Miesięcznik Finansowy BANK 2025/12

Outsourcing cyberprzestępczości, czyli hakerzy do wynajęcia

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Outsourcing cyberprzestępczości, czyli hakerzy do wynajęcia
Fot. Md Hafijul/stock.adobe.com
Kradzieże, wymuszenia, haracze, porwania dla okupu – tak do niedawna wyglądał gangsterski świat, który dzisiaj w pełni się... scyfryzował. Wszystkie te mafijne sposoby na szybki i duży zarobek przeniosły się do sieci. Z jednym małym wyjątkiem – teraz, zamiast ludzi, porywa się dane. Właściwie to nie zmieniło się jedno – żądanie okupu.

Obok zorganizowanej przestępczości wciąż jednak kręcą się hakerzy-amatorzy, miłośnicy wielkich emocji i poszukiwacze konfrontacji ze służbami. Okazuje się, że generują wcale nie mniejsze straty. A te – jak pokazują analizy – rosną co rok o… bilion USD.

Pierwsza dekada XXI w. nie przyniosła – według przewidywań futurystów – latających samochodów, ale początki zorganizowanej cyberprzestępczości. Dynamiczny rozwój internetu – dostęp szerokopasmowy, większa liczba użytkowników, a także rosnąca i bardzo pożądana obecność firm w sieci – stworzył podatne warunki dla ataków, a przestępcy dostrzegli, że technologia może być skutecznym źródłem zysków.

Zaczęły się zatem pojawiać również pierwsze specjalizacje w cybergansterskim rzemiośle. Przestępcy podzieli się na atakujących, twórców narzędzi, dostawców infrastruktury i brokerów prania pieniędzy.

Model Crime-as-a-Service

Współczesna cyberprzestępczość to skomplikowany ekosystem z podziałem pracy na wielu poziomach. Bardzo znaczącą grupę stanowią twórcy malware – piszą i rozwijają złośliwe oprogramowanie, które następnie jest sprzedawane lub wynajmowane. Z kolei operatorzy botnetów zarządzają sieciami zainfekowanych komputerów, oferując ich moc obliczeniową, m.in. do ataków DDoS. Następną grupę wsparcia przestępców stanowią brokerzy dostępu początkowego (Initial Access Brokers), którzy specjalizują się w uzyskaniu nieautoryzowanego dostępu do systemów, który później sprzedają innym przestępcom.

Po nich w tym swoistym łańcuchu wartości są brokerzy danych: handlarze skradzionymi bazami danych użytkowników, loginami, hasłami i innymi cennymi informacjami. I wreszcie korowód zamykają usługodawcy prania pieniędzy; czyli przestępcy, którzy wykorzystują mikropłatności, kryptowaluty i muły finansowe, by ukryć źródła nielegalnych dochodów.

Ich naturalnym środowiskiem stał się dark web, ukryta (i najczęściej nielegalna) część globalnej sieci. Tam właśnie – na platformach dark webowych: rynkach, forach, giełdach, gdzie handel jest anonimowy i trudny do śledzenia – odbywa się zdecydowana większość transakcji. Tam też można znaleźć usługi wsparcia technicznego, jak instrukcje operacyjne, poradniki i wsparcie dla mniej doświadczonych przestępców. W efekcie dzisiaj cyberprzestępcą można zostać z niewielką lub żadną wiedzą techniczną.

Miniona dekada przyniosła jeszcze większe zorganizowanie całego systemu. Grupy przestępcze przybrały struktury biznesowe – z podziałem ról, systemem rozliczeń, usługami i nawet obsługą klienta. Model Crime-as-a-Service (CaaS) zaczął dominować, co zrewolucjonizowało skalę i rentowność ataków.

We wspomnianym dark necie rezydują twórcy oprogramowania ransomware, które inni przestępcy mogą wynajmować, by prowadzić ataki. Tam też dostępne są narzędzia phishingowe, które można kupić lub wypożyczyć, nawet bez głębokiej wiedzy technicznej. Co ciekawe, pojawił się także outsourcing – różne etapy ataku mogą być wykonywane przez różne podmioty. Jeden zajmować się będzie włamaniem, inny – oprogramowaniem botnetów, kolejny – praniem pieniędzy.

Równocześnie przestępcy zaczęli wykorzystywać kryptowaluty, co ułatwiało anonimowe otrzymywanie okupów i pranie pieniędzy. Dzięki temu, ataki stawały się bardziej opłacalne, a fundusze mogły być przesyłane bezpośrednio do portfeli przestępców bez tradycyjnych pośredników bankowych.

