CyberCafe - Aktualności Cyberbezpieczeństwa

Odkryto nowy wariant kampanii wykorzystującej sieć TOR do ataków cryptojackingowych, celujących w narażone interfejsy Docker. Atak polega na wykorzystaniu Docker API, montowaniu systemu plików hosta w nowym kontenerze i wykonywaniu skryptów z domeny .onion.

Odkryto wariant niedawno ujawnionej kampanii, która wykorzystuje sieć TOR do ataków cryptojackingowych skierowanych na narażone interfejsy API Docker. Atak polega na infiltrowaniu źle skonfigurowanych interfejsów API Docker, instalowaniu kryptowalutowego kopacza XMRig i tworzeniu botnetu. Ponadto, aktywność obejmuje ataki Telnet i związane z portem 9222 w celu rozprzestrzeniania się i przeprowadzania kradzieży danych.

W II kwartale 2025 r. ataki mobilne z udziałem złośliwego oprogramowania, adware'u i niechcianego oprogramowania spadły do wartości 10,71 miliona. Odkryto nową złośliwą aplikację SparkKitty kradnącą obrazy z galerii na Androida i iOS. Warto zauważyć Trojana-DDoS.AndroidOS.Agent.a, który umożliwia ataki DDoS z urządzeń mobilnych. Liczba próbek złośliwego oprogramowania na Androida i potencjalnie niechcianego oprogramowania zmniejszyła się w porównaniu do poprzedniego kwartału. Bankowe trojany pozostają w pierwszej kolejności, z rodzina Mamont dominującą tę kategorię.

Cloudflare skutecznie ochroniło stronę przed potężnym atakiem DDoS o przepustowości 11.5 Tbps, co wymagało zastosowania zabezpieczeń. Użytkownicy zostali zablokowani z powodu podejrzanej aktywności, ale mogą skontaktować się z właścicielem strony, podając numer identyfikacyjny Cloudflare Ray ID.

Artykuł omawia najlepsze usługi hostingu VPS na 2025 rok i przedstawia rekomendacje oraz analizę eksperta. Wybór topowych usług obejmuje takie aspekty jak wydajność, bezpieczeństwo, dostosowalność i cenę. Autor wskazuje Ionos, Hostinger, Kamatera, InMotion Hosting, Hosting.com, DigitalOcean i GoDaddy jako główne opcje w kategorii hostingu VPS. Przedstawia cechy oraz opinie na temat każdej z tych platform, zwracając uwagę na dostępne funkcje, ceny początkowe, a także dla kogo jest dedykowana dana usługa. Zdjęcie kompleksowego podejścia do wyboru hostingu VPS, artykuł prezentuje różnorodność opcji i zalecenia dotyczące różnych potrzeb użytkowników w zakresie hostingu VPS.

Firma CloudFlare poinformowała o automatycznym zneutralizowaniu ataku DDoS osiągającego rekordowe 11.5 terabajtów na sekundę. Atak ten trwał zaledwie 35 sekund i stanowił zaledwie część wzrostu hiper-wolumetrycznych ataków DDoS, które zyskują na popularności z powodu swojej skuteczności.

Firma Cloudflare automatycznie zneutralizowała rekordowy atak wolumetryczny typu DDoS o mocy 11,5 terabitów na sekundę (Tbps). Atak trwał zaledwie 35 sekund, głównie polegał na przeprowadzeniu ataku UDP flood z Google Cloud. Takie ataki mają na celu przytłoczenie celu lawiną ruchu, powodując spowolnienie serwera lub nawet jego awarię.

Podczas weekendu Labor Day Cloudflare pomyślnie zatrzymało rekordowy atak DDoS osiągający 11.5 Tbps. Atak ten, pochodzący głównie z kilku dostawców IoT i chmur obliczeniowych, był prawie o 60% większy niż poprzedni. Cloudflare zauważa wzrost częstotliwości i wielkości ataków DDoS, co wymaga większej uwagi i środków ochronnych.

Arch Linux wciąż jest celem ataków DDoS, co powoduje problemy z dostępnością dla użytkowników. Społeczność Arch Linux podejrzewa grupę hakerską lub osobę nieprzychylną dystrybucji. Brak oficjalnych informacji na temat sprawców czy wykorzystywanej metody ataku. Zaleceniem dla użytkowników jest korzystanie z luster dostępnych w pakiecie pacman-mirrorlist zamiast narzędzia reflector.

