CyberCafe - Aktualności Cyberbezpieczeństwa

Nowe złośliwe oprogramowanie na platformie Android, zwanie RatOn, rozwija się od podstawowego narzędzia zdolnego do przeprowadzania ataków przekazywania NFC do zaawansowanego trojana dostępu zdalnego z funkcjami Automated Transfer System (ATS) do oszustw urządzenia. Zagrożenie to kombinuje tradycyjne ataki overlay z automatycznymi przekazami pieniędzy i funkcjonalnością NFC relay, co czyni je unikalnie silnym zagrożeniem.

RatOn to nowy, zaawansowany trojan zdalnego dostępu dla systemu Android, posiadający zdolności do oszustw bankowych, w tym ataki z użyciem NFC i automatyczne transfery pieniężne. Malware ten potrafi przeprowadzać ataki typu overlay, wykonywać transfer pieniędzy i zablokować urządzenie. Był zauważony na platformie Play Store w postaci fałszywej aplikacji TikTok 18+.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

Artykuł omawia strategie, jak skutecznie przekonać zarząd do zatwierdzenia budżetu na cyberbezpieczeństwo, koncentrując się na wartości biznesowej i ciągłej walidacji zabezpieczeń.

W sezonie budżetowym kluczowe jest przekonanie zarządu, że inwestycje w cyberbezpieczeństwo są niezbędne i przynoszą wartość biznesową. Eksperci radzą, jak skutecznie firmować konwersacje z zarządem, pokazując korzyści inwestycji w kontekście ciągłości działania, zgodności z przepisami oraz wpływu na koszty. Zaleca się także identyfikację i kategoryzację kluczowych aktywów, kwantyfikację potencjalnych strat wynikających z incydentów oraz wykorzystanie norm i regulacji jako wsparcia dla argumentacji firmującej zatwierdzenie budżetu na cyberskuteczność.

W najnowszej wersji systemu Windows 11, funkcja OneDrive Backup jest automatycznie włączana przy logowaniu za pomocą konta Microsoft, przenosząc ważne foldery danych do chmury. Artykuł omawia konsekwencje tego działania oraz kroki, jakie użytkownicy mogą podjąć, aby wyłączyć kopie zapasowe na rzecz przechowywania plików lokalnie.

Analiza wyjaśnia, w jaki sposób OneDrive może przenosić pliki systemowe do chmury podczas konfiguracji nowego systemu Windows. Wskazane są także sposoby zarządzania tą funkcją, aby uniknąć problemów związanych z ograniczeniami przestrzeni dyskowej i rozdzieleniem plików lokalnych.

Badania przeprowadzone przez Cisco Talos wykazały, że nadużycia oprogramowania i usług do zdalnego dostępu są najczęstszymi wskaźnikami 'pre-ransomware'. Artykuł przekazuje, że istotne jest zabezpieczenie zdalnego dostępu oraz składowisk poświadczeń, aby ograniczyć ryzyko ataków przed zaszyfrowaniem danych.

W ciągłym świecie cyberbezpieczeństwa każdy tydzień przynosi nowe zagrożenia i lekcje. Atak na Drift, aktywne wykorzystywanie luk CVE, zagrożenia oparte na sztucznej inteligencji – oto główne tematy. Ważne jest skupienie się na najistotniejszych ryzykach i szybka reakcja.

Cyberbezpieczeństwo nigdy nie zwalnia tempa. Każdy tydzień przynosi ze sobą nowe zagrożenia, nowe podatności i nowe lekcje dla obrońców. Wśród wydarzeń wyróżnia się atak na Salesloft-Drift, aktywne wykorzystywanie wysokiego ryzyka CVE, działania zaawansowanych grup cyberprzestępczych oraz świeże pomysły na sprawne zarządzanie bezpieczeństwem. Artykuł ostrzega przed kreatywnym wykorzystaniem sztucznej inteligencji przez hakerów oraz wskazuje na ważność szybkiego łatania podatności, by uniknąć poważnych szkód.

