych osobowych, środków finansowych oraz kontroli nad urządzeniem, dlatego konieczne jest zachowanie ostrożności i przestrzeganie zasad fair play podczas grania.

Małe firmy stanowią atrakcyjny cel dla cyberprzestępców, ponieważ są częstszymi ofiarami ransomware niż duże przedsiębiorstwa. Ransomware-as-a-service obniża bariery przestępczości internetowej, a grupy ransomware zmieniają taktykę, wykorzystując coraz nowocześniejsze narzędzia, w tym sztuczną inteligencję. W odpowiedzi na rosnące zagrożenia, SMBs powinny skupić się na prewencji, ocenie ryzyka i możliwości skorzystania z usług zarządzania wykrywaniem i reagowaniem.

Grupa Warlock, nazywana również GOLD SALEM, prowadzi operację ransomware od marca 2025 roku. Liczba 60 opublikowanych ofiar umieszcza ją w środku ransomware'owych operacji tego okresu. Grupa działa głównie poza Chinami i Rosją, ale opublikowała nazwę rosyjskiego podmiotu na swojej stronie. GOLD SALEM szukał exploitów i współpracy z brokerami dostępu, co sugeruje możliwe rozszerzenie operacji na usługi ransomware-as-a-service.

Eksperci z ESET odkryli nowy szkodliwy program o nazwie HybridPetya, przypominający znanego Petya/NotPetya, lecz z nowym i groźnym elementem - zdolnością kompromitacji systemów opartych na UEFI oraz wykorzystaniem podatności CVE-2024-7344 w celu ominiecia UEFI Secure Boot na systemach przestarzałych. Mimo że HybridPetya nie rozprzestrzenia się na szeroką skalę, jest co najmniej czwartym znany przypadkiem bootkitu z funkcją omijania UEFI Secure Boot.

HybridPetya to nowe odkrycie ESET Research - złośliwe oprogramowanie będące naśladowcą znanej Petya/NotPetya, zdolne do kompromitacji systemów opartych na UEFI oraz wykorzystującego CVE‑2024‑7344 do omijania UEFI Secure Boot na przestarzałych systemach. Nieaktywne w dziczy, ale potencjalnie groźne ze względu na możliwości szyfrowania MFT oraz bypassowania Secure Boot, wart uwagi dla przyszłego monitorowania zagrożeń.

W artykule omawiającym cyberbezpieczeństwo ukazano przypadki ataków ransomware, które wykorzystują podatne sterowniki do dezaktywacji sprzętu ochronnego. Autorzy wskazują na konieczność świadomości zagrożeń związanych z atakami online oraz potrzebę stosowania kompleksowych zabezpieczeń, aby uniknąć infekcji ransomware.

Senator Ron Wyden z Oregonu zaapelował do Federalnej Komisji Handlu o dochodzenie w sprawie luk w cyberbezpieczeństwie Microsoftu, związanych z atakiem ransomware na krytyczną infrastrukturę USA. Atak na Ascension, jedną z największych systemów szpitalnych w kraju, rozpoczął się od kliknięcia przez kontrahenta złośliwego linku w wynikach wyszukiwania Bing, infekując jego laptopa. Wykorzystując wysłużone szyfrowanie RC4, hakerzy uzyskali dostęp do sieci Ascension i narażając dane 5,6 miliona pacjentów.

Senator Ron Wyden wezwał Federalną Komisję Handlu do zbadania Microsoftu i pociągnięcia go do odpowiedzialności za tzw. 'rażące zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci służby zdrowia.

Senator Ron Wyden zaapelował do Federalnej Komisji Handlu (FTC) o dochodzenie w sprawie Microsoftu w związku z zarzutami dotyczącymi 'rażącego zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci opieki zdrowotnej.

Grupa ransomware Akira nadal skupia się na atakach na urządzenia SonicWall, wykorzystując lukę w SSL VPN oraz błędy konfiguracyjne do nieautoryzowanego dostępu. Zalecane środki ostrożności obejmują zmianę haseł, usuwanie nieużywanych kont, konfigurację MFA oraz ograniczenie dostępu do portalu Virtual Office.

Aktorzy groźby związani z grupą ransomware Akira nadal atakują urządzenia SonicWall w celu uzyskania początkowego dostępu. Firmy z branży cyberbezpieczeństwa obserwują wzrost naruszeń związanych z urządzeniami SonicWall w związku z wykorzystaniem słabego punktu żetonowania SSL VPN oraz błędów konfiguracyjnych przez hakerów ransomware Akira.

Volodymyr Tymoshchuk, 28-letni Ukrainer, został dodany do listy najbardziej poszukiwanych przestępców w Europie z powodu udziału w atakach ransomware LockerGoga, które spowodowały znaczne szkody. Po wielomiesięcznej akcji Europolu i innych służb kilka osób zostało już aresztowanych w związku z tą sprawą.

Analiza trendów w cyberbezpieczeństwie wskazująca na coraz większą liczbę ataków opartych na kradzieży danych logowania, oraz metody ich przeciwdziałania dla zachowania bezpieczeństwa organizacji. Zalecenia obejmują m.in. stosowanie wieloskładnikowej autentykacji, szkolenie pracowników i monitorowanie środowiska IT.

Operator jednej z najbardziej ruchliwych linii kolejowych w Wielkiej Brytanii przyznał, że nieautoryzowana trzecia strona uzyskała dostęp do danych klientów poprzez dostawcę. Choć żadne informacje dotyczące banku, kart płatniczych czy haseł nie zostały naruszone, wciąż istnieje ryzyko wykorzystania skompromitowanych danych do ataków phishingowych.