To nie tylko zagrożenie techniczne

Skala przestępczej działalności hakerów jest porażająca. Według prognoz Cybersecurity Ventures, globalne koszty cyberprzestępczości mogą osiągnąć tylko w tym roku 10,5 bln USD. Inne analizy wskazują, że ubiegły rok zamknął się globalnymi stratami na poziomie 9,5 bln USD. Z kolei według Sophos, średni koszt odbudowy systemów po ataku ransomware w 2024 r. wyniósł 2,73 mln USD, a IBM i Ponemon Institute wskazują, że średni koszt naruszenia danych w tym samym okresie to 4,88 mln USD, co jest najwyższą wartością w historii ich badań.

Jak podaje „Gazeta Ubezpieczeniowa”, mimo wysiłków, aby zapobiegać szkodom spowodowanym przez cyberprzestępców i je minimalizować, cyberataki o charakterze ransomware, kradzieży danych, cyberszpiegostwa czy phishingu nadal są największym zagrożeniem dla biznesu. 40% respondentów ankiety „Allianz Barometr Ryzyka” uznało cyberprzestępczość za największe zagrożenie – przed inflacją, kryzysem energetycznym i przerwami łańcucha dostaw. Coraz częściej zdarzają się także ataki łączące szyfrowanie danych z kradzieżą informacji („podwójny szantaż”) – przestępcy grożą ujawnieniem danych, jeśli okup nie zostanie zapłacony.

Według danych zaprezentowanych przez stocklytics.com roczny koszt cyberprzestępstw w 2024 r. był o 1 bln  USD wyższy niż rok wcześniej. Do 2028 r. ta suma wzrośnie o kolejne 70%, do 13,8 bln USD.

Pamiętać też trzeba, że cyberprzestępczość to nie tylko techniczne zagrożenie – ma ogromne konsekwencje dla społeczeństw, gospodarek i instytucji państwowych. Straty finansowe firm są ogromne: ataki ransomware, kradzież danych, phishing, DDoS – wszystkie generują koszty operacyjne, reputacyjne i naprawcze. Firmy ponoszą nie tylko koszty okupu, ale także wydatki na dochodzenie sądowe, audyt zabezpieczeń, odzyskiwanie systemów i dodatkowe systemy bezpieczeństwa. Ciężar tych wydatków często przechodzi na konsumentów lub podatników – instytucje publiczne podwyższają ceny usług, a firmy przenoszą część kosztów na klientów.

Dodatkowo, cyberataki mogą prowadzić do przerw w działalności: ataki DDoS, ransomware, sabotaż systemów kluczowych (np. energetyka) mogą sparaliżować operacje przedsiębiorstw i instytucji. W infrastrukturze krytycznej (energie, transport, zdrowie) skutki mogą być dramatyczne – od utraty danych po zagrożenie dla życia i bezpieczeństwa obywateli.

Nie bez znaczenia pozostaje także możliwość utraty zaufania obywateli do instytucji cyfrowych, co może być skutkiem utraty danych osobowych, naruszenia prywatności i ataków phishingowych.

Globalny biznes

W ostatnich latach cyberprzestępczość wchodzi w nową fazę – napędzaną przez automatyzację, sztuczną inteligencję i coraz większe obszary do potencjalnego ataku.

Cyberprzestępcy celują w dostawców oprogramowania lub usług, ponieważ przejęcie jednego kluczowego punktu może umożliwić atak na wielu klientów. To jeden z najbardziej niebezpiecznych kierunków – zainfekowane komponenty mogą być dostarczone legalnym firmom, które ich używają.

Wsparcie dla przestępców stanowi także sztuczna inteligencja, która umożliwia generowanie spersonalizowanego phishingu, deepfake’ów do oszustw BEC (Business Email Compromise), w których atakujący – za pośrednictwem wiadomości e-mail – podszywają się pod zaufaną osobę lub organizację, oraz automatyzację ataków. Nie da się ukryć, że AI zwiększa szybkość i skuteczność działań, a obrona wymaga coraz bardziej zaawansowanych metod.

Hipotetycznym zagrożeniem staje się także Internet Rzeczy. Miliony urządzeń IoT (smart home, urządzenia przemysłowe) staje się celem, gdyż wielu producentów niewystarczająco dba o bezpieczeństwo. Zainfekowane urządzenia IoT mogą być włączane do botnetów, wykorzystywane do ataków DDoS, dostępu do danych lub sabotażu infrastruktury.