Security eksperci ostrzegają klientów chmury SAP S/4HANA przed krytyczną luką umożliwiającą wstrzyknięcie kodu, którą firma w sierpniu załatała. CVE-2025-42957 ma ocenę CVSS 9.9 i pozwala atakującemu z minimalnymi uprawnieniami na przejęcie kontroli nad systemem SAP organizacji. Wpływ na przedsiębiorstwa z różnych sektorów jest ogromny, a konsekwencje obejmują kradzież danych, wykradanie poufnych informacji, ransomware oraz zakłócenia w działaniu operacyjnym. Konieczność pilnego łatania luk jest kluczowa, a brak aktualizacji sprawia, że firmy są narażone na ataki.

W czerwcu 2025 r. Dystrykt Szkolny Pięć Lexington & Richland w Południowej Karolinie doświadczył wycieku danych, który mógł narazić informacje o ponad 31 000 osób. Atak został potwierdzony przez grupę ransomware Interlock, a ofiarą padło wiele organizacji edukacyjnych w USA.

Artykuł informuje o aktywnym wykorzystywaniu krytycznej podatności w systemie SAP S/4HANA, umożliwiającej atakującemu wstrzyknięcie kodu ABAP i pełne skompromitowanie środowiska SAP. Autorzy zalecają jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych aktywności.

Krytyczna podatność dotykająca oprogramowania SAP S/4HANA została aktywnie wykorzystana. Wprowadzenie iniekcji poleceń pozwala na kompromitację systemu SAP, co niesie ze sobą zagrożenia dla poufności, integralności i dostępności danych. Zaleca się jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych prób dostępu.

W drugim kwartale 2025 roku zaobserwowano liczne ważne wydarzenia związane z cyberbezpieczeństwem, takie jak ujęcie podejrzanych za ataki ransomware, działalność różnych grup przestępczych oraz wykorzystywanie luk w programach. Ponadto, statystyki pokazują spadek ilości nowych odmian ransomware oraz ochronę unikalnych użytkowników przed tego typu zagrożeniami.

Szyfrowanie danych to niezbędna linia obrony, która powinna być jedną z podstawowych warstw strategii bezpieczeństwa. Jako doświadczony specjalista cyberbezpieczeństwa powinieneś rozważyć inwestycję w zaawansowane rozwiązania szyfrowania, takie jak full-disk encryption (FDE), w celu ochrony najbardziej wrażliwych informacji firmowych.

Grupa Scattered Spider twierdzi, że stoi za atakiem hakerskim na Jaguara Land Rovera. Media zgłaszają sugerowane współprace między różnymi grupami hakerskimi oraz próby wyłudzenia okupu. Incydent kompromituje działalność firmy, co podkreśla potrzebę wzmocnienia zabezpieczeń cybernetycznych.

W artykule omawia się, jak domyślne zasady bezpieczeństwa, takie jak deny-by-default, MFA enforcement i aplikacja Ringfencing ™, mogą eliminować całe kategorie ryzyka cybernetycznego. Konfiguracja systemów w celu blokowania zagrożeń na starcie jest kluczowa, aby zredukować atakowane powierzchnie i utrzymać przewagę nad ewoluującymi zagrożeniami.

W artykule omówiono, jak domyślne ustawienia, takie jak domyślne odrzucanie, wymuszenie MFA i zastosowanie ringfencing™, mogą wyeliminować całkowicie kategorie ryzyka cybernetycznego. Dążenie do bezpieczeństwa poprzez domyślne ustawienia może zmniejszyć złożoność, zmniejszyć powierzchnię ataku i pomóc w utrzymaniu przewagi nad ewoluującymi zagrożeniami.

GhostRedirector to nowy podmiot zagrożenia identyfikowany przez badaczy ESET, atakujący serwery Windows za pomocą pasywnego backdooru C++ oraz złośliwego modułu IIS manipulującego wynikami wyszukiwania Google.

Sektor ochrony zdrowia zajmuje jedno z ostatnich miejsc w szybkości usuwania poważnych luk, co prowadzi do narażenia systemów i danych na tygodnie, a nawet miesiące.

Grupa badaczy firmy S2 Grupo zauważyła nową tylną furtkę do programu Outlook, pozwalającą cyberprzestępcom na kradzież danych, wgrywanie plików i wykonanie poleceń na komputerze ofiary. Badacze nazwali tę furtkę 'NotDoor', przypisując ją rosyjskiej grupie cyberprzestępczej APT28. Malware ten, skierowany na Outlooka, jest zabiegiem wyrafinowanego narzędzia Visual Basic dla Aplikacji, umożliwiającego cyberprzestępcom przeprowadzenie operacji szpiegowskich lub ataków ukierunkowanych.