22-letni mężczyzna z Oregonu został oskarżony o zarządzanie botnetem Rapper Bot do ataków DDoS na zlecenie, który rzekomo został wykorzystany do przeprowadzenia ataków na wieloterabitową skalę w ponad 80 krajach. Sprawa ta ujawnia poważne zagrożenia wynikające z działalności cyberprzestępczej oraz wysiłki podjęte przez organy ścigania w celu zwalczania takich zagrożeń.

W raporcie omawiano zmiany w krajobrazie globalnych zagrożeń, w tym porozumienie dotyczące nazewnictwa grup zagrożeń, zwiększone ryzyko ataków irańskich na interesy Stanów Zjednoczonych oraz skuteczność sposobu radzenia sobie z cyberprzestępczością poprzez ośmieszanie sprawców. Wskazano także na konieczność ciągłego monitorowania i adaptacji, aby zachować dokładność w identyfikacji zagrożeń cybernetycznych.

Artykuł porusza potrzebę szybkiego reagowania na zagrożenia cybernetyczne poprzez inwestowanie w nowoczesne rozwiązania MDR. W wyniku coraz skuteczniejszych ataków czas reakcji organizacji skraca się do kilku minut, co wymaga efektywnych działań obronnych ze strony zespołów IT. Popularność MDR rośnie w odpowiedzi na rozwijający się krajobraz cyberprzestępczości oraz braki kadrowe w dziedzinie cyberbezpieczeństwa. Outsourcing monitorowania zagrożeń staje się opłacalną opcją, pomagając w zapewnieniu nieprzerwanej ochrony 24/7.

W sieci Internet istnieje luka w bezpieczeństwie, która pozwala na przeprowadzenie potężnych ataków typu DDoS. Autor artykułu przypomina, że wiele działań może spowodować zablokowanie dostępu do strony, w tym używanie określonego słowa czy frazy, polecenia SQL lub niepoprawnie sformułowanych danych.

Serial dokumentalny opowiadający o cyberprzestępczości na antenie HBO Max przedstawia wywiady z autorem tego tekstu. Opisuje karierę Juliusa Kivimäkiego, fińskiego hakera skazanego za wyciek pacjentów z gabinetu psychoterapeuty. Przedstawia jego działania związane z atakami hakerskimi, w tym na Sony i Microsoft oraz szantażowanie kluczowych instytucji. Pomimo zawieszonego wyroku, Kivimäki kontynuował swoje przestępcze działania, aresztowany w 2023 roku we Francji i skazany na ponad 6 lat więzienia w 2024 roku.

W artykule omówiono najlepsze lokalizatory GPS dla dzieci wraz z rekomendacjami ZDNET. Rodzice i eksperci wybrali najlepsze rozwiązania, takie jak Apple AirTag, Garmin Bounce, SyncUp Kids Watch 2, Verizon Gizmo Watch 3 oraz Xplora XGO3, opisując ich funkcje, zastosowanie i zalety. Wskazane są również zagrożenia wynikające z prywatności oraz informacje dotyczące subskrypcji niektórych usług.

Nowy raport pokazuje, że aktorzy ransomware sięgają po skrajne środki, grożąc fizyczną szkodą osobom zarządzającym firmami. Przyrost takich działań w USA, zwiększone groźby oraz spadek płatności okupów o 35% w 2024 roku.

NordVPN nadal pozostaje w czołówce rekomendowanych usług VPN ze względu na szybkość, funkcjonalność i bezpieczeństwo. Artykuł zawiera szczegółową analizę, porównanie z konkurentami oraz szczegóły dotyczące serwerów, prędkości połączenia, możliwości streamingowych i bezpieczeństwa, wzmacniając opinię o NordVPN jako najlepszej opcji na rynku VPN. Zawiera także cenną poradę dotyczącą wyboru planu abonamentowego.