Ukraiński obywatel, Volodymyr Viktorovich Tymoshchuk, oskarżony przez władze Stanów Zjednoczonych o udział w serii ataków ransomware na firmy z USA i z innych krajów. Miał on używać różnych wersji ransomware, takich jak LockerGoga, MegaCortex i Nefilim, zaszyfrując sieci komputerowe na całym świecie. Mimo nieudanych prób ekstorsji, władze oferują nagrodę za informacje prowadzące do jego ujęcia.

Atak ransomware grupy KillSec sparaliżował MedicSolution, dostawcę oprogramowania obsługującego sektor opieki zdrowotnej w Brazylii. Dane medyczne pacjentów oraz informacje instytucji mogą zostać wykorzystane do szantażu, podkreślając trwającą podatność sektora na przestępczość internetową.

Według nowego badania Sophos, w sektorze edukacji w ostatnim roku spadły zarówno wymagania jak i wpłaty ransomware, co świadczy o poprawie zdolności do odzyskiwania danych oraz odporności na ataki. Instytucje edukacyjne skuteczniej bronią się przed atakami i coraz rzadziej płacą okup, co może zniechęcać cyberprzestępców. Wysoki odsetek ataków zatrzymanych przed zaszyfrowaniem danych oraz szybsza reakcja na incydenty to pozytywne sygnały dla sektora edukacji.

Firma meblarska Lovesac poinformowała klientów, że ich dane zostały naruszone przez hakerów wcześniej w tym roku, zagrażając kradzieżą tożsamości. Spisane pliki zawierały osobiste informacje, a sprawa została powiązana z grupą ransomware RansomHub. Mimo zakończenia działań RansomHuba, klientów zachęca się do zachowania czujności i monitorowania ich danych osobistych.

Nowe złośliwe oprogramowanie na platformie Android, zwanie RatOn, rozwija się od podstawowego narzędzia zdolnego do przeprowadzania ataków przekazywania NFC do zaawansowanego trojana dostępu zdalnego z funkcjami Automated Transfer System (ATS) do oszustw urządzenia. Zagrożenie to kombinuje tradycyjne ataki overlay z automatycznymi przekazami pieniędzy i funkcjonalnością NFC relay, co czyni je unikalnie silnym zagrożeniem.

RatOn to nowy, zaawansowany trojan zdalnego dostępu dla systemu Android, posiadający zdolności do oszustw bankowych, w tym ataki z użyciem NFC i automatyczne transfery pieniężne. Malware ten potrafi przeprowadzać ataki typu overlay, wykonywać transfer pieniędzy i zablokować urządzenie. Był zauważony na platformie Play Store w postaci fałszywej aplikacji TikTok 18+.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

W artykule omawiającym cyberbezpieczeństwo zwraca się uwagę na rosnące zagrożenia ze strony cyberprzestępców oraz konieczność stosowania strategii MDR w celu zapobiegania zakłóceniom działalności biznesowej. MDR jest coraz częściej postrzegane jako fundament współczesnych strategii zarządzania ryzykiem, zapewniając ochronę przychodów, reputacji i zdolności do działania bez przerw.

Artykuł omawia strategie, jak skutecznie przekonać zarząd do zatwierdzenia budżetu na cyberbezpieczeństwo, koncentrując się na wartości biznesowej i ciągłej walidacji zabezpieczeń.

W sezonie budżetowym kluczowe jest przekonanie zarządu, że inwestycje w cyberbezpieczeństwo są niezbędne i przynoszą wartość biznesową. Eksperci radzą, jak skutecznie firmować konwersacje z zarządem, pokazując korzyści inwestycji w kontekście ciągłości działania, zgodności z przepisami oraz wpływu na koszty. Zaleca się także identyfikację i kategoryzację kluczowych aktywów, kwantyfikację potencjalnych strat wynikających z incydentów oraz wykorzystanie norm i regulacji jako wsparcia dla argumentacji firmującej zatwierdzenie budżetu na cyberskuteczność.

W najnowszej wersji systemu Windows 11, funkcja OneDrive Backup jest automatycznie włączana przy logowaniu za pomocą konta Microsoft, przenosząc ważne foldery danych do chmury. Artykuł omawia konsekwencje tego działania oraz kroki, jakie użytkownicy mogą podjąć, aby wyłączyć kopie zapasowe na rzecz przechowywania plików lokalnie.

Analiza wyjaśnia, w jaki sposób OneDrive może przenosić pliki systemowe do chmury podczas konfiguracji nowego systemu Windows. Wskazane są także sposoby zarządzania tą funkcją, aby uniknąć problemów związanych z ograniczeniami przestrzeni dyskowej i rozdzieleniem plików lokalnych.

Badania przeprowadzone przez Cisco Talos wykazały, że nadużycia oprogramowania i usług do zdalnego dostępu są najczęstszymi wskaźnikami 'pre-ransomware'. Artykuł przekazuje, że istotne jest zabezpieczenie zdalnego dostępu oraz składowisk poświadczeń, aby ograniczyć ryzyko ataków przed zaszyfrowaniem danych.

W ciągłym świecie cyberbezpieczeństwa każdy tydzień przynosi nowe zagrożenia i lekcje. Atak na Drift, aktywne wykorzystywanie luk CVE, zagrożenia oparte na sztucznej inteligencji – oto główne tematy. Ważne jest skupienie się na najistotniejszych ryzykach i szybka reakcja.