Artykuł porusza problem związany z złośliwymi rozszerzeniami przeglądarek, zalecając ich usuwanie oraz podające praktyczne wskazówki dla zachowania bezpieczeństwa online. Wskazuje, że nawet rozszerzenia pochodzące z oficjalnych sklepów mogą być niebezpieczne, co skłania do ostrożności i sugeruje ograniczenie używania rozszerzeń lub korzystanie z narzędzi weryfikacji bezpieczeństwa przed instalacją.

Firma Jaguar Land Rover doświadczyła poważnych zakłóceń w sprzedaży i produkcji na skutek incydentu cybernetycznego. Atak ten spowodował zamknięcie systemów firmy oraz dezorganizację działań handlowych i produkcyjnych. Tata Motors, firma-matka JLR, monitoruje sytuację, a eksperci wskazują, że sektor produkcji jest atrakcyjnym celem dla cyberprzestępców, zwiększającym ryzyko ataków ransomware.

Ukraińska sieć FDN3 przeprowadzała w czerwcu i lipcu 2025 r. masywne kampanie ataków brute-force oraz password spraying na urządzenia SSL VPN i RDP. Badacze cyberbezpieczeństwa zidentyfikowali sieć FDN3 jako część szerszej infrastruktury nadużyć obejmującej także inne ukraińskie sieci oraz firmę z Seszeli. Ataki te mogą stanowić wektor ataku dla grup ransomware-as-a-service, takich jak Black Basta czy GLOBAL GROUP.

Badacze cyberbezpieczeństwa zidentyfikowali ukraińską sieć IP za angażowanie się w masowe kampanie brute-force i password spraying, skierowane na urządzenia SSL VPN i RDP między czerwcem i lipcem 2025 roku.

UK NCSC i AISI poparły wysiłki w zakresie crowdsourcingu w celu znajdowania i naprawiania zagrożeń związanych z omijaniem zabezpieczeń AI. Zaprezentowano nowe programy bug bounty jako skuteczną strategię w zarządzaniu tymi ryzykami.

Artykuł omawia aresztowanie szwedzkiego programisty i obrońcy prywatności Oli Bini w Ekwadorze pod zarzutem bycia rosyjskim hakierem. Promuje także różne firmy oferujące rozwiązania z zakresu cyberbezpieczeństwa. Jack Rhysider przedstawia również własne doświadczenia związane z kwestią słabych haseł. Ola Bini wspomniany jest jako przykład istotnej problematyki w dziedzinie bezpieczeństwa IT.

Biuro Prokuratora Generalnego Pensylwanii zostało zaatakowane ransomwarem, co spowodowało opóźnienia w sprawach cywilnych i karnych. Pomimo ataku, pracownicy biura kontynuują swoje codzienne obowiązki przy użyciu alternatywnych kanałów komunikacji.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

Atak ransomware na dostawcę oprogramowania zagraża bezpieczeństwu danych pracowników w szwedzkich instytucjach publicznych i prywatnych firmach. Władze podejmują działania w odpowiedzi na naruszenie bezpieczeństwa, które generuje obawy co do wycieku danych osobowych i utraty kontroli nad informacjami. Całe zdarzenie zyskuje szerokie rozgłos, a minister obrony cywilnej Szwecji informuje o koordynowanej reakcji centrum cyberbezpieczeństwa kraju.

Artykuł dotyczy konieczności zwiększenia współpracy między zespołami zajmującymi się rozwojem oprogramowania, bezpieczeństwem i operacjami w kontekście zapewnienia pełnej widoczności od kodu do chmury oraz skutecznego zarządzania ryzykiem cyberbezpieczeństwa.

Webinar przedstawiający nową metodę zapewnienia widoczności od kodu do chmury, zmieniającą sposób podejścia do bezpieczeństwa aplikacji.

Nevada potwierdziła, że zakłócenia w systemach państwowych były spowodowane atakiem ransomware, który doprowadził do zamknięcia biur państwowych, zakłóceń w usługach oraz kradzieży danych. Departament Nevada współpracuje z CISA i organami ścigania w celu przywrócenia krytycznych systemów.