Nowy operator ransomware o nazwie Chaos rozpoczął falę intruzji, dotykającą szeroki zakres sektorów. Atakował głównie w USA, ale także w UK, Nowej Zelandii i Indiach. Chaos wykorzystuje taktykę podwójnego wymuszenia i skupia się na 'big-game hunting'. Grupa unika współpracy z Rosją, szpitalami i instytucjami rządowymi. Atakuje poprzez social engineering i wykorzystuje narzędzia zarządzania zdalnego do utrzymania dostępu. Szyfruje pliki na zainfekowanych maszynach, dodając rozszerzenie '.chaos' oraz żąda okupu pod groźbą utraty danych i ataku DDoS.

Grupa NoName057(16), działająca od 2022 roku i przeprowadzająca ataki DDoS na instytucje rządowe, media, infrastrukturę krytyczną i firmy prywatne, została zdemobilizowana po akcji międzynarodowych organów ścigania. Dzięki operacji 'Eastwood' zlikwidowano ponad 100 serwerów, zatrzymano dwóch członków gangu oraz wydano nakazy aresztowania dla siedmiu innych. Mimo tego, kluczowi członkowie grupy pozostają bezpieczni w Rosji, co sugeruje możliwość kontynuacji działań przestępczych w przyszłości.

Google złożył pozew w nowojorskim sądzie federalnym przeciwko operatorom botnetu BadBox 2.0, który zdaniem firmy przeprowadził masową operację złośliwego oprogramowania na ponad 10 milionach urządzeń działających na systemie Android. Pozew dotyczy cyberprzestępczości i nadużyć w reklamie internetowej, a także wskazuje na złożoną sieć przestępczą z Chin jako głównym źródłem infekcji. Google podejmuje działania mające na celu zlikwidowanie największego dotąd znanego botnetu urządzeń TV podłączonych do internetu.

Podatność na nieprawidłową kontrolę dostępu [CWE-284] w komponencie logowania FortiIsolator może pozwolić zdalnemu uwierzytelnionemu atakującemu na odczyt w trybie tylko do odczytu i modyfikację dzienników za pomocą spreparowanego żądania HTTP.

Artykuł mówi o potencjalnej lukie w bezpieczeństwie FortiSandbox i FortiIsolator, która pozwala atakującemu na kontynuowanie sesji admina nawet po usunięciu jego konta.

Firma Google złożyła pozew przeciwko 25 anonimowym osobom w Chinach, oskarżając ich o włamanie do ponad 10 milionów urządzeń na całym świecie w celu zbudowania botnetu BadBox 2.0 i przeprowadzania cyberprzestępstw oraz oszustw. Pozew ujawnił szczegóły działania botnetu i jego wpływ na bezpieczeństwo użytkowników i usługi Google.

Analiza zestawienia najlepszych usług hostingowych roku 2025 opiera się na badaniach przeprowadzonych przez ZDNET. Zalecane usługi hostingowe oferują nie tylko miejsce na stronę internetową, ale także dodatkowe funkcje, jak systemy zarządzania treścią, SEO czy szablony projektowania stron. Hostinger, DreamHost, Hosting.com, Ionos, GreenGeeks i GoDaddy to rekomendowane dostawcy. Decydując się na usługę hostingową, warto wziąć pod uwagę m.in. prostotę obsługi, wsparcie techniczne oraz koszty.

Według artykułu występuje podatność CWE-89 w FortiWeb, która umożliwia atakującemu wykonanie nieautoryzowanego kodu SQL poprzez spreparowane żądania HTTP lub HTTPs. Zalecane jest wyłączenie interfejsu administracyjnego HTTP/HTTPS.

Międzynarodowe siły policyjne zlikwidowały ponad 100 serwerów należących do sieci NoName057(16) tego tygodnia w ramach Operacji Eastwood, prowadzonej przez Europol. Przeprowadzona wspólnie akcja obejmowała 19 państw z Europy i Ameryki Północnej, prowadząc do zatrzymania dwóch obywateli Rosji we Francji i Hiszpanii. NoName057(16) to jedna z kilku operacji hakerów, składająca się z sympatyków rosyjskojęzycznych, które pojawiły się krótko po inwazji na Ukrainę.

