Krajobraz Cyberbezpieczeństwa 2024-2025: taktyki, techniki i procedury (TTPs) cyberprzestępców
Zrozumienie nieustannie ewoluujących taktyk, technik i procedur (TTPs) stosowanych przez cyberprzestępców jest absolutnie kluczowe dla możliwości budowania skutecznych, adaptacyjnych i proaktywnych strategii obronnych przez współczesne organizacje. W latach 2024-2025 obserwujemy proces dalszej, postępującej profesjonalizacji, specjalizacji oraz adaptacji metod działania różnorodnych grup przestępczych, od luźno powiązanych kolektywów po wysoce zorganizowane syndykaty działające na skalę globalną. Analiza tych TTPs, obejmująca zarówno wykorzystywane narzędzia, exploity i złośliwe oprogramowanie, jak i sposoby infiltracji, poruszania się w sieci ofiary oraz monetyzacji ataków, pozwala nie tylko na lepsze przewidywanie przyszłych zagrożeń, ale także na skuteczniejszą konfigurację systemów detekcji, priorytetyzację działań prewencyjnych oraz efektywniejszą reakcję na już zaistniałe incydenty bezpieczeństwa. Poznanie modus operandi przeciwnika jest fundamentem nowoczesnej cyberobrony.
Jak ewoluują ataki ransomware i model Ransomware-as-a-Service (RaaS), napędzając falę cyberwymuszeń?
Ataki typu ransomware, polegające na szyfrowaniu danych ofiary i żądaniu okupu za ich odblokowanie, pozostają jednym z najpoważniejszych, najbardziej destrukcyjnych i jednocześnie najbardziej dochodowych zagrożeń cybernetycznych w obecnym krajobrazie. Ich ewolucja jest w dużej mierze napędzana przez innowacyjne, quasi-biznesowe modele działania cyberprzestępców, z których kluczowym jest Ransomware-as-a-Service (RaaS). Model ten znacząco obniżył barierę wejścia dla potencjalnych atakujących, którzy nie muszą już posiadać zaawansowanych umiejętności technicznych w zakresie tworzenia własnego złośliwego oprogramowania. Platformy RaaS, działające na zasadzie subskrypcji lub podziału zysków, oferują swoim „afiliantom” (partnerom) gotowe do użycia, często wysoce konfigurowalne warianty ransomware, rozbudowaną infrastrukturę do zarządzania atakami (panele kontrolne, systemy płatności), wsparcie techniczne, a nawet gotowe zestawy narzędzi do infiltracji i eksfiltracji danych. Przykładem takiej platformy, która gwałtownie zyskała na znaczeniu w 2024 roku, jest RansomHub. Oferuje ona swoim partnerom niezwykle korzystne warunki podziału zysków, sięgające nawet 90% wartości zapłaconego okupu, co w oczywisty sposób stymuluje proliferację ataków i sprzyja pojawianiu się licznych nowych, często efemerycznych grup ransomware. Taka „profesjonalizacja” i „usługowienie” cyberprzestępczości czyni ransomware bardziej dostępnym i skalowalnym zagrożeniem.
Cyberprzestępcy stojący za atakami ransomware stosują coraz bardziej wyrafinowane i brutalne metody wymuszenia, które wykraczają daleko poza samo szyfrowanie plików ofiary. Standardem stała się taktyka podwójnego wymuszenia (double extortion), polegająca na eksfiltracji (kradzieży) dużych ilości poufnych danych przed ich zaszyfrowaniem, a następnie groźbie ich publicznego ujawnienia lub sprzedaży na czarnym rynku, jeśli ofiara odmówi zapłaty okupu. Taka groźba często okazuje się skuteczniejsza niż samo zablokowanie dostępu do danych, zwłaszcza jeśli organizacja posiada aktualne kopie zapasowe. Niektóre, bardziej agresywne grupy idą o krok dalej, stosując taktykę potrójnego wymuszenia (triple extortion). W tym modelu groźby rozszerzane są na klientów, partnerów biznesowych, dostawców, a nawet pracowników ofiary. Atakujący mogą na przykład informować klientów o wycieku ich danych, grozić atakami DDoS na partnerów biznesowych lub publikować kompromitujące informacje o pracownikach, aby wywrzeć dodatkową, wielopoziomową presję na główną ofiarę i zmusić ją do jak najszybszej zapłaty okupu.
