Cyberbezpieczeństwo | Technologie i innowacje

Cyberprzestępcy stosują obecnie mechanizmy przypominające modele biznesowe i atakują wszystkie istotne sektory

mb | Portal Finansowy BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyberprzestępcy stosują obecnie mechanizmy przypominające modele biznesowe i atakują wszystkie istotne sektory
Fot. stock.adobe.com / Skórzewiak
Raport „In the Wild” HPE wskazuje na nowe modele działania cyberprzestępców, ktore pozwalają im zwiększyć zasięg i tempo ataków. Generatywna AI pomaga w tworzeniu syntetycznych głosów, a także obrazów i filmów, wykorzystywanych do ukierunkowanych ataków i podszywania się pod zaufane osoby. Jednostka HPE Threat Labs skupia światowej klasy wiedzę i doświadczenie praktyczne w zakresie badań nad zagrożeniami sieciowymi, czytamy w informacji prasowej firmy.

Firma HPE (NYSE: HPE) opublikowała wyniki swojego pierwszego raportu z badań nad cyberzagrożeniami, zatytułowanego In the Wild, który pokazuje wyraźną zmianę w sposobie działania cyberprzestępców prowadzących zorganizowane, wielkoskalowe kampanie w różnych sektorach biznesu oraz w krytycznych obszarach sektora publicznego.

Przeprowadzona przez HPE analiza zagrożeń obserwowanych na całym świecie w 2025 r. wykazuje, że cyberprzestępczość ulega systematycznej profesjonalizacji – atakujący wykorzystują automatyzację oraz znane od dawna luki w zabezpieczeniach, prowadząc wielkoskalowe kampanie w tempie, które utrudnia organizacjom szybką reakcję.

Zdolność do skutecznej obrony przed tymi agresywnymi działaniami i utrzymania bezpieczeństwa działań w firmowych sieciach stanowi priorytet biznesowy dla współczesnych firm. 

Wyniki analizy 1186 aktywnych, globalnych kampanii cyberataków odnotowanych w okresie od 1 stycznia do 31 grudnia 2025 roku wskazują na istnienie szybko rozwijającego się ekosystemu, którego cechy to profesjonalizm, automatyzacja i strategiczne podejście do dobierania celów.

Atakujący wykorzystują powtarzalne mechanizmy infrastrukturalne oraz istniejące od dawna luki w zabezpieczeniach, aby precyzyjnie atakować sektory o dużej wartości.

„In the Wild pokazuje rzeczywistość, z którą firmy mierzą się na co dzień” – mówi Mounir Hahad, szef HPE Threat Labs w HPE.

„Nasze badania opierają się na rzeczywistej aktywności cyberprzestępców, a nie na teoretycznych testach laboratoryjnych. Pokazują one, jak atakujący zachowują się w prowadzonych obecnie kampaniach, jak się dostosowują i w jakich sytuacjach odnoszą sukcesy.

Analizy te pomagają udoskonalić narzędzia do wykrywania zagrożeń, wzmocnić systemy obronne oraz zapewnić klientom jaśniejszy obraz zagrożeń dla ich danych, infrastruktury i działalności operacyjnej. Przekłada się to na wyższy poziom bezpieczeństwa, krótszy czas reakcji oraz większą odporność w obliczu coraz lepiej zorganizowanych ataków” – podkreśla.

Czytaj także: Niepokojące wyniki badania Mastercard o cyberbezpieczeństwie w polskich firmach

Infrastruktura na skalę przemysłową fundamentem działania cyberprzestępców

Zespół HPE Threat Labs odnotował wzrost zarówno liczby ataków, jak i stopnia zaawansowania stosowanych przez cyberprzestępców taktyk i technik.

Atakujący, w tym grupy szpiegowskie współpracujące z państwami oraz zorganizowane grupy cyberprzestępcze, coraz częściej prowadzili swoje działania na wzór dużych organizacji, wykorzystując hierarchiczne struktury dowodzenia, wyspecjalizowane zespoły i sprawną koordynację. To pozwoliło im na stosowanie rozbudowanych, działających na przemysłową skalę infrastruktur do prowadzenia ataków.

Grupy te cechuje również dogłębna znajomość powszechnie używanych aplikacji biznesowych i dokumentów.

Na całym świecie to instytucje administracji publicznej były najczęściej atakowanym sektorem. W ramach analizowanego zbioru odnotowano 274 kampanie skierowane przeciwko organom centralnym, regionalnym i miejskim.

Tuż za nimi uplasowały się sektory finansowy i technologiczny (odpowiednio 211 i 179 kampanii), co wynika z faktu, że dane o wysokiej wartości i korzyści finansowe są głównym celem atakujących.

Często atakowano również podmioty z sektorów: obronności, produkcji, telekomunikacji, opieki zdrowotnej i edukacji.

Wyniki te wskazują, że atakujący skupiają się na sektorach związanych z infrastrukturą krajową, danymi wrażliwymi i stabilnością gospodarczą, ale potwierdzają również, że żaden sektor nie jest bezpieczny.

W ciągu roku cyberprzestępcy uruchomili ponad 147 000 złośliwych domen, prawie 58 000 plików złośliwego oprogramowania i aktywnie wykorzystali 549 luk w zabezpieczeniach.

Profesjonalizacja cyberprzestępczości sprawia, że ataki są wprawdzie bardziej przewidywalne pod względem wykonania, lecz trudniejsze do powstrzymania, ponieważ zlikwidowanie jednego komponentu struktury nie oznacza zwykle powstrzymania całej kampanii ataków.