Cyberbezpieczeństwo nigdy nie zwalnia tempa. Każdy tydzień przynosi ze sobą nowe zagrożenia, nowe podatności i nowe lekcje dla obrońców. Wśród wydarzeń wyróżnia się atak na Salesloft-Drift, aktywne wykorzystywanie wysokiego ryzyka CVE, działania zaawansowanych grup cyberprzestępczych oraz świeże pomysły na sprawne zarządzanie bezpieczeństwem. Artykuł ostrzega przed kreatywnym wykorzystaniem sztucznej inteligencji przez hakerów oraz wskazuje na ważność szybkiego łatania podatności, by uniknąć poważnych szkód.

Security eksperci ostrzegają klientów chmury SAP S/4HANA przed krytyczną luką umożliwiającą wstrzyknięcie kodu, którą firma w sierpniu załatała. CVE-2025-42957 ma ocenę CVSS 9.9 i pozwala atakującemu z minimalnymi uprawnieniami na przejęcie kontroli nad systemem SAP organizacji. Wpływ na przedsiębiorstwa z różnych sektorów jest ogromny, a konsekwencje obejmują kradzież danych, wykradanie poufnych informacji, ransomware oraz zakłócenia w działaniu operacyjnym. Konieczność pilnego łatania luk jest kluczowa, a brak aktualizacji sprawia, że firmy są narażone na ataki.

W czerwcu 2025 r. Dystrykt Szkolny Pięć Lexington & Richland w Południowej Karolinie doświadczył wycieku danych, który mógł narazić informacje o ponad 31 000 osób. Atak został potwierdzony przez grupę ransomware Interlock, a ofiarą padło wiele organizacji edukacyjnych w USA.

Artykuł informuje o aktywnym wykorzystywaniu krytycznej podatności w systemie SAP S/4HANA, umożliwiającej atakującemu wstrzyknięcie kodu ABAP i pełne skompromitowanie środowiska SAP. Autorzy zalecają jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych aktywności.

Krytyczna podatność dotykająca oprogramowania SAP S/4HANA została aktywnie wykorzystana. Wprowadzenie iniekcji poleceń pozwala na kompromitację systemu SAP, co niesie ze sobą zagrożenia dla poufności, integralności i dostępności danych. Zaleca się jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych prób dostępu.

W drugim kwartale 2025 roku zaobserwowano liczne ważne wydarzenia związane z cyberbezpieczeństwem, takie jak ujęcie podejrzanych za ataki ransomware, działalność różnych grup przestępczych oraz wykorzystywanie luk w programach. Ponadto, statystyki pokazują spadek ilości nowych odmian ransomware oraz ochronę unikalnych użytkowników przed tego typu zagrożeniami.

Szyfrowanie danych to niezbędna linia obrony, która powinna być jedną z podstawowych warstw strategii bezpieczeństwa. Jako doświadczony specjalista cyberbezpieczeństwa powinieneś rozważyć inwestycję w zaawansowane rozwiązania szyfrowania, takie jak full-disk encryption (FDE), w celu ochrony najbardziej wrażliwych informacji firmowych.

Grupa Scattered Spider twierdzi, że stoi za atakiem hakerskim na Jaguara Land Rovera. Media zgłaszają sugerowane współprace między różnymi grupami hakerskimi oraz próby wyłudzenia okupu. Incydent kompromituje działalność firmy, co podkreśla potrzebę wzmocnienia zabezpieczeń cybernetycznych.

W artykule omawia się, jak domyślne zasady bezpieczeństwa, takie jak deny-by-default, MFA enforcement i aplikacja Ringfencing ™, mogą eliminować całe kategorie ryzyka cybernetycznego. Konfiguracja systemów w celu blokowania zagrożeń na starcie jest kluczowa, aby zredukować atakowane powierzchnie i utrzymać przewagę nad ewoluującymi zagrożeniami.

W artykule omówiono, jak domyślne ustawienia, takie jak domyślne odrzucanie, wymuszenie MFA i zastosowanie ringfencing™, mogą wyeliminować całkowicie kategorie ryzyka cybernetycznego. Dążenie do bezpieczeństwa poprzez domyślne ustawienia może zmniejszyć złożoność, zmniejszyć powierzchnię ataku i pomóc w utrzymaniu przewagi nad ewoluującymi zagrożeniami.

GhostRedirector to nowy podmiot zagrożenia identyfikowany przez badaczy ESET, atakujący serwery Windows za pomocą pasywnego backdooru C++ oraz złośliwego modułu IIS manipulującego wynikami wyszukiwania Google.

Sektor ochrony zdrowia zajmuje jedno z ostatnich miejsc w szybkości usuwania poważnych luk, co prowadzi do narażenia systemów i danych na tygodnie, a nawet miesiące.

Grupa badaczy firmy S2 Grupo zauważyła nową tylną furtkę do programu Outlook, pozwalającą cyberprzestępcom na kradzież danych, wgrywanie plików i wykonanie poleceń na komputerze ofiary. Badacze nazwali tę furtkę 'NotDoor', przypisując ją rosyjskiej grupie cyberprzestępczej APT28. Malware ten, skierowany na Outlooka, jest zabiegiem wyrafinowanego narzędzia Visual Basic dla Aplikacji, umożliwiającego cyberprzestępcom przeprowadzenie operacji szpiegowskich lub ataków ukierunkowanych.

Artykuł porusza problem związany z złośliwymi rozszerzeniami przeglądarek, zalecając ich usuwanie oraz podające praktyczne wskazówki dla zachowania bezpieczeństwa online. Wskazuje, że nawet rozszerzenia pochodzące z oficjalnych sklepów mogą być niebezpieczne, co skłania do ostrożności i sugeruje ograniczenie używania rozszerzeń lub korzystanie z narzędzi weryfikacji bezpieczeństwa przed instalacją.