W pierwszej połowie 2025 roku ponad połowę (53%) wykorzystywanych wyjątków przypisano do działań państwowych hakerów dążących do celów strategicznych i geopolitycznych, co wynika z nowego raportu Insikt Group Recorded Future. Hakerzy państwowi, głównie chińscy, celowali głównie w infrastrukturę brzegową oraz rozwiązania dla przedsiębiorstw. Przewiduje się kontynuację ataków na bezpieczeństwo brzegowe oraz zwiększone wykorzystanie technik inicjalnego dostępu przez grupy ransomware w 2025 roku.

Zespół bezpieczeństwa Sangoma FreePBX wydał ostrzeżenie dotyczące aktywnie wykorzystywanej luki zero-day, która dotyka systemów z panelem kontrolnym administratora wystawionym publicznie w internecie. Wrażliwe są wersje 16 i 17, a użytkownikom zaleca się natychmiastową aktualizację i ograniczenie dostępu publicznego do panelu administracyjnego.

Ważne ostrzeżenie dotyczące skorzystania z luki zero-day na serwerach FreePBX. Użytkownikom zaleca się aktualizację do najnowszych wersji oraz ograniczenie dostępu do panelu administratora.

W artykule przedstawiającym zagrożenia związane z cyberbezpieczeństwem wymienione zostały dwie znaczące grupy działające w modelu Ransomware-as-a-Service - Akira i Cl0p. Autor podkreśla konieczność skutecznej ochrony przed atakami online oraz identyfikację działań, które mogą spowodować blokadę dostępu do strony. Artykuł zawiera informacje na temat usługi Cloudflare służącej do zapewnienia wydajności i ochrony przed atakami DDoS.

Odkryto lukę w rynku Visual Studio Code, która pozwala cyberprzestępcom na ponowne wykorzystanie nazw wcześniej usuniętych rozszerzeń. Groźba ataku polega na pobieraniu złośliwego oprogramowania, które szyfruje pliki ofiary i żąda okupu w postaci tokena Shiba Inu. Brak ochrony przed ponownym wydawaniem nazw złośliwych rozszerzeń wskazuje na potrzebę zaostrzenia praktyk bezpieczeństwa w łańcuchu dostaw oprogramowania.

Artykuł opisuje odkrycie luki w Marketplace Visual Studio Code, która pozwala cyberprzestępcom na ponowne używanie nazw wcześniej usuniętych rozszerzeń, sugerującą próby rozwoju przez działającego zagrożenia jednostki.

Nowa fala ataków phishingowych wykorzystujących Microsoft Teams do dostarczania złośliwego oprogramowania została odkryta przez badaczy bezpieczeństwa. Atakujący tworzą fałszywe konta wsparcia IT, aby oszukać pracowników i zainstalować zdalne narzędzia dostępu, umożliwiając im bezpośrednią kontrolę nad systemami firmowymi.

Analiza ataku z użyciem złośliwych rozszerzeń VS Code, które wykorzystują pętlę w ponownym wykorzystywaniu nazw pakietów, oraz brak działań Microsoftu w tej sprawie.

Państwo Nevada potwierdziło atak ransomware'owy, w wyniku którego skradzione zostały dane. CIO Tim Galluzi prowadzi intensywne śledztwo wraz z zespołem specjalistów zewnętrznych oraz partnerami państwowymi i federalnymi. Brak publicznie przyznanej odpowiedzialności za incydent ze strony jakiegokolwiek cyberprzestępcy. CISA zapewnia Nevadzie wsparcie w czasie rzeczywistym przy reagowaniu na incydent bez dodatkowych kosztów.

Współczesne narzędzia zarządzania projektami, takie jak Trello czy Asana, niosą ze sobą ryzyko naruszenia danych oraz wrażliwych informacji. Wprowadzenie ochrony poprzez chmurę i backup jest kluczowe dla zapewnienia bezpieczeństwa danych przed błędami ludzkimi oraz atakami cybernetycznymi.

W tekście przedstawione są ryzyka związane z poleganiem wyłącznie na narzędziach platformowych do zarządzania projektami oraz metody ochrony przed nimi poprzez korzystanie z chmury do tworzenia kopii zapasowych i ich przywracania. Poruszane są kwestie błędów ludzkich, zagrożeń cybernetycznych i konieczności posiadania dodatkowych rozwiązań do zabezpieczenia danych.