Obserwuje się również rosnące zainteresowanie wykorzystaniem przez grupy ransomware niekonwencjonalnych podatności oraz mniej oczywistych wektorów ataku. Grupy takie jak Akira demonstrują zdolność do wykorzystywania nietypowych punktów wejścia, na przykład słabo zabezpieczonych kamer internetowych podłączonych do sieci korporacyjnej, w celu obejścia zaawansowanych systemów detekcji i odpowiedzi na punktach końcowych (EDR) i skutecznej infiltracji sieci wewnętrznych. Zwiększa się także skala wykorzystania podatności w urządzeniach Internetu Rzeczy (IoT), inteligentnych urządzeniach domowych (które pracownicy mogą wykorzystywać w sieciach domowych, a następnie łączyć się z zasobami firmowymi) oraz w źle skonfigurowanym lub przestarzałym sprzęcie biurowym (drukarki, systemy wideokonferencyjne), które często pozostają poza standardowym monitoringiem bezpieczeństwa i regularnym cyklem łatania. Analitycy prognozują także, że narzędzia takie jak platformy Robotic Process Automation (RPA), służące do automatyzacji procesów biznesowych, oraz platformy Low-Code/No-Code, ułatwiające szybkie tworzenie aplikacji bez głębokiej wiedzy programistycznej, mogą zostać w przyszłości zaadaptowane przez twórców ransomware do automatyzacji różnych etapów ataku, jego personalizacji i dalszego skalowania operacji.
Jakie są charakterystyczne taktyki, techniki i procedury głównych grup ransomware w latach 2024-2025, na które należy zwrócić uwagę?
Wśród licznych grup ransomware aktywnych w latach 2024-2025, kilka z nich wyróżnia się skalą działania, zaawansowaniem technicznym oraz specyficznymi TTPs, dominując na globalnym rynku cyberprzestępczych wymuszeń. Zrozumienie ich indywidualnego modus operandi, preferowanych wektorów ataku, używanych narzędzi oraz metod działania jest kluczowe dla przygotowania odpowiednich, ukierunkowanych strategii obronnych i prewencyjnych.
Grupa Akira, która zaistniała na scenie cyberprzestępczej w marcu 2023 roku, początkowo koncentrowała swoje działania wyłącznie na wymuszeniach związanych z kradzieżą danych, rezygnując z ich szyfrowania. Jednakże w późniejszym okresie wznowiła również szyfrowanie plików swoich ofiar, efektywnie stosując model podwójnego wymuszenia. Akira znana jest z wykorzystywania wariantów ransomware napisanych w językach programowania Rust (specjalnie dla serwerów wirtualizacji VMware ESXi, które są częstym celem ze względu na przechowywanie wielu maszyn wirtualnych) oraz C++ (dla systemów operacyjnych Windows i Linux). Typowym wektorem początkowego dostępu wykorzystywanym przez tę grupę jest eksploatacja skompromitowanych lub słabych poświadczeń do usług VPN, które umożliwiają zdalny dostęp do sieci korporacyjnej. Po uzyskaniu wstępnego dostępu, operatorzy Akiry często używają skryptów PowerShell do usuwania kopii woluminów zapasowych (Shadow Volume Copies) w systemie Windows, co ma na celu uniemożliwienie ofierze łatwego odtworzenia zaszyfrowanych danych. Stosują również popularne, publicznie dostępne narzędzia hakerskie, takie jak Mimikatz, do ekstrakcji poświadczeń (haseł, hashy) z pamięci systemowej oraz do prób wyłączania lub obejścia oprogramowania EDR. Według danych firmy Coveware, specjalizującej się w reagowaniu na incydenty ransomware, w pierwszym kwartale 2025 roku Akira odpowiadała za około 14% wszystkich zaobserwowanych ataków ransomware.
RansomHub, platforma działająca w modelu Ransomware-as-a-Service (RaaS), niezwykle szybko zyskała na znaczeniu w 2024 roku, częściowo wypełniając lukę powstałą po zakłóceniu działalności lub zniknięciu innych dużych graczy, takich jak LockBit czy BlackCat/ALPHV. Swój sukces zawdzięcza między innymi oferowaniu swoim partnerom (afiliantom) bardzo korzystnych warunków podziału zysków z okupu (często do 90% dla afilianta) oraz posiadaniu elastycznego, wieloplatformowego zestawu narzędzi zdolnych do skutecznego atakowania systemów Windows, Linux oraz popularnych hypervisorów ESXi. RansomHub jest znany z wykorzystywania szerokiego wachlarza wektorów początkowego dostępu, w tym podatności w oprogramowaniu VPN (np. Fortinet CVE-2023-27997) oraz przeprowadzania zmasowanych ataków typu brute-force na usługi RDP (Remote Desktop Protocol) i słabo zabezpieczone konta VPN. Po uzyskaniu dostępu do sieci ofiary, operatorzy RansomHub wdrażają narzędzia takie jak EDRKillShifter do neutralizacji lub obejścia rozwiązań bezpieczeństwa na punktach końcowych, wykorzystują PowerShell i WMI (Windows Management Instrumentation) do wykonywania poleceń, utrwalania infekcji i zbierania informacji, a także używają popularnych narzędzi skanujących jak Nmap i AngryIPScanner do rekonesansu sieci wewnętrznej. Do ruchu lateralnego (rozprzestrzeniania się w sieci) wykorzystują PsExec i RDP, a do kradzieży poświadczeń – Mimikatz. Do samego procesu szyfrowania danych stosują kombinację silnych algorytmów kryptograficznych, takich jak Curve25519, ChaCha20 i AES. W pierwszym kwartale 2025 roku RansomHub również odpowiadał za około 14% globalnego rynku ransomware.