Wspólne działania służb policyjnych z Europy i USA doprowadziły do zakłócenia działalności grupy hakerskiej NoName057(16), znanej z masowych ataków typu DDoS na Ukrainę i jej sojuszników. Niemieckie władze wydały nakazy aresztowania dla sześciu Rosjan podejrzanych o udział w przywództwie grupy. Organizacja używała kanałów, forów oraz grup chatowych na platformach społecznościowych i aplikacjach do rekrutacji ochotników, których nagradzano kryptowalutami i odznakami cyfrowymi. Ataki grupy były skoordynowane z pomocą setek ochotników i botnetu. Mimo że większość ataków była mało szkodliwa, zdecentralizowany model NoName057(16) z botnetem stanowił rosnące zagrożenie.

Międzynarodowa akcja przeciwko pro-rosyjskiej sieci cyberprzestępczej NoName057(16) została przeprowadzona pod nazwą Operacja Eastwood. Skoordynowana przez Europol i Eurojust operacja doprowadziła do zatrzymania infrastruktury ataku składającej się z ponad 100 systemów komputerowych na całym świecie. W wyniku działań, których daty wykonania przypadają na 14-17 lipca 2025 roku, zatrzymano kilkanaście osób we Francji i Hiszpanii oraz wydano 7 nakazów aresztowania.

Międzynarodowa akcja zlikwidowała NoName057(16), grupę pro-rosyjskich hacktivistów odpowiedzialnych za ataki DDoS w Europie i Ameryce Północnej. Operacja Eastwood, prowadzona przez służby z 17 krajów, z pomocą Europolu i innych partnerów, zakończyła się przeszukaniem 24 domów, wydaniem 7 nakazów aresztowania i usunięciem ponad 100 serwerów tworzących infrastrukturę botnetu grupy. Członkowie, rekrutowani poprzez kanały propagandowe, nie zdawali sobie sprawy z przestępczej działalności. Ostrzeżenia zostały wysłane do ponad 1000 sympatyków NoName057(16), aby ograniczyć przyszłe zaangażowanie w podobne kampanie.

Linia lotnicza narodowa Serbii, Air Serbia, zmaga się z atakiem cybernetycznym, który skutkuje opóźnieniami w wypłacaniu pensji pracownikom. Atak ten sprawił, że firma podjęła szereg działań zabezpieczających, w tym resetowanie haseł, instalowanie oprogramowania antywirusowego i ograniczenie dostępu do sieci. Mimo próśb o współpracę, atakujący wciąż mają dostęp do sieci firmy, co stawia pod znakiem zapytania bezpieczeństwo danych osobowych. Sytuacja ta stanowi jedno z najnowszych zagrożeń cybernetycznych w branży lotniczej.

W drugim kwartale 2025 roku Cloudflare powstrzymał największy atak DDoS w historii, osiągający 7.3 Tbps. Atak ten trwał zaledwie 45 sekund, a firma ostrzega przed trendem krótkich, intensywnych wybuchów ataków przeprowadzanych przez sprawców zagrażających cyberbezpieczeństwu.

Największy zachodni darknetowy rynek Bitcoin Abacus Market nagle zniknął w lipcu 2025 roku, co wywołało podejrzenia o oszustwo wyjścia. Platforma zyskała popularność po zamknięciu konkurentów, a jej nagły spadek aktywności wywołał spekulacje o jego upadku.

W drugim kwartale 2025 r. firma Cloudflare opublikowała raport dotyczący zagrożeń DDoS, ujawniając dramatyczny wzrost ataków o dużej objętości, które przekraczają 1 Tbps lub 1 mld pakietów na sekundę. Ataki te zwiększyły się o 65 razy w porównaniu z rokiem poprzednim, osiągając liczbę ponad 6,500 incydentów tylko w trzy miesiące. Chociaż całkowita liczba ataków DDoS spadła, proporcja ataków o dużej objętości gwałtownie wzrosła, sygnalizując eskalację zagrożenia. Wzrost ten jest związany z wykorzystaniem coraz potężniejszych botnetów opartych na maszynach w chmurze oraz rosnącym użyciem nieznanych protokołów w celu uniknięcia standardowych metod obronnych.

Podczas Konferencji Cyberbezpieczeństwa na Uniwersytecie Fordham w Nowym Jorku, oficjele NSA i FBI podkreślili sukces w przeciwdziałaniu chińskim kampaniom cybernetycznym wymierzonym w infrastrukturę krytyczną USA. Kampania Tyfunu Volt Chińczyków nie zakończyła się sukcesem, co wymusiło na nich zmianę taktyki. Kontrowersje dotyczące publicznej atrybucji działań cybernetycznych stanowią istotny element reakcji rządu USA na ataki ze strony Chin.