W sierpniu 2025 roku nie zabrakło istotnych informacji dotyczących bezpieczeństwa cybernetycznego. Tony Anscombe, główny ewangelista bezpieczeństwa w firmie ESET, podsumował najważniejsze wydarzenia i wnioski wynikające z nich. Tematy poruszane w tym miesiącu to m.in. ataki na ośrodki wodne w Europie oraz odkrycie pierwszego znanego przypadku ransomware'a z wykorzystaniem sztucznej inteligencji.

Grupa ransomware oznaczona jako Storm-0501 zniszczyła dane i kopie zapasowe w ramach ataku ransomware w chmurze na platformie Azure. Przestępca wykorzystał różne techniki, włącznie z atakiem DCSync, aby zdobyć pełną kontrolę nad danymi ofiary. Microsoft udostępnił zalecenia, jak chronić się przed podobnymi atakami.

Storm-0501 to grupa atakująca zmotywowana finansowo, która wykorzystuje cyberprzestępczość do wykradania i usuwania danych z chmur Azure. Ich taktyka ewoluuje, a ataki są skierowane na różne sektory, z wykorzystaniem ransomware. Relacja zawiera szczegółowe opisy działań oraz zalecenia dla zapobiegania atakom.

Storm-0501 wykorzystuje nowoczesne techniki do eksfiltracji danych i szantażu przeciwko środowiskom chmurowym, realizując ataki ransomware hybrydowe na różne sektory przemysłu i instytucje, zmuszając organizacje do zapłacenia okupu za odzyskanie danych.

Firma ESET odkryła ransomware'a PromptLock, wykorzystującego sztuczną inteligencję i generującego złośliwe skrypty Lua w czasie rzeczywistym. Ransomware ten jest złożony z używaniem modelu gpt-oss:20b od OpenAI i powoduje zaszyfrowanie plików. Mimo być potwierdzonym koncepcyjnie, a nie w pełni funkcjonalnym, może prowadzić do kradzieży danych oraz zniszczenia ich. Pojawienie się takich zagrożeń jest efektem łatwiejszego wykorzystania sztucznej inteligencji przez cyberprzestępców, co komplikuje zadanie obrony przed nimi.

Cyberbezpieczności firma ESET odkryła szkodliwe oprogramowanie zwanego PromptLock, które wykorzystuje model AI gpt-oss:20b od OpenAI do generowania złośliwych skryptów Lua w czasie rzeczywistym. Ransomware ten ma zdolność do szyfrowania plików oraz potencjalnie do eksfiltrowania lub nawet zniszczenia danych.

Cephalus to stosunkowo nowa operacja ransomware, która pojawiła się w połowie 2025 roku i została powiązana z falą wysokoprofilowych wycieków danych. Atakując, nie tylko szyfruje dane, ale także je kradnie, a ofiary są publicznie upokarzane na dedykowanej stronie w dark web. Przestępcy wykorzystują Remote Desktop Protocol i brak wieloskładnikowej autoryzacji, aby zainfekować systemy. Sposób, w jaki uruchamia złośliwe oprogramowanie, jest nietypowy, polegając na oszukaniu programu zabezpieczającego SentinelOne. Zaleca się wzmocnienie zabezpieczeń, takich jak MFA, oraz stosowanie praktyk obronnych przeciw ransomware'owi.

W artykule opisano atak na firmę za pomocą 'Ransomware' opartego na chmurze (Cloud-Based Ransomware), który wywołał blokadę witryny. Autorzy artykułu podają, że działania prowadzące do blokady mogą być związane z wprowadzeniem określonego słowa lub frazy, poleceniem SQL lub niepoprawnie sformatowanymi danymi. Przedstawiono również prośbę o kontakt z właścicielem witryny w celu uzyskania informacji o okolicznościach, które doprowadziły do zablokowania użytkownika.

Firma Anthropic ujawniła, że zdołała zakłócić zaawansowaną operację wykorzystującą swojego chatbota Claude opartego na sztucznej inteligencji do prowadzenia masowych kradzieży i wymuszeń danych osobowych w lipcu 2025 roku. Napastnik użył Clauda Code do automatyzacji różnych etapów ataku, m.in. rozpoznania, pozyskiwania poświadczeń i penetracji sieci. Wykorzystując AI, zaatakujący podejmował decyzje taktyczne i strategiczne oraz określał kwoty okupów w Bitcoinach, analizując dane finansowe ofiar.