Grupa Cl0p (czasem pisana jako Clop) jest znana z przeprowadzania wysoce ukierunkowanych kampanii na dużą skalę, często wykorzystujących exploity zero-day lub świeżo ujawnione podatności (one-day) w popularnym oprogramowaniu korporacyjnym, zwłaszcza w rozwiązaniach do bezpiecznego transferu plików, takich jak Accellion FTA, SolarWinds Serv-U, PaperCut, GoAnywhere MFT, a przede wszystkim Cleo Clarify i Progress MOVEit. Ich taktyka często polega na masowej, zautomatyzowanej eksfiltracji danych od wielu ofiar jednocześnie, bez konieczności szyfrowania tych danych na systemach ofiar. Następnie grupa kontaktuje się z poszczególnymi firmami, grożąc publikacją skradzionych informacji. Ten model działania czyni ich operacje szczególnie dotkliwymi i trudnymi do zwalczenia tradycyjnymi metodami prewencji ransomware. W lutym 2025 roku grupa Cl0p była powiązana z ponad jedną trzecią globalnych incydentów ransomware, wykorzystując w swoich kampaniach między innymi podatności CVE-2024-50623 i CVE-2024-55956. W pierwszym kwartale 2025 roku Cl0p był głównym motorem wzrostu ogólnej liczby ofiar ransomware, odpowiadając za aż 17% wszystkich zgłoszonych przypadków (co przekładało się na 348 z 2063 zidentyfikowanych ofiar w tym okresie).
Oprócz wymienionych, na rynku ransomware w pierwszym kwartale 2025 roku aktywne były również inne znaczące grupy, takie jak Lone Wolf (z 9% udziałem w rynku), Qilin (nowy, szybko rosnący gracz, który zdobył 8% udziału), Medusa (5%), Fog (również 5%) oraz Inc Ransom (kolejny nowy gracz na liście, z 5% udziałem). Warto również odnotować pojawienie się pod koniec 2024 roku grupy FunkSec, która szybko zyskała rozgłos dzięki publicznym deklaracjom o wykorzystaniu narzędzi sztucznej inteligencji do rozwoju i usprawniania własnego oprogramowania ransomware oraz automatyzacji niektórych etapów ataków.
Poniższa tabela syntetyzuje kluczowe taktyki, techniki i procedury (TTPs) najważniejszych grup ransomware, ułatwiając zrozumienie ich specyfiki:
| Grupa | Główne Wektory Ataku | Stosowane Narzędzia/Techniki | Metody Wymuszenia | Docelowe Platformy | Udział w Rynku (Q1 2025, szacunkowy) | Przykładowe wykorzystywane CVE |
| Akira | Skompromitowane poświadczenia VPN, niezabezpieczone urządzenia (np. kamery internetowe) | PowerShell (usuwanie Shadow Copies), Mimikatz, warianty ransomware w Rust (ESXi) i C++ (Windows, Linux) | Podwójne wymuszenie (szyfrowanie plików + kradzież danych) | Windows, Linux, VMware ESXi | 14% | Brak publicznie dominujących CVE |
| RansomHub | Podatności VPN (np. Fortinet), ataki brute-force na RDP/VPN, zakup dostępu od IABs | EDRKillShifter, PowerShell, WMI, Nmap, AngryIPScanner, PsExec, RDP, Mimikatz, szyfrowanie Curve25519/ChaCha20/AES, platforma RaaS z podziałem zysków | Podwójne wymuszenie | Windows, Linux, VMware ESXi | 14% | CVE-2023-27997 (Fortinet) |
| Cl0p | Exploity zero-day i one-day w oprogramowaniu do transferu plików (MOVEit, GoAnywhere) | Wysoce wyspecjalizowane exploity dla konkretnych aplikacji, masowa eksfiltracja danych | Głównie masowa kradzież danych (często bez szyfrowania) | Zależne od podatności (serwery Windows/Linux) | 17% | CVE-2024-50623, CVE-2024-55956 |
Tabela: Porównanie TTPs kluczowych grup ransomware (Akira, RansomHub, Cl0p) w latach 2024-2025.
Jakie są obecne trendy w płatnościach okupu za ransomware i jak organizacje mogą efektywnie minimalizować ryzyko stania się ofiarą?