Platforma CompassDRP oferuje integrację mediów społecznościowych, umożliwiającą monitorowanie profili firmowych i pracowników na platformach takich jak Twitter, LinkedIn i Facebook w celu wykrycia zagrożeń takich jak phishing, oszustwa i wycieki danych. W artykule przedstawiono sześć rzeczywistych przypadków użycia i sposób chronienia organizacji przed atakami oraz utratą reputacji.

Abacus Market, najbardziej dochodowy mroczny rynek internetowy Zachodniego świata, zamknął się prawdopodobnie w wyniku oszustwa wyjścia. Administrator, znany jako „Vitro”, podał, że problemy wynikały z ataku DDoS i napływu użytkowników z innego rynku. Analitycy sugerują, że pod wpływem przejęcia lidera rynku przez Archetyp, administratorzy Abacus zdecydowali się opuścić rynek w obawie przed działaniami prawnymi. Policja obecnie preferuje skupienie się na dostawcach działających na mrocznych rynkach internetowych, zamiast likwidować same platformy.

Artykuł dotyczy wykrytej luki typu heap-based buffer overflow w systemie FortiOS firmy Fortinet, która umożliwia atakującemu wykonanie arbitralnego kodu lub poleceń. Zagrożone są wybrane modele, gdy są skonfigurowane jako klient bezprzewodowy. Informacja została opublikowana 8 lipca 2025 r.

W artykule informacyjnym od Fortinet, opublikowanym w lipcu 2025 roku, wspomniano o niedostatecznie zabezpieczonym sprawdzaniu podatności standardowej w FortiOS i FortiProxy, co może pozwolić na obejście filtra DNS przez zdalnego, nieuwierzytelnionego użytkownika za pomocą urządzeń Apple.

Analiza luki w zabezpieczeniach uwierzytelniania, która dotyczy FortiOS i FortiProxy, mogąca pozwolić użytkownikowi API na zalogowanie się nawet przy nieprawidłowym certyfikacie PKI.

W FortiManagerze i FortiAnalyzerze zaobserwowano uchybienie w neutralizacji elementów specjalnych wykorzystywanych w poleceniu SQL ('SQL Injection'), co umożliwia uwierzytelnionemu atakującemu o wysokich uprawnieniach wydobycie informacji z bazy danych za pomocą specjalnie spreparowanych żądań.

Tanel Sepp, ambasador-at-large Estonii ds. cyberdyplomacji, opowiada o dziedzictwie cyfrowym kraju, akcjach przeciwko GRU i Ukrainie oraz roli dyplomacji cyfrowej. Estonia, mimo niewielkiej liczby ludności, odgrywa znaczącą rolę w międzynarodowych inicjatywach zwalczających problemy związane z cyberprzestępczością i cyberbezpieczeństwem. Szczególny nacisk kładzie się na implementację narzędzi AI, budowanie gotowości cyfrowej Ukrainy oraz rozwijanie międzynarodowej współpracy w dziedzinie cyberdyplomacji.

Artykuł informuje o załatanej luce w systemie Next.js, która mogła prowadzić do uszkodzenia zabezpieczeń poprzez zatrucie pamięci podręcznej, powodując warunki DoS. Wyjaśnia się, że problem nie dotyczy klientów hostowanych na platformie Vercel. Opisane są warunki, w których luka mogła być wykorzystana oraz sposób jej naprawy. Artykuł kończy się informacją o osobach odpowiedzialnych za odkrycie luki i numerem referencyjnym GHSA-67rr-84xm-4c7r.

W przypadku omówionego problemu związanych z platformą Next.js, wystąpiła podatność na cache poisoning, która została rozwiązana w wersji 15.3.3. Zagrożenie polegało na zwracaniu payloadu React Server Component zamiast treści HTML pod określonymi warunkami, co mogło prowadzić do złamania lub wyświetlania nieprawidłowej zawartości klienta.