Firma Anthropic ujawniła, że przełamała zaawansowaną operację wykorzystującą jej chatbota z SI do prowadzenia kradzieży i wymuszeń danych osobowych. Napastnik wykorzystał klipy tekstu Claude Code, aby automatyzować fazy cyklu ataku, w tym rozpoznanie, pozyskiwanie poświadczeń i penetrację sieci. Wykorzystując SI, zaatakowany zdołał podejmować decyzje o strategicznym znaczeniu i określać dane do wydobycia z sieci ofiar oraz ustalać kwoty okupu od 75 000 do 500 000 dolarów w Bitcoinie.

Artykuł informuje o pojawieniu się nowego rodzaju ransomware'u wykorzystującego sztuczną inteligencję o nazwie 'PromptLock'. Istnieje możliwość, że witryna stosuje usługę zabezpieczeń w celu ochrony przed atakami online, które mogą być wywołane przez różne działania, takie jak przesłanie określonego słowa lub frazy, polecenia SQL lub błędnie sformułowane dane. Autorzy artykułu sugerują kontakt z właścicielem strony w celu odblokowania, podając IP oraz identyfikator Cloudflare Ray ID.

Odkrycie PromptLock ukazuje, jak złośliwe wykorzystanie modeli AI może wzmocnić ransomware i inne zagrożenia cybernetyczne. Malware ten wykorzystuje model gpt-oss-20b z OpenAI do generowania złośliwych skryptów Lua w locie, aby zdolny do wykradania, szyfrowania i potencjalnie nawet niszczenia danych.

W sierpniu 2025 roku badacze Counter Threat Unit™ (CTU) zainstalowali narzędzie Velociraptor w celu rozwiązania incydentu, gdzie atakujący wykorzystali je do zdalnego dostępu. Umożliwiło to atakującym próbę stworzenia tunelu do kontrolowanego przez nich serwera C2. Incydent ten ujawnił nowe metody ataków wykorzystujące narzędzia do zwalczania incydentów, co implikuje potrzebę monitorowania i reagowania w celu zminimalizowania zagrożenia ransomware'em.

Atak ransomware na jedną placówkę medyczną może mieć negatywne skutki dla innych podmiotów tego samego sektora, co podkreśla ważność wspólnego zabezpieczania się przed cyberzagrożeniami.

Serwis Data I/O padł ofiarą ataku ransomware. Incydent ten podkreśla znaczenie odpowiedniej ochrony danych i systemów informatycznych.

Artykuł dotyczy nowego zagrożenia w postaci Trojana Hook atakującego system Android, który teraz stosuje ataki w stylu ransomware. Autor apeluje o podjęcie działań ostrożnościowych i monitorowanie aktywności online.

Złośliwe oprogramowanie MixShell, dostarczane poprzez formularze kontaktowe, atakuje kluczowe dla łańcucha dostaw firmy produkcyjne w USA. Atak polega na inicjowaniu kontaktu z pracownikami firm poprzez strony internetowe, co prowadzi do wysyłki zainfekowanych plików ZIP zawierających szkodliwe oprogramowanie. Kampania ZipLine jest dowodem na innowacyjne podejścia przestępców do przeprowadzania ataków z wykorzystaniem zaufanych kanałów komunikacji oraz technik socjotechnicznych.

Badacze cyberbezpieczeństwa alarmują przed zaawansowaną kampanią inżynierii społecznej, która celuje w krytyczne dla łańcucha dostaw przedsiębiorstwa produkcyjne. Ataki obejmują skomplikowany proces socjotechniczny, mający na celu zainfekowanie firm z sektora produkcji przemysłowej w USA, wykorzystując złośliwe oprogramowanie MixShell w plikach ZIP. Kampania skupia się na nawiązywaniu zaufanej komunikacji z celami poprzez formularze kontaktowe na stronach internetowych, a następnie wysyłaniu zakamuflowanego oprogramowania szantażującego, wykorzystując mechanizmy wykonania w pamięci i kanały komendy i kontroli opartej na DNS.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 skompromitowanych stron WordPress do przekierowywania odwiedzających na fałszywe strony weryfikacyjne CAPTCHA, aby dostarczyć kradzieże informacji, ransomware i koparki kryptowalut. Ataki wykorzystują taktykę ClickFix w celu wprowadzenia ofiar w błąd i instalacji złośliwego oprogramowania. Konieczne jest szkolenie użytkowników, segmentacja sieci i aktualizacja zabezpieczeń w celu zapobieżenia ryzykom związanym z ShadowCaptcha.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 zhackowanych stron WordPress do przekierowania odwiedzających na fałszywe strony weryfikacji CAPTCHA, w celu dostarczenia kradzieżników informacji, ransomware i koparek kryptowalutowych.