Analiza trendów dotyczących płatności okupu w atakach ransomware prezentuje złożony i niejednoznaczny obraz, z danymi pochodzącymi z różnych źródeł wskazującymi na częściowo sprzeczne tendencje. Z jednej strony, raport Verizon DBIR 2025 wskazuje na pewien spadek mediany kwoty płaconego okupu, która w 2024 roku wyniosła 115 tysięcy USD (w porównaniu do 150 tysięcy USD w 2023 roku). Co więcej, 95% odnotowanych płatności okupu w 2024 roku nie przekraczało kwoty 3 milionów USD, podczas gdy rok wcześniej ten próg wynosił 9,9 miliona USD. Istotny jest również wzrost odsetka ofiar, które kategorycznie odmawiają zapłaty okupu – wskaźnik ten wzrósł do 64% w 2024 roku (z 50% w 2022 roku).
Z drugiej jednak strony, według danych firmy Sophos, cytowanych w raporcie Securelist, średnia kwota faktycznie zapłaconego okupu przez organizacje, które zdecydowały się na ten krok, znacząco wzrosła – z 1,54 miliona USD w 2023 roku do aż 3,96 miliona USD w 2024 roku. Firma Coveware, specjalizująca się w negocjacjach z grupami ransomware i reagowaniu na incydenty, odnotowała natomiast spadek samego wskaźnika płatności (odsetka firm płacących okup) do rekordowo niskiego poziomu 25% w czwartym kwartale 2024 roku (spadek z 29% w Q4 2023). Ten spadek może być efektem połączonych działań organów ścigania (takich jak operacje zakłócające działalność grup ransomware), lepszych zabezpieczeń i strategii tworzenia kopii zapasowych po stronie organizacji, a także rosnącej presji regulacyjnej i prawnej zniechęcającej do płacenia okupów (np. obawy związane z naruszeniem sankcji). Jednakże, najnowsze dane z pierwszego kwartału 2025 roku, również od Coveware, wskazują na ponowny wzrost mediany płatności okupu do poziomu 200 tysięcy USD.
Te pozorne rozbieżności w danych sugerują, że choć ogólna tendencja może wskazywać na spadek chęci płacenia okupów przez część organizacji (być może z powodu lepszych strategii odzyskiwania danych, rosnącej świadomości, że zapłata nie gwarantuje odzyskania danych ani braku ich publikacji, czy też skuteczniejszych działań organów ścigania), atakujący nieustannie adaptują swoje strategie. Mogą na przykład coraz częściej celować w większe, bardziej wypłacalne organizacje, od których mogą żądać znacznie wyższych sum, lub stosować bardziej dotkliwe i wielowymiarowe formy wymuszenia (jak wspomniane potrójne wymuszenie), aby zwiększyć presję. Dlatego absolutnie kluczowe dla każdej organizacji pozostaje inwestowanie w budowanie wszechstronnej odporności cybernetycznej, posiadanie solidnych, regularnie testowanych planów reagowania na incydenty oraz skutecznych i odizolowanych strategii odzyskiwania danych po awarii (disaster recovery). Te działania mają na celu zminimalizowanie ryzyka stania się ofiarą oraz uniknięcie konieczności prowadzenia jakichkolwiek negocjacji z cyberprzestępcami.
W jaki sposób cyberprzestępcy coraz częściej atakują łańcuch dostaw oprogramowania i jakie są tego najbardziej niepokojące przykłady?
Ataki na łańcuch dostaw oprogramowania stają się coraz bardziej wyrafinowane, powszechne i, co najważniejsze, coraz bardziej dotkliwe w skutkach. Cyberprzestępcy, w tym również grupy sponsorowane przez państwa, coraz częściej celują w słabiej zabezpieczone elementy rozległego i złożonego ekosystemu tworzenia, dystrybucji i utrzymania oprogramowania, aby uzyskać pośredni dostęp do swoich docelowych, często znacznie lepiej chronionych organizacji. Atakujący koncentrują swoje wysiłki na kilku kluczowych obszarach: na potokach budowania (build pipelines) i systemach CI/CD (Continuous Integration/Continuous Delivery) popularnych projektów open-source, na komponentach i bibliotekach wchodzących w skład łańcuchów dostaw oprogramowania wykorzystującego sztuczną inteligencję i uczenie maszynowe (AI/ML), oraz na wykorzystywaniu ukrytych, trudnych do wykrycia wad i backdoorów w komercyjnych, zamkniętych plikach binarnych dystrybuowanych przez zaufanych dostawców. Raport Verizon DBIR 2025 alarmuje, że liczba naruszeń bezpieczeństwa z udziałem stron trzecich, w tym tych wynikających bezpośrednio z kompromitacji w łańcuchu dostaw, wzrosła dwukrotnie w ostatnim okresie, stanowiąc obecnie aż 30% wszystkich przeanalizowanych przypadków naruszeń.