Firma Jaguar Land Rover doświadczyła poważnych zakłóceń w sprzedaży i produkcji na skutek incydentu cybernetycznego. Atak ten spowodował zamknięcie systemów firmy oraz dezorganizację działań handlowych i produkcyjnych. Tata Motors, firma-matka JLR, monitoruje sytuację, a eksperci wskazują, że sektor produkcji jest atrakcyjnym celem dla cyberprzestępców, zwiększającym ryzyko ataków ransomware.

Ukraińska sieć FDN3 przeprowadzała w czerwcu i lipcu 2025 r. masywne kampanie ataków brute-force oraz password spraying na urządzenia SSL VPN i RDP. Badacze cyberbezpieczeństwa zidentyfikowali sieć FDN3 jako część szerszej infrastruktury nadużyć obejmującej także inne ukraińskie sieci oraz firmę z Seszeli. Ataki te mogą stanowić wektor ataku dla grup ransomware-as-a-service, takich jak Black Basta czy GLOBAL GROUP.

Badacze cyberbezpieczeństwa zidentyfikowali ukraińską sieć IP za angażowanie się w masowe kampanie brute-force i password spraying, skierowane na urządzenia SSL VPN i RDP między czerwcem i lipcem 2025 roku.

UK NCSC i AISI poparły wysiłki w zakresie crowdsourcingu w celu znajdowania i naprawiania zagrożeń związanych z omijaniem zabezpieczeń AI. Zaprezentowano nowe programy bug bounty jako skuteczną strategię w zarządzaniu tymi ryzykami.

Artykuł omawia aresztowanie szwedzkiego programisty i obrońcy prywatności Oli Bini w Ekwadorze pod zarzutem bycia rosyjskim hakierem. Promuje także różne firmy oferujące rozwiązania z zakresu cyberbezpieczeństwa. Jack Rhysider przedstawia również własne doświadczenia związane z kwestią słabych haseł. Ola Bini wspomniany jest jako przykład istotnej problematyki w dziedzinie bezpieczeństwa IT.

Biuro Prokuratora Generalnego Pensylwanii zostało zaatakowane ransomwarem, co spowodowało opóźnienia w sprawach cywilnych i karnych. Pomimo ataku, pracownicy biura kontynuują swoje codzienne obowiązki przy użyciu alternatywnych kanałów komunikacji.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

Atak ransomware na dostawcę oprogramowania zagraża bezpieczeństwu danych pracowników w szwedzkich instytucjach publicznych i prywatnych firmach. Władze podejmują działania w odpowiedzi na naruszenie bezpieczeństwa, które generuje obawy co do wycieku danych osobowych i utraty kontroli nad informacjami. Całe zdarzenie zyskuje szerokie rozgłos, a minister obrony cywilnej Szwecji informuje o koordynowanej reakcji centrum cyberbezpieczeństwa kraju.

Artykuł dotyczy konieczności zwiększenia współpracy między zespołami zajmującymi się rozwojem oprogramowania, bezpieczeństwem i operacjami w kontekście zapewnienia pełnej widoczności od kodu do chmury oraz skutecznego zarządzania ryzykiem cyberbezpieczeństwa.

Webinar przedstawiający nową metodę zapewnienia widoczności od kodu do chmury, zmieniającą sposób podejścia do bezpieczeństwa aplikacji.

Nevada potwierdziła, że zakłócenia w systemach państwowych były spowodowane atakiem ransomware, który doprowadził do zamknięcia biur państwowych, zakłóceń w usługach oraz kradzieży danych. Departament Nevada współpracuje z CISA i organami ścigania w celu przywrócenia krytycznych systemów.

W pierwszej połowie 2025 roku ponad połowę (53%) wykorzystywanych wyjątków przypisano do działań państwowych hakerów dążących do celów strategicznych i geopolitycznych, co wynika z nowego raportu Insikt Group Recorded Future. Hakerzy państwowi, głównie chińscy, celowali głównie w infrastrukturę brzegową oraz rozwiązania dla przedsiębiorstw. Przewiduje się kontynuację ataków na bezpieczeństwo brzegowe oraz zwiększone wykorzystanie technik inicjalnego dostępu przez grupy ransomware w 2025 roku.

Zespół bezpieczeństwa Sangoma FreePBX wydał ostrzeżenie dotyczące aktywnie wykorzystywanej luki zero-day, która dotyka systemów z panelem kontrolnym administratora wystawionym publicznie w internecie. Wrażliwe są wersje 16 i 17, a użytkownikom zaleca się natychmiastową aktualizację i ograniczenie dostępu publicznego do panelu administracyjnego.

Ważne ostrzeżenie dotyczące skorzystania z luki zero-day na serwerach FreePBX. Użytkownikom zaleca się aktualizację do najnowszych wersji oraz ograniczenie dostępu do panelu administratora.

W artykule przedstawiającym zagrożenia związane z cyberbezpieczeństwem wymienione zostały dwie znaczące grupy działające w modelu Ransomware-as-a-Service - Akira i Cl0p. Autor podkreśla konieczność skutecznej ochrony przed atakami online oraz identyfikację działań, które mogą spowodować blokadę dostępu do strony. Artykuł zawiera informacje na temat usługi Cloudflare służącej do zapewnienia wydajności i ochrony przed atakami DDoS.

Odkryto lukę w rynku Visual Studio Code, która pozwala cyberprzestępcom na ponowne wykorzystanie nazw wcześniej usuniętych rozszerzeń. Groźba ataku polega na pobieraniu złośliwego oprogramowania, które szyfruje pliki ofiary i żąda okupu w postaci tokena Shiba Inu. Brak ochrony przed ponownym wydawaniem nazw złośliwych rozszerzeń wskazuje na potrzebę zaostrzenia praktyk bezpieczeństwa w łańcuchu dostaw oprogramowania.