Narzędzia do automatyzacji i AI pozwalają cyberprzestępcom zwiększać szybkość działania i skalę ataków

Atakujący zaczęli również stosować nowe techniki w celu zwiększenia szybkości i skuteczności swoich działań. W niektórych atakach, na platformach takich jak Telegram, wykorzystywano zautomatyzowane procesy przypominające „linie produkcyjne”, aby w czasie rzeczywistym przeprowadzać eksfiltrację skradzionych danych.

W innych przypadkach wykorzystywano generatywną sztuczną inteligencję do tworzenia syntetycznych głosów i filmów typu deepfake, używanych w ukierunkowanych atakach phishingowych wideo („vishing”) oraz oszustwach polegających na podszywaniu się pod kadrę zarządzającą.

Jedna z grup przestępczych prowadziła badania rynkowe dotyczące luk w zabezpieczeniach wirtualnych sieci prywatnych (VPN) w celu optymalizacji swojej strategii włamaniowej.

Strategie te pozwoliły cyberprzestępcom działać szybciej, docierać do większej liczby celów i skupiać swoje działania na sektorach związanych z infrastrukturą krajową, danymi o znaczeniu krytycznym oraz stabilnością gospodarczą.

Dzięki usprawnieniu procesów i koncentracji na celach o wysokiej wartości cyberprzestępcy byli w stanie osiągać korzyści finansowe z większą skutecznością, dobierając cele pozwalające na osiągnięcie najwyższych zysków.

Praktyczne kroki pozwalające na wzmocnienie cyberodporności

Autorzy raportu podkreślają, że skuteczna obrona zależy nie tyle od liczby używanych narzędzi, co od lepszej koordynacji, widoczności i szybkości reakcji w całej organizacji.

Poniższe działania mogą przyczynić się do poprawy bezpieczeństwa:

  • Likwidacja silosów poprzez wymianę informacji o zagrożeniach między zespołami w firmie, klientami i branżami, przy jednoczesnym wykorzystaniu podejścia SASE (Secure Access Service Edge) w celu ujednolicenia sieci i zabezpieczeń oraz szybszego wykrywania schematów ataków.
  • Zabezpieczenie typowych punktów wejścia, takich jak sieci VPN, SharePoint i urządzenia brzegowe, co pozwala na zmniejszenie ryzyka i zablokowanie często wykorzystywanych ścieżek dostępu do sieci.
  • Stosowanie zasad „zero trust” w celu wzmocnienia procesu uwierzytelniania i ograniczenia ruchu poprzecznego – dostęp do sieci w modelu „zero trust” (ZTNA) zapewnia ciągłą weryfikację użytkowników i urządzeń przed przyznaniem dostępu.
  • Poprawa widoczności i szybkości reakcji dzięki analizie zagrożeń, technologiom dezinformacyjnym i wykrywaniu opartemu na sztucznej inteligencji, co pomaga wykrywać, analizować i reagować na ataki z większą szybkością i dokładnością.
  • Rozszerzenie zabezpieczeń poza granice firmy na sieci domowe, narzędzia firm trzecich i łańcuchy dostaw.

Połączenie tych kroków może przyspieszyć czas reakcji, zmniejszyć ryzyko i pozwolić skuteczniej bronić się przed coraz bardziej zorganizowanymi i długotrwałymi zagrożeniami.

HPE Threat Labs podnosi poprzeczkę w zakresie ochrony sieci

Wykorzystując swe wieloletnie doświadczenie, firma HPE stworzyła laboratorium HPE Threat Labs, aby sprostać wyzwaniom związanym z ewoluującym środowiskiem zagrożeń.

W laboratorium pracują światowej klasy specjaliści ds. badań nad bezpieczeństwem oraz analitycy z HPE i Juniper Networks, co pozwala wykorzystać ich dogłębną wiedzę specjalistyczną i stworzyć jeszcze obszerniejszą bazę danych służącą do identyfikacji i śledzenia zagrożeń.

Uzyskane w ten sposób wnioski są natychmiast wykorzystywane w produktach HPE, co pozwala skutecznie wykrywać i blokować złośliwe ataki.

„HPE Threat Labs powstało, aby wypełnić lukę między najnowszymi badaniami naukowymi a rzeczywistą skutecznością ochrony” – mówi David Hughes, wiceprezes i dyrektor generalny ds. SASE i bezpieczeństwa sieci w HPE.

„Raport In the Wild pokazuje, że pod względem dyscypliny i wydajności, dzisiejsi cyberprzestępcy działają na skalę porównywalną z globalnymi korporacjami, a obrona przed nimi wymaga dorównania im pod względem strategii, integracji i rygoru operacyjnego.

Pozwalając wykorzystać wyniki analiz zagrożeń bezpośrednio w naszych produktach, HPE Threat Labs pomaga zmniejszyć ryzyko, ograniczyć zakłócenia i chronić systemy, od których zależy działalność firmy”- podsumowuje.

***

Metodologia

Wnioski przedstawione przez HPE Threat Labs w raporcie In the Wild Threat Report 2026 stanowią wynik analizy wielu źródeł informacji. Większość danych statystycznych pochodzi z telemetrii u klientów korzystających z Juniper Advanced Threat Prevention Cloud oraz prywatnej globalnej sieci honeypotów, czyli pułapek na cyberprzestępców.

Honeypoty (TCP, SSH i SMB) są rozmieszczone na całym świecie z myślą o wykrywaniu różnorodnych zagrożeń. W uzasadnionych przypadkach wyniki badań były uzupełniane danymi kontekstowymi i statystykami pochodzącymi z otwartych repozytoriów informacji o zagrożeniach oraz wybranych stowarzyszeń branżowych. Dane przedstawione w niniejszym raporcie obejmują okres od 1 stycznia 2025 r. do 31 grudnia 2025 r.

Źródło: HPE