Przykłady znaczących i głośnych ataków na łańcuch dostaw oprogramowania z lat 2024-2025 obejmują:
- Incydent XZ Utils (marzec 2024): Wykrycie celowo wprowadzonej, wysoce zaawansowanej podatności typu backdoor (CVE-2024-3094) w popularnej bibliotece kompresji xz (liblzma), używanej w wielu dystrybucjach systemu Linux. Backdoor ten, gdyby nie został wykryty na wczesnym etapie, mógłby umożliwić zdalne, nieautoryzowane przejęcie kontroli nad milionami systemów na całym świecie, w tym serwerami i stacjami roboczymi. Incydent ten uwypuklił ryzyka związane z zależnością od często niedofinansowanych projektów open-source i możliwością długotrwałej infiltracji przez zdeterminowanych aktorów.
- Justice AV Solutions (JAVS) (maj 2024): Kompromitacja komercyjnego oprogramowania do nagrywania materiałów wideo, szeroko stosowanego w sądach, prokuraturach i innych instytucjach prawnych w USA. Atakujący zdołali zmodyfikować oficjalny instalator tego oprogramowania, dodając do niego złośliwy kod (malware RustDoor), co umożliwiło im uzyskanie pełnej kontroli nad zainfekowanymi systemami i potencjalny dostęp do niezwykle wrażliwych danych.
- Biblioteki open-source: Solana, Ultralytics, Rspack: Odnotowano liczne przypadki wstrzyknięcia złośliwego kodu (np. kradnącego kryptowaluty, dane uwierzytelniające) do popularnych bibliotek i pakietów open-source, takich jak te związane z blockchainem Solana, frameworkiem AI Ultralytics (gdzie wykorzystano lukę w mechanizmie GitHub Actions do kradzieży tokenów API i modyfikacji kodu) czy narzędziem budowania Rspack. Takie ataki mogą wpłynąć na miliony projektów i aplikacji, które są od tych bibliotek zależne.
- Pakiet npm @solana/web3.js: Wstrzyknięcie złośliwych funkcji do dwóch wersji tego niezwykle popularnego pakietu JavaScript API dla blockchainu Solana, który jest pobierany setki tysięcy razy tygodniowo i używany w tysiącach projektów DeFi i Web3.
- Złośliwe pakiety PyPI (BIPClip, aiocpa): Publikacja w oficjalnym repozytorium Python Package Index (PyPI) złośliwych pakietów, które podszywały się pod popularne narzędzia lub oferowały pozornie przydatne funkcjonalności, a w rzeczywistości celowały w użytkowników portfeli kryptowalut, próbując wykraść ich frazy odzyskiwania (seed phrases) lub implantując na ich systemach infostealery (malware kradnący informacje).
- Klient VPN IPany (Korea Południowa): Naruszenie łańcucha dostaw tego popularnego w Korei Południowej klienta VPN w celu dystrybucji niestandardowego, trudnego do wykrycia malware’u, prawdopodobnie w celach szpiegowskich.
Istotnym, powiązanym problemem są również coraz częstsze wycieki sekretów deweloperskich. W samym 2024 roku odnotowano alarmujący, 12% wzrost liczby przypadków przypadkowego lub celowego ujawnienia krytycznych danych uwierzytelniających, takich jak klucze prywatne do repozytoriów kodu, klucze API do usług chmurowych, tokeny dostępu do platform deweloperskich, klucze SSH oraz tokeny GitHub, poprzez publicznie dostępne repozytoria open-source (np. na GitHubie, GitLabie). Skradzione lub znalezione w ten sposób sekrety są następnie masowo wykorzystywane przez atakujących do uzyskania nieautoryzowanego dostępu do systemów produkcyjnych, sieci korporacyjnych i platform chmurowych, kradzieży wrażliwych danych (w tym całego kodu źródłowego aplikacji), implantacji złośliwego oprogramowania oraz kompromitacji całych środowisk budowania i wdrażania oprogramowania (CI/CD).
Ryzyka związane z bezpieczeństwem w popularnym oprogramowaniu open-source są znaczące i często niedoceniane. Analiza 30 popularnych pakietów open-source z największych repozytoriów takich jak npm (dla JavaScript), PyPI (dla Pythona) i RubyGems (dla Ruby), generujących łącznie setki milionów pobrań rocznie, wykazała obecność licznych krytycznych podatności CVE, które były aktywnie wykorzystywane przez cyberprzestępców w różnych kampaniach. Średnio na jeden analizowany pakiet PyPI przypadało aż 134.9 znanych podatności, a na pakiet npm 43.3 podatności. Podobne, a czasem nawet większe ryzyka dotyczą oprogramowania komercyjnego. Analiza ponad 30 powszechnie używanych komercyjnych plików binarnych (zamknięte oprogramowanie) wykazała liczne dowody na niebezpieczny design (np. stosowanie przestarzałych bibliotek, hardkodowane hasła), niewystarczające wzmocnienie aplikacji (application hardening) oraz, co równie niepokojące, ujawnione dane konfiguracyjne i sekrety deweloperskie bezpośrednio w kodzie binarnym.