Artykuł opisuje odkrycie luki w Marketplace Visual Studio Code, która pozwala cyberprzestępcom na ponowne używanie nazw wcześniej usuniętych rozszerzeń, sugerującą próby rozwoju przez działającego zagrożenia jednostki.

Nowa fala ataków phishingowych wykorzystujących Microsoft Teams do dostarczania złośliwego oprogramowania została odkryta przez badaczy bezpieczeństwa. Atakujący tworzą fałszywe konta wsparcia IT, aby oszukać pracowników i zainstalować zdalne narzędzia dostępu, umożliwiając im bezpośrednią kontrolę nad systemami firmowymi.

Analiza ataku z użyciem złośliwych rozszerzeń VS Code, które wykorzystują pętlę w ponownym wykorzystywaniu nazw pakietów, oraz brak działań Microsoftu w tej sprawie.

Państwo Nevada potwierdziło atak ransomware'owy, w wyniku którego skradzione zostały dane. CIO Tim Galluzi prowadzi intensywne śledztwo wraz z zespołem specjalistów zewnętrznych oraz partnerami państwowymi i federalnymi. Brak publicznie przyznanej odpowiedzialności za incydent ze strony jakiegokolwiek cyberprzestępcy. CISA zapewnia Nevadzie wsparcie w czasie rzeczywistym przy reagowaniu na incydent bez dodatkowych kosztów.

Współczesne narzędzia zarządzania projektami, takie jak Trello czy Asana, niosą ze sobą ryzyko naruszenia danych oraz wrażliwych informacji. Wprowadzenie ochrony poprzez chmurę i backup jest kluczowe dla zapewnienia bezpieczeństwa danych przed błędami ludzkimi oraz atakami cybernetycznymi.

W tekście przedstawione są ryzyka związane z poleganiem wyłącznie na narzędziach platformowych do zarządzania projektami oraz metody ochrony przed nimi poprzez korzystanie z chmury do tworzenia kopii zapasowych i ich przywracania. Poruszane są kwestie błędów ludzkich, zagrożeń cybernetycznych i konieczności posiadania dodatkowych rozwiązań do zabezpieczenia danych.

W sierpniu 2025 roku nie zabrakło istotnych informacji dotyczących bezpieczeństwa cybernetycznego. Tony Anscombe, główny ewangelista bezpieczeństwa w firmie ESET, podsumował najważniejsze wydarzenia i wnioski wynikające z nich. Tematy poruszane w tym miesiącu to m.in. ataki na ośrodki wodne w Europie oraz odkrycie pierwszego znanego przypadku ransomware'a z wykorzystaniem sztucznej inteligencji.

Grupa ransomware oznaczona jako Storm-0501 zniszczyła dane i kopie zapasowe w ramach ataku ransomware w chmurze na platformie Azure. Przestępca wykorzystał różne techniki, włącznie z atakiem DCSync, aby zdobyć pełną kontrolę nad danymi ofiary. Microsoft udostępnił zalecenia, jak chronić się przed podobnymi atakami.

Storm-0501 to grupa atakująca zmotywowana finansowo, która wykorzystuje cyberprzestępczość do wykradania i usuwania danych z chmur Azure. Ich taktyka ewoluuje, a ataki są skierowane na różne sektory, z wykorzystaniem ransomware. Relacja zawiera szczegółowe opisy działań oraz zalecenia dla zapobiegania atakom.

Storm-0501 wykorzystuje nowoczesne techniki do eksfiltracji danych i szantażu przeciwko środowiskom chmurowym, realizując ataki ransomware hybrydowe na różne sektory przemysłu i instytucje, zmuszając organizacje do zapłacenia okupu za odzyskanie danych.

Firma ESET odkryła ransomware'a PromptLock, wykorzystującego sztuczną inteligencję i generującego złośliwe skrypty Lua w czasie rzeczywistym. Ransomware ten jest złożony z używaniem modelu gpt-oss:20b od OpenAI i powoduje zaszyfrowanie plików. Mimo być potwierdzonym koncepcyjnie, a nie w pełni funkcjonalnym, może prowadzić do kradzieży danych oraz zniszczenia ich. Pojawienie się takich zagrożeń jest efektem łatwiejszego wykorzystania sztucznej inteligencji przez cyberprzestępców, co komplikuje zadanie obrony przed nimi.

Cyberbezpieczności firma ESET odkryła szkodliwe oprogramowanie zwanego PromptLock, które wykorzystuje model AI gpt-oss:20b od OpenAI do generowania złośliwych skryptów Lua w czasie rzeczywistym. Ransomware ten ma zdolność do szyfrowania plików oraz potencjalnie do eksfiltrowania lub nawet zniszczenia danych.

Cephalus to stosunkowo nowa operacja ransomware, która pojawiła się w połowie 2025 roku i została powiązana z falą wysokoprofilowych wycieków danych. Atakując, nie tylko szyfruje dane, ale także je kradnie, a ofiary są publicznie upokarzane na dedykowanej stronie w dark web. Przestępcy wykorzystują Remote Desktop Protocol i brak wieloskładnikowej autoryzacji, aby zainfekować systemy. Sposób, w jaki uruchamia złośliwe oprogramowanie, jest nietypowy, polegając na oszukaniu programu zabezpieczającego SentinelOne. Zaleca się wzmocnienie zabezpieczeń, takich jak MFA, oraz stosowanie praktyk obronnych przeciw ransomware'owi.