HOOK Android Trojan to nowa wersja trojana bankowego, który dodaje nakładki ransomware i poszerza funkcjonalności o 107 poleceń zdalnych. Wariant ten ukierunkowany jest na wyłudzanie okupów poprzez pełnoekranowe nakładki. Oprócz tego trojan ma zdolność do wysyłania SMS-ów, uruchamiania strumieni ekranu ofiary czy kradzieży danych z portfeli kryptowalutowych. Zimperium zauważa, że HOOK zaczął być szeroko rozpowszechniany poprzez phishing i fałszywe repozytoria na GitHubie.

Analiza odkrycia nowej wersji trojana bankowego HOOK na system Android, która dodaje nakładki typu ransomware oraz rozszerza się do 107 poleceń zdalnych, wraz z informacją o ewolucji innego trojana, Anatsa, oraz zagrożeniach ze strony różnych rodzin złośliwego oprogramowania.

Europol zaprzecza informacji o nagrodzie w wysokości 50 000 dolarów za informacje dotyczące dwóch seniorów z grupy Qilin ransomware, rozpowszechnionej na nowym kanale Telegrama. Post został potwierdzony jako fałszywy, a prawdziwość informacji nie została potwierdzona przez Europol, co pokazuje problem fałszywych informacji w sieci.

Operacja Serengeti 2.0, zorganizowana przez Interpol, przyniosła świetne rezultaty w walce z cyberprzestępczością w Afryce. W ramach działań aresztowano 1009 przestępców, odzyskano 97,4 mln dolarów skradzionej gotówki i zdemontowano kilka nielegalnych centrów górniczych kryptowalut oraz ukarano szereg oszustów prowadzących inwestycyjne przestępstwa online.

INTERPOL ogłosił, że w ramach operacji Serengeti aresztowano 1 209 cyberprzestępców z 18 krajów Afryki, którzy skierowali swoje działania przeciwko 88 000 ofiarom. Akcja skutkowała odzyskaniem 97,4 miliona dolarów, rozmontowaniem ponad 11 000 złośliwych infrastruktur oraz zidentyfikowaniem i zwalczaniem różnorodnych przestępstw takich jak ransomware czy oszustwa online. Ponadto policja rozbiła kilka centrów kopania kryptowalut, zatrzymała Sprawców oszustw inwestycyjnych oraz infiltratorów dziedzictwa na skalę międzynarodową.

INTERPOL ogłosił aresztowanie 1 209 cyberprzestępców z 18 krajów afrykańskich, którzy skierowali swoje działania przeciwko 88 000 ofiarom. Akcja ta skutkowała odzyskaniem 97,4 miliona dolarów, zlikwidowaniem 11 432 złośliwych infrastruktur oraz zdemaskowaniem przestępczości internetowej na skalę światową, co podkreśla pilną potrzebę współpracy transgranicznej. W ramach operacji Serengeti zidentyfikowano i rozprawiono się z dużymi operacjami przestępczymi związanych z ransomware, oszustwami internetowymi oraz oszustwem poczty biznesowej.

Atak ransomware Blue Locker dotknął Pakistan Petroleum Limited, producenta ropy i gazu w kraju, powodując szkody w systemach IT i operacjach finansowych. W odpowiedzi na żądanie okupu, firma informuje o ciężkości incydentu oraz konieczności wzmożonej ostrożności w obliczu zagrożenia cybernetycznego.

Colt Technology Services przyznało, że dane klientów mogły zostać ujawnione przez cyberprzestępców, którzy dokonali ataku na wewnętrzny