Jakie znaczenie w taktykach, technikach i procedurach (TTPs) cyberprzestępców odgrywa nieustanne wykorzystanie skradzionych danych uwierzytelniających oraz podatności systemowych?
Dwa główne i niezmiennie popularne wektory początkowego dostępu do systemów i sieci organizacji to nadal skradzione lub słabe dane uwierzytelniające oraz wykorzystanie znanych lub nieznanych (zero-day) podatności systemowych. Te dwie metody stanowią fundament wielu udanych cyberataków i są kluczowymi elementami w arsenale taktyk, technik i procedur (TTPs) stosowanych przez szerokie spektrum cyberprzestępców, od oportunistycznych hakerów po zaawansowane grupy APT.
Według najnowszego raportu Verizon DBIR 2025, skradzione dane uwierzytelniające były bezpośrednią przyczyną aż 22% wszystkich przeanalizowanych naruszeń bezpieczeństwa. Atakujący często wykorzystują fakt, że wielu użytkowników nagminnie ponownie używa tych samych, często słabych haseł w różnych serwisach internetowych i systemach korporacyjnych. Nawet jeśli jedno z tych kont zostanie skompromitowane w wyniku wycieku danych z mniej bezpiecznej usługi, przestępcy mogą następnie próbować użyć tych samych poświadczeń do uzyskania dostępu do znacznie bardziej wartościowych zasobów firmowych (tzw. credential stuffing). Równie wysoką skuteczność w celu pozyskiwania danych logowania wykazują niezmiennie różne formy phishingu, od masowych kampanii po wysoce ukierunkowany spear phishing. Skompromitowane poświadczenia pozwalają atakującym na „legalne” zalogowanie się do systemów, omijając w ten sposób wiele mechanizmów detekcji intruzów.
Wykorzystanie podatności systemowych było drugim najczęstszym wektorem początkowego ataku, odpowiadając za 20% wszystkich naruszeń przeanalizowanych w raporcie Verizon DBIR 2025. Co istotne, zaobserwowano znaczący, 34% wzrost wykorzystania podatności jako początkowego wektora ataku w porównaniu z poprzednim okresem. Szczególnym zainteresowaniem cyberprzestępców cieszą się exploity (kody wykorzystujące podatności), w tym te typu zero-day, wymierzone w urządzenia brzegowe sieci (perimeter devices), takie jak firewalle, routery, koncentratory VPN, oraz w same systemy VPN. Liczba nowo odkrywanych podatności w urządzeniach brzegowych i oprogramowaniu VPN wzrosła w ostatnim czasie aż ośmiokrotnie. Niepokojące jest również to, że według danych z raportu, tylko 54% z tych krytycznych podatności jest terminowo łatanych przez organizacje, a mediana czasu potrzebnego na ich skuteczną naprawę (time to remediate) wynosi aż 32 dni, co daje atakującym szerokie okno możliwości. Cyberprzestępcy aktywnie skanują internet w poszukiwaniu systemów z niezaadresowanymi, znanymi podatnościami CVE (Common Vulnerabilities and Exposures), które są katalogowane m.in. przez CISA. Przykłady podatności intensywnie wykorzystywanych przez grupy ransomware w pierwszym kwartale 2025 roku obejmują CVE-2025-0282 i CVE-2025-22457 (dotyczące popularnych urządzeń Ivanti Connect Secure VPN), CVE-2025-23006 (w urządzeniach SonicWall SMA1000), CVE-2024-41713 i CVE-2024-55550 (w systemach komunikacyjnych Mitel MiCollab) oraz krytyczną podatność CVE-2024-0012 (w systemie operacyjnym Palo Alto Networks PAN-OS).
Jak czynnik ludzki i różnorodne zagrożenia wewnętrzne (Insider Threats) są wykorzystywane i wpływają na TTPs cyberprzestępców?
Czynnik ludzki, obejmujący zarówno pracowników organizacji, jak i kadrę zarządzającą, kontrahentów czy partnerów biznesowych, niezmiennie pozostaje jednym z najsłabszych, a jednocześnie najczęściej atakowanych ogniw w systemach bezpieczeństwa informatycznego. Raport Verizon DBIR 2025 dobitnie wskazuje, że błędy ludzkie (niezamierzone działania lub zaniechania) lub celowe, złośliwe działania pracowników przyczyniły się do aż 60% wszystkich potwierdzonych naruszeń bezpieczeństwa. Obejmuje to szeroki wachlarz zachowań, takich jak nieostrożne kliknięcia w złośliwe linki lub załączniki w wiadomościach phishingowych, podatność na wyrafinowane techniki inżynierii społecznej (np. vishing, pretexting), przypadkowe błędne wysłanie wrażliwych danych do nieuprawnionych odbiorców, używanie słabych haseł, czy nieprzestrzeganie wewnętrznych polityk bezpieczeństwa.
Zagrożenia wewnętrzne (Insider Threats), czyli te pochodzące bezpośrednio z wnętrza organizacji, mogą być zarówno przypadkowe (np. błąd pracownika wynikający z braku wiedzy, pośpiechu lub niedbalstwa), jak i celowe (np. działanie złośliwego pracownika motywowanego chęcią zemsty, zysku finansowego lub działającego na zlecenie konkurencji czy obcego wywiadu). Trzecią kategorią są skompromitowani insiderzy, czyli pracownicy, których legalne konta i poświadczenia zostały przejęte przez zewnętrznych atakujących (np. w wyniku phishingu lub malware’u), którzy następnie wykorzystują te konta do działania „od wewnątrz”. Zagrożenia wewnętrzne są szczególnie podstępne i trudne do wykrycia, ponieważ często omijają tradycyjne, zewnętrzne środki bezpieczeństwa (takie jak firewalle czy systemy IDS/IPS) dzięki posiadaniu przez insidera legalnego, zaufanego dostępu do systemów, aplikacji i danych organizacji.
Badania pokazują jednak, że inwestycje w regularne, angażujące szkolenia z zakresu świadomości cyberbezpieczeństwa mogą być skutecznym środkiem zaradczym. Pracownicy, którzy przeszli praktyczne szkolenie dotyczące rozpoznawania prób phishingu w ciągu ostatnich 30 dni, byli aż czterokrotnie bardziej skłonni do prawidłowego zidentyfikowania i zgłoszenia takich prób do działu bezpieczeństwa. Wskaźnik zgłoszeń prób phishingu wynosił 21% w tej grupie, w porównaniu do zaledwie 5% wśród pracowników, którzy nie przeszli szkolenia lub odbyli je dawno temu. To pokazuje, że budowanie silnej kultury bezpieczeństwa i regularne podnoszenie świadomości pracowników jest kluczowym elementem redukcji ryzyka związanego z czynnikiem ludzkim.
W jaki sposób postępująca specjalizacja i złożona ekonomia cyberprzestępczości wpływają na ewolucję i dostępność zaawansowanych TTPs?
Obserwowana w ostatnich latach ekonomia cyberprzestępczości dynamicznie ewoluuje w kierunku coraz większej specjalizacji, profesjonalizacji i tworzenia złożonych, podziemnych ekosystemów usługowych. Model Ransomware-as-a-Service (RaaS), dynamicznie rozwijający się rynek sprzedaży dostępu początkowego (Initial Access Brokers – IABs), gdzie liczba publicznych ogłoszeń brokerów oferujących dostęp do skompromitowanych sieci korporacyjnych wzrosła o 50% rok do roku, oraz kwitnący handel skradzionymi danymi uwierzytelniającymi, danymi kart płatniczych czy gotowymi exploitami na zamkniętych forach i marketach w darknecie – wszystko to wskazuje na istnienie rozwiniętej, podziemnej gospodarki z wyraźnie wyspecjalizowanymi rolami i podziałem pracy.
Model RaaS, jak wcześniej wspomniano, znacząco obniża barierę wejścia, pozwalając mniej wykwalifikowanym technicznie aktorom na przeprowadzanie zaawansowanych i wysoce dochodowych ataków ransomware. Operatorzy platform RaaS zajmują się rozwojem i utrzymaniem samego malware’u oraz infrastruktury, podczas gdy ich „afilianci” koncentrują się na uzyskaniu dostępu do sieci ofiar i wdrożeniu ładunku szyfrującego. Brokerzy dostępu (IABs) specjalizują się wyłącznie w uzyskiwaniu pierwszego, nieautoryzowanego włamania do sieci korporacyjnych (np. poprzez phishing, wykorzystanie podatności, skompromitowane RDP), a następnie odsprzedają ten ugruntowany dostęp innym grupom przestępczym, na przykład operatorom ransomware, grupom szpiegującym lub specjalistom od eksfiltracji danych, którzy koncentrują się na dalszej monetyzacji tego dostępu. Istnieje również aktywny rynek na skradzione bazy danych, poświadczenia do usług online, a nawet na gotowe zestawy narzędzi do przeprowadzania określonych typów ataków (np. phishing kits, exploit kits).