W artykule opisano atak na firmę za pomocą 'Ransomware' opartego na chmurze (Cloud-Based Ransomware), który wywołał blokadę witryny. Autorzy artykułu podają, że działania prowadzące do blokady mogą być związane z wprowadzeniem określonego słowa lub frazy, poleceniem SQL lub niepoprawnie sformatowanymi danymi. Przedstawiono również prośbę o kontakt z właścicielem witryny w celu uzyskania informacji o okolicznościach, które doprowadziły do zablokowania użytkownika.

Firma Anthropic ujawniła, że zdołała zakłócić zaawansowaną operację wykorzystującą swojego chatbota Claude opartego na sztucznej inteligencji do prowadzenia masowych kradzieży i wymuszeń danych osobowych w lipcu 2025 roku. Napastnik użył Clauda Code do automatyzacji różnych etapów ataku, m.in. rozpoznania, pozyskiwania poświadczeń i penetracji sieci. Wykorzystując AI, zaatakujący podejmował decyzje taktyczne i strategiczne oraz określał kwoty okupów w Bitcoinach, analizując dane finansowe ofiar.

Firma Anthropic ujawniła, że przełamała zaawansowaną operację wykorzystującą jej chatbota z SI do prowadzenia kradzieży i wymuszeń danych osobowych. Napastnik wykorzystał klipy tekstu Claude Code, aby automatyzować fazy cyklu ataku, w tym rozpoznanie, pozyskiwanie poświadczeń i penetrację sieci. Wykorzystując SI, zaatakowany zdołał podejmować decyzje o strategicznym znaczeniu i określać dane do wydobycia z sieci ofiar oraz ustalać kwoty okupu od 75 000 do 500 000 dolarów w Bitcoinie.

Artykuł informuje o pojawieniu się nowego rodzaju ransomware'u wykorzystującego sztuczną inteligencję o nazwie 'PromptLock'. Istnieje możliwość, że witryna stosuje usługę zabezpieczeń w celu ochrony przed atakami online, które mogą być wywołane przez różne działania, takie jak przesłanie określonego słowa lub frazy, polecenia SQL lub błędnie sformułowane dane. Autorzy artykułu sugerują kontakt z właścicielem strony w celu odblokowania, podając IP oraz identyfikator Cloudflare Ray ID.

Odkrycie PromptLock ukazuje, jak złośliwe wykorzystanie modeli AI może wzmocnić ransomware i inne zagrożenia cybernetyczne. Malware ten wykorzystuje model gpt-oss-20b z OpenAI do generowania złośliwych skryptów Lua w locie, aby zdolny do wykradania, szyfrowania i potencjalnie nawet niszczenia danych.

W sierpniu 2025 roku badacze Counter Threat Unit™ (CTU) zainstalowali narzędzie Velociraptor w celu rozwiązania incydentu, gdzie atakujący wykorzystali je do zdalnego dostępu. Umożliwiło to atakującym próbę stworzenia tunelu do kontrolowanego przez nich serwera C2. Incydent ten ujawnił nowe metody ataków wykorzystujące narzędzia do zwalczania incydentów, co implikuje potrzebę monitorowania i reagowania w celu zminimalizowania zagrożenia ransomware'em.

Atak ransomware na jedną placówkę medyczną może mieć negatywne skutki dla innych podmiotów tego samego sektora, co podkreśla ważność wspólnego zabezpieczania się przed cyberzagrożeniami.

Serwis Data I/O padł ofiarą ataku ransomware. Incydent ten podkreśla znaczenie odpowiedniej ochrony danych i systemów informatycznych.

Artykuł dotyczy nowego zagrożenia w postaci Trojana Hook atakującego system Android, który teraz stosuje ataki w stylu ransomware. Autor apeluje o podjęcie działań ostrożnościowych i monitorowanie aktywności online.

Złośliwe oprogramowanie MixShell, dostarczane poprzez formularze kontaktowe, atakuje kluczowe dla łańcucha dostaw firmy produkcyjne w USA. Atak polega na inicjowaniu kontaktu z pracownikami firm poprzez strony internetowe, co prowadzi do wysyłki zainfekowanych plików ZIP zawierających szkodliwe oprogramowanie. Kampania ZipLine jest dowodem na innowacyjne podejścia przestępców do przeprowadzania ataków z wykorzystaniem zaufanych kanałów komunikacji oraz technik socjotechnicznych.

Badacze cyberbezpieczeństwa alarmują przed zaawansowaną kampanią inżynierii społecznej, która celuje w krytyczne dla łańcucha dostaw przedsiębiorstwa produkcyjne. Ataki obejmują skomplikowany proces socjotechniczny, mający na celu zainfekowanie firm z sektora produkcji przemysłowej w USA, wykorzystując złośliwe oprogramowanie MixShell w plikach ZIP. Kampania skupia się na nawiązywaniu zaufanej komunikacji z celami poprzez formularze kontaktowe na stronach internetowych, a następnie wysyłaniu zakamuflowanego oprogramowania szantażującego, wykorzystując mechanizmy wykonania w pamięci i kanały komendy i kontroli opartej na DNS.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 skompromitowanych stron WordPress do przekierowywania odwiedzających na fałszywe strony weryfikacyjne CAPTCHA, aby dostarczyć kradzieże informacji, ransomware i koparki kryptowalut. Ataki wykorzystują taktykę ClickFix w celu wprowadzenia ofiar w błąd i instalacji złośliwego oprogramowania. Konieczne jest szkolenie użytkowników, segmentacja sieci i aktualizacja zabezpieczeń w celu zapobieżenia ryzykom związanym z ShadowCaptcha.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 zhackowanych stron WordPress do przekierowania odwiedzających na fałszywe strony weryfikacji CAPTCHA, w celu dostarczenia kradzieżników informacji, ransomware i koparek kryptowalutowych.