Przestępczość cyfrowa przestała być epizodem w historii technologii – stała się globalnym biznesem. Pierwszymi hakerami często kierowała ciekawość, działali by zrozumieć systemy, testować granice możliwości. Dziś dominującym motywem jest zysk finansowy. Cyberprzestępczość stała się branżą z podziałem ról, systemami partnerskimi, globalną współpracą i modelami biznesowymi. Obrona wymaga współpracy międzynarodowej, inwestycji w cyberbezpieczeństwo, regulacji oraz edukacji użytkowników. Bez tego cyberprzestępczość będzie nadal rosnąć. Krótko mówiąc, cyberprzestępczość to nie problem techniczny, ale systemowe wyzwanie dla gospodarek, społeczeństw i instytucji.

Największe cyberataki w 2025 r.

  1. Wyciek danych użytkowników Thermomixa (Polska)
    Na przełomie stycznia i lutego 2025 r. doszło do naruszenia serwerów wsparcia forum Przepisownia.pl, platformy dla właścicieli Thermomixa. Ujawniono imiona, adresy, numery telefonu, e-maile czy daty urodzenia użytkowników. Choć nie wyciekły hasła czy dane finansowe, incydent pokazuje, że ataki mogą dotykać bardzo niszowe społeczności i precyzyjnie wybrane grupy użytkowników.
  2. Atak na giełdę Bybit
    W lutym 2025 r. Lazarus Group przeprowadziła atak na giełdę kryptowalut Bybit. Skradziono ogromną ilość Ethereum – raporty mówią o około 400 tys. ETH, co w czasie ataku odpowiadało wartości ok. 1,5 mld USD.
  3. Atak na WEMIX
    28 lutego 2025 r. platforma WEMIX (związana z grami blockchain) padła ofiarą ataku; skradziono 8,65 mln tokenów WEMIX, co oszacowano na ok. 6,1 mln USD.
  4. DDoS na platformie X
    W marcu 2025 r. użytkownicy platformy X doświadczyli dużego ataku DDoS, co spowodowało globalne zakłócenia. Odpowiedzialność przypisała sobie Grupa Dark Storm Team. To przykład operacji na pokaz – DDoS bowiem niekoniecznie ma na celu kradzież danych, ale destabilizację usługi i demonstrację siły grupy hakerskiej.
  5. Atak na NTT Communications
    W marcu 2025 r. NTT Communications (duży japoński dostawca) potwierdził naruszenie bezpieczeństwa; nieautoryzowany dostęp dotknął prawie 18 tys. klientów korporacyjnych. Przestępcy mogli pozyskać dane kontraktowe, e-maile, nazwiska i inne wrażliwe informacje.
  6. Incydent z Cisco
    Według analizy Vation Ventures, w 2025 r. odkryto serię fragmentów kodu typu zero-day w urządzeniach Cisco ASA i Firepower („ArcaneDoor”). Atak mógł umożliwić trwały dostęp do urządzeń sieciowych poprzez modyfikację oprogramowania, co oznacza, że atakujący mogą przetrwać ponowne uruchomienia systemu.
  7. Sabotaż w Norwegii: tama Bremanger
    7 kwietnia 2025 r. doszło do cybersabotażu tamy Bremanger w Norwegii. Otwarto drzwi spustowe, woda wypływała z dużą szybkością przez kilka godzin, zanim wykryto atak. Choć nie doszło do ofiar fizycznych, incydent jest ostrzeżeniem, że infrastruktura krytyczna może być celem cyberataków.
  8. Atak na systemy miejskie St. Paul (Minnesota, USA)
    W lipcu 2025 r. St. Paul ogłosiło stan wyjątkowy z powodu dużego, skoordynowanego cyberataku. Zaatakowano m.in. sieci wewnętrzne miasta, systemy płatności online i Wi-Fi w bibliotekach oraz urzędach.
  9. Cyberatak na Collins Aerospace
    We wrześniu 2025 r. zostało zaatakowane oprogramowanie vMUSE używane przez Collins Aerospace. Atak zakłócił procesy odprawy i boardingowe na kilku europejskich lotniskach.
  10. Cyberataki wspierane przez państwa – kampania chińska
    FBI i agencje wywiadowcze sygnalizowały w 2025 r. rozbudowaną kampanię hakerską wspieraną przez Chiny. Kampania dotknęła ok. 200 organizacji w 80 krajach, w tym firmy telekomunikacyjne, transportowe i instytucje polityczne. Atak obejmował m.in. pozyskiwanie nagrań połączeń, rejestrów i innych danych – co wskazuje nie tylko na chęć szpiegostwa, ale także uzyskanie wpływu na infrastrukturę krytyczną.
Źródło: Miesięcznik Finansowy BANK