Oznacza to, że współczesna cyberprzestępczość staje się coraz bardziej „przemysłowa”, z wyraźnym podziałem pracy, specjalizacją poszczególnych grup lub jednostek oraz tworzeniem złożonych łańcuchów wartości. Taka struktura znacząco zwiększa jej ogólną efektywność, skalę działania oraz zdolność do adaptacji i unikania wykrycia. Wymusza to na obrońcach stosowanie wielowarstwowych, głębokich strategii bezpieczeństwa (defense-in-depth), które adresują nie tylko końcowy etap ataku (np. detonację ransomware), ale także jego wszystkie wcześniejsze fazy, takie jak kompromitacja poświadczeń, zakup dostępu od IABs, rekonesans wewnętrzny czy ruch lateralny. Konieczne staje się również aktywne monitorowanie aktywności brokerów dostępu, analiza trendów na czarnym rynku oraz inwestycje w zaawansowane platformy threat intelligence, które pomagają zrozumieć ten złożony ekosystem i przewidywać nowe wektory zagrożeń.
Kluczowe wnioski (Key Takeaways):
Wpływ ekonomii cyberprzestępczości: Rozwinięta podziemna gospodarka z wyspecjalizowanymi rolami (RaaS, brokerzy dostępu, handel danymi i narzędziami) znacząco zwiększa dostępność zaawansowanych TTPs dla szerszego grona atakujących, wymuszając na organizacjach stosowanie wielowarstwowych i proaktywnych strategii obronnych.
Profesjonalizacja i specjalizacja TTPs: Cyberprzestępcy działają w coraz bardziej zorganizowany sposób, wykorzystując modele biznesowe takie jak RaaS i specjalizując się w poszczególnych etapach ataku, co zwiększa ich efektywność i skalę działania.
Dominacja i ewolucja Ransomware: Ataki ransomware, napędzane przez model RaaS, wykorzystują coraz brutalniejsze metody wymuszenia (podwójne, potrójne wymuszenie) oraz niekonwencjonalne wektory dostępu, a kluczowe grupy (Akira, RansomHub, Cl0p) nieustannie doskonalą swoje TTPs.
Złożone trendy w płatnościach okupów: Mimo pewnych sygnałów o spadku chęci płacenia okupów, atakujący adaptują strategie, co prowadzi do rozbieżności w danych dotyczących wysokości i częstotliwości płatności; kluczowa pozostaje budowa odporności i plany odzyskiwania danych.
Eskalacja ataków na łańcuch dostaw: Kompromitacja elementów ekosystemu tworzenia i dystrybucji oprogramowania (open-source, AI/ML, komercyjne) oraz wycieki sekretów deweloperskich stają się coraz powszechniejszym i groźniejszym wektorem zaawansowanych ataków.
Niezmienna rola kluczowych wektorów dostępu: Skradzione lub słabe dane uwierzytelniające oraz wykorzystanie znanych i nieznanych podatności systemowych (szczególnie w urządzeniach brzegowych i VPN) pozostają głównymi metodami uzyskiwania początkowego, nieautoryzowanego dostępu do sieci organizacji.
Czynnik ludzki i zagrożenia wewnętrzne jako stałe wyzwanie: Błędy ludzkie, podatność na inżynierię społeczną oraz różne formy zagrożeń wewnętrznych (przypadkowe, złośliwe, skompromitowane) są istotnym elementem TTPs, a regularne szkolenia z cyberbezpieczeństwa są kluczowe dla minimalizacji tego ryzyka.
Zainteresowała Cię nasza oferta? Zapytaj o szczegóły
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.
156480
O autorze:
Łukasz Szymański
Łukasz to doświadczony profesjonalista z wieloletnim stażem w branży IT. Jako Dyrektor Operacyjny, koncentruje się na optymalizacji procesów biznesowych, zarządzaniu operacjami i wspieraniu długoterminowego rozwoju firmy. Jego wszechstronne kompetencje obejmują zarówno aspekty techniczne, jak i biznesowe, co potwierdza jego wykształcenie w dziedzinie informatyki oraz zarządzania.
W swojej pracy Łukasz kieruje się zasadami efektywności, innowacyjności i ciągłego doskonalenia. Jego podejście do zarządzania operacyjnego opiera się na strategicznym myśleniu i wykorzystaniu najnowszych technologii do usprawniania działań firmy. Jest znany z umiejętności skutecznego łączenia celów biznesowych z możliwościami technologicznymi.
Łukasz to przede wszystkim praktyk. Swoje doświadczenie budował od podstaw, rozpoczynając karierę jako administrator systemów UNIX/AIX. Ta praktyczna wiedza techniczna stanowi solidny fundament jego obecnej roli, pozwalając mu na głębokie zrozumienie technicznych aspektów projektów IT.
Szczególnie interesuje się obszarem automatyzacji procesów biznesowych, rozwojem technologii chmurowych oraz wdrażaniem zaawansowanych rozwiązań analitycznych. Skupia się na wykorzystaniu tych technologii do zwiększania efektywności operacyjnej i wspierania innowacji w firmie.
Aktywnie angażuje się w rozwój zespołu, promując kulturę ciągłego uczenia się i adaptacji do zmieniających się warunków rynkowych. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest elastyczność, szybkość działania oraz umiejętność przewidywania i odpowiadania na przyszłe potrzeby klientów.