HOOK Android Trojan to nowa wersja trojana bankowego, który dodaje nakładki ransomware i poszerza funkcjonalności o 107 poleceń zdalnych. Wariant ten ukierunkowany jest na wyłudzanie okupów poprzez pełnoekranowe nakładki. Oprócz tego trojan ma zdolność do wysyłania SMS-ów, uruchamiania strumieni ekranu ofiary czy kradzieży danych z portfeli kryptowalutowych. Zimperium zauważa, że HOOK zaczął być szeroko rozpowszechniany poprzez phishing i fałszywe repozytoria na GitHubie.

Analiza odkrycia nowej wersji trojana bankowego HOOK na system Android, która dodaje nakładki typu ransomware oraz rozszerza się do 107 poleceń zdalnych, wraz z informacją o ewolucji innego trojana, Anatsa, oraz zagrożeniach ze strony różnych rodzin złośliwego oprogramowania.

Europol zaprzecza informacji o nagrodzie w wysokości 50 000 dolarów za informacje dotyczące dwóch seniorów z grupy Qilin ransomware, rozpowszechnionej na nowym kanale Telegrama. Post został potwierdzony jako fałszywy, a prawdziwość informacji nie została potwierdzona przez Europol, co pokazuje problem fałszywych informacji w sieci.

Operacja Serengeti 2.0, zorganizowana przez Interpol, przyniosła świetne rezultaty w walce z cyberprzestępczością w Afryce. W ramach działań aresztowano 1009 przestępców, odzyskano 97,4 mln dolarów skradzionej gotówki i zdemontowano kilka nielegalnych centrów górniczych kryptowalut oraz ukarano szereg oszustów prowadzących inwestycyjne przestępstwa online.

INTERPOL ogłosił, że w ramach operacji Serengeti aresztowano 1 209 cyberprzestępców z 18 krajów Afryki, którzy skierowali swoje działania przeciwko 88 000 ofiarom. Akcja skutkowała odzyskaniem 97,4 miliona dolarów, rozmontowaniem ponad 11 000 złośliwych infrastruktur oraz zidentyfikowaniem i zwalczaniem różnorodnych przestępstw takich jak ransomware czy oszustwa online. Ponadto policja rozbiła kilka centrów kopania kryptowalut, zatrzymała Sprawców oszustw inwestycyjnych oraz infiltratorów dziedzictwa na skalę międzynarodową.

INTERPOL ogłosił aresztowanie 1 209 cyberprzestępców z 18 krajów afrykańskich, którzy skierowali swoje działania przeciwko 88 000 ofiarom. Akcja ta skutkowała odzyskaniem 97,4 miliona dolarów, zlikwidowaniem 11 432 złośliwych infrastruktur oraz zdemaskowaniem przestępczości internetowej na skalę światową, co podkreśla pilną potrzebę współpracy transgranicznej. W ramach operacji Serengeti zidentyfikowano i rozprawiono się z dużymi operacjami przestępczymi związanych z ransomware, oszustwami internetowymi oraz oszustwem poczty biznesowej.

Atak ransomware Blue Locker dotknął Pakistan Petroleum Limited, producenta ropy i gazu w kraju, powodując szkody w systemach IT i operacjach finansowych. W odpowiedzi na żądanie okupu, firma informuje o ciężkości incydentu oraz konieczności wzmożonej ostrożności w obliczu zagrożenia cybernetycznego.

Colt Technology Services przyznało, że dane klientów mogły zostać ujawnione przez cyberprzestępców, którzy dokonali ataku na wewnętrzny system firmy. Incydent spowodował zakłócenia w usługach wsparcia, a grupa Warlock, odpowiedzialna za atak, planuje sprzedać skompromitowane dane Colta na prywatnej aukcji.

W raporcie Blue 2025 znaleziono, że próby złamania haseł odniosły sukces w 46% testowanych środowisk, podwajając wynik z poprzedniego roku. Organizacje nadal borykają się z problemem zapobiegania atakom na hasła i wykrywania złośliwego użycia skompromitowanych kont. Istnieje pilna potrzeba skoncentrowania się na zagrożeniach, które omijają obronę organizacji, przez egzekwowanie silnych polityk dotyczących haseł i wdrażanie autoryzacji wieloczynnikowej dla wszystkich użytkowników.

Raport Blue 2025 firmy Picus Security ukazuje, że organizacje wciąż borykają się z atakami na hasła oraz z wykrywaniem złośliwego wykorzystania skompromitowanych kont w cyberprzestrzeni. Brak skutecznych polityk haseł, brak wdrożenia autoryzacji wieloskładnikowej i niedostateczna walidacja obrony przeciwko atakom to główne wyzwania, z jakimi muszą zmierzyć się firmy, aby zabezpieczyć swoje systemy przed atakami na hasła.

W ataku na Orange Belgium skompromitowano 850 000 kont klientów, a wśród potencjalnie dostępnych danych znalazły się numery kart SIM i kody PUK. Atak wzbudził obawy związane z atakami typu SIM-Swapping. Orange Belgium podjęło środki zaradcze, ale krytyka ze strony ekspertów wskazuje na dalsze obawy dotyczące bezpieczeństwa.

20-letni członek gangu cyberprzestępczego Scattered Spider, znany pod pseudonimami Sosa, Elijah, King Bob, Gustavo Fring i Anthony Ramirez, został skazany na 10 lat więzienia w USA za szereg poważnych haków i kradzieże kryptowalut. Do jego udziału w oszustwach przewodnich i kradzieży tożsamości, które miały miejsce między sierpniem 2022 a marcem 2023 roku, dołączyli inni współsprawcy. Urban ma także zrezygnować z 13 milionów dolarów na rzecz pokrzywdzonych, dodatkowo po odsiadce otrzymując 3 lata nadzoru resocjalizacyjnego. Grupa Scattered Spider połączyła siły z innymi grupami zagrożeń, m.in. ShinyHunters i LAPSUS$, tworząc nowe sojusze przestępcze w cyberprzestrzeni.