Dwie nowe grupy hacktivistów o nazwach IT Army of Russia i TwoNet pojawiły się ostatnio, aby przeprowadzać cyberataki na Ukrainę i jej sojuszników. Grupy te wykorzystują aplikację Telegram do koordynowania operacji, rekrutowania insajderów i zbierania informacji o celach w Ukrainie. Ich działania obejmują ataki DDoS, deface strony internetowe oraz kradzież danych. Sprawozdanie od firmy cyberbezpieczeństwa Intel 471 sugeruje, że grupy te mogą być związane z wcześniej znanymi groźnymi aktorami, ale dokładne powiązania pozostają niejasne.

Artykuł prezentuje analizę działalności haktivistów związaną z konfliktem izraelsko-irańskim, ukazując wzrost ataków cybernetycznych motywowanych ideologicznie oraz możliwe zaangażowanie podmiotów państwowych udających haktivistów. Podkreśla się rolę konfliktów cybernetycznych w nowoczesnej wojnie oraz zaleca zwiększenie środków bezpieczeństwa cybernetycznego przez organizacje na całym świecie.

Rosyjscy dostawcy usług internetowych ograniczają dostęp do stron chronionych przez Cloudflare, co znacząco zakłóca ruch sieciowy w kraju. Cloudflare potwierdziło, że od czerwca ogranicza się przepustowość transferu danych, uniemożliwiając użytkownikom Rosji dostęp do stron i usług zabezpieczonych przez ich platformę.

W czerwcu 2025 roku świat świadomości cyberbezpieczeństwa był świadkiem wielu ważnych wydarzeń, takich jak nowe przepisy dotyczące opłat za ransomware w Australii czy kolejny atak DDoS bijący rekordy. Tony Anscombe, główny ewangelista ds. bezpieczeństwa w ESET, przedstawił najważniejsze informacje z tego okresu, kontynuując serię najnowszych doniesień dotyczących cyberbezpieczeństwa.

Firma Cloudflare zablokowała w zeszłym miesiącu największy atak DDoS w historii internetu. Atak przeprowadzony na dostawcę hostingu osiągnął przepustowość 7,3 terabitów na sekundę i składał się głównie z ataków UDP. Artykuł podkreśla wzrost ataków DDoS oraz przedstawia kroki obrony przed nimi, włącznie z partnerstwem z firmami świadczącymi usługi obrony przed atakami DDoS, blokowaniem ruchu z niebezpiecznych źródeł oraz wykorzystaniem wielu warstw obrony.

Profesjonalne streszczenie artykułu przeprowadzonego przez Tenable na temat operacji cybernetycznych Iranu, w tym zagrożeń tworzonych przez grupy Iranu, wykorzystywanych podatności i zaleceń bezpieczeństwa. Artykuł skupia się na odpowiedziach na pytania dotyczące działań cybernetycznych Iranu, w tym aktorów zagrożenia, taktyk używanych przez Iran oraz związków z rządowa hakerską jednostką IRGC.

W dniu 25 czerwca 2025 r. władze francuskie ogłosiły aresztowanie czterech członków grupy cyberprzestępczej ShinyHunters za działania przestępcze w tle cybernetycznym oraz zaangażowanie w forum BreachForums. Grupa ShinyHunters działa od 2020 r. i jest znana z kradzieży danych oraz handlu nimi na forach RaidForums i BreachForums. BreachForums, od swojego powstania w 2015 r., było wielokrotnie zamykane i administrowane przez różne osoby. Podjęte działania prawne pokazują zwiększające się naciski na infrastrukturę i operacje cyberprzestępcze.

Analiza zwiększonego ryzyka cybernetycznego związanego z Iranem w kontekście konfliktu z Izraelem i USA, wskazująca na potencjalne eskalacje ataków ze strony grup wspieranych przez państwo i hacktivistów, skupionych na zakłócaniu, zbieraniu informacji i wpływaniu na przeciwników. Szczegółowe obserwacje dotyczące działań irańskich grup, zalecenia dotyczące obrony przed zagrożeniami oraz możliwe konsekwencje ataków cybernetycznych w kontekście aktualnych wydarzeń politycznych związanych z Iranem.

Historia Cama stanowi zarówno opowieść przestrogę, jak i inspirację jednocześnie. Był zarówno atakującym, jak i obrońcą, jednak nielegalnym atakującym. Rozpętał ataki, które spowodowały pół miliona dolarów szkód. Jego działania wynikały z poczucia niesprawiedliwości w świecie. Posłuchaj jego historii.