20-letni członek grupy przestępczej Scattered Spider został skazany na 10 lat więzienia w USA z powodu serii poważnych włamań i kradzieży kryptowalut. Noah Michael Urban, znany także jako Sosa, został skazany za oszustwa telefoniczne i kradzież tożsamości. Urban skazany także na 13 mln dolarów odszkodowania dla ofiar, a grupa Scattered Spider połączyła siły z innymi grupami przestępczymi.

W odcinku 431 podcastu „Smashing Security” samozwańczy influencer krypto o pseudonimie CP3O sądził, że znalazł skrót do bogactwa, generując milionowe niezapłacone rachunki za chmurę. Ponadto omawiana jest rosnąca groźba narzędzi zabijających EDR, które potrafią cicho dezaktywować ochronę końcową przed atakiem. Dodatkowo, autorzy zaglądają do dystopijnej maszyny Internet Archive Wayforward i zatrzymują się przy grobie Mary Shelley w Bournemouth. W odcinku gościnnie udziela się Allan „Specjalista od ransomware” Liska. Ostrzeżenie: Podcast może zawierać wulgaryzmy i treści dla dorosłych.

Artykuł omawia strategię ataku oprogramowania ransomware Warlock, które celuje w narażone serwery SharePoint, wywołując blokady online. Istnieje możliwość odzyskania dostępu poprzez kontakt z właścicielem strony.

W raporcie omawiano zmiany w krajobrazie globalnych zagrożeń, w tym porozumienie dotyczące nazewnictwa grup zagrożeń, zwiększone ryzyko ataków irańskich na interesy Stanów Zjednoczonych oraz skuteczność sposobu radzenia sobie z cyberprzestępczością poprzez ośmieszanie sprawców. Wskazano także na konieczność ciągłego monitorowania i adaptacji, aby zachować dokładność w identyfikacji zagrożeń cybernetycznych.

Ransomware Warlock to groźna operacja, która wykorzystuje tzw. podwójne szantażowanie, szyfrując pliki ofiar i grożąc wyjawieniem skradzionych danych. Grupa Warlock zintensyfikowała swoje ataki ostatnio, docierając do licznych organizacji, w tym agencji rządowych. Atak na brytyjską firmę telekomunikacyjną Colt Technology Services wywołał zakłócenia w działaniu systemów, a sprawcy zażądali okupu za skradzione dokumenty. Ekspertów radzą stosować zabezpieczenia, takie jak wieloczynnikowa autentykacja, oraz aktualizować oprogramowanie, aby uniknąć ataków ransomware.

Firma badawcza farmaceutyczna Inotiv z Indiany potwierdziła atak ransomware, który miał miejsce wcześniej w tym miesiącu. Atak ten spowodował zakłócenia w operacjach biznesowych firmy, a cyberprzestępcy żądają okupu za odszyfrowanie skradzionych danych.

Artykuł ostrzega, że wzrost ataków ransomware w Europie może być sygnałem dla amerykańskich ekspertów ds. cyberbezpieczeństwa. Przedstawione są działania anty-DDoS w przypadku blokady dostępu do witryny oraz sposób kontaktu z właścicielem strony w przypadku awarii.

Badacze Trend Micro zauważyli, że operatorzy ransomware Warlock skutecznie wykorzystali lukę w zabezpieczeniach narzędzia Microsoft SharePoint Shell, aby zaatakować ofiary na całym świecie. Grupa ta dynamicznie rozwijała się, wykorzystując zaawansowane techniki eksploatacji i szybko zdobywając popularność. Atakując organizacje, Warlock stosował skomplikowane techniki eksploracji i szyfrowania danych, co wymagało uważnej obrony i zapobiegania zagrożeniom cybernetycznym.

Artykuł omawia ponowne pojawienie się tylnych drzwi PipeMagic w ataku ransomware Play, który wymaga zabezpieczenia przed atakami online, wywołując blokadę na stronie. Autor sugeruje kontaktowanie się z właścicielem strony w przypadku blokady oraz podaje identyfikator Cloudflare Ray ID dla dodatkowych informacji.

Wykryto publicznie dostępny exploit dla krytycznej luki w SAP NetWeaver AS Java Visual Composer, umożliwiającej zdalne wykonanie kodu. Poważność zagrożenia podniosła US CISA, a firma Pathlock zaleca natychmiastowe działania przeciwdziałające.

W ataku zauważono przypadki, gdzie cyberprzestępcy modyfikują podatności po uzyskaniu dostępu, a następnie wykorzystują je do zablokowania konkurencji. Zastosowanie takiej strategii ma na celu zapewnienie wyłącznego dostępu oraz zmniejszenie ryzyka wykrycia przez obronę.

Artykuł porusza potrzebę szybkiego reagowania na zagrożenia cybernetyczne poprzez inwestowanie w nowoczesne rozwiązania MDR. W wyniku coraz skuteczniejszych ataków czas reakcji organizacji skraca się do kilku minut, co wymaga efektywnych działań obronnych ze strony zespołów IT. Popularność MDR rośnie w odpowiedzi na rozwijający się krajobraz cyberprzestępczości oraz braki kadrowe w dziedzinie cyberbezpieczeństwa. Outsourcing monitorowania zagrożeń staje się opłacalną opcją, pomagając w zapewnieniu nieprzerwanej ochrony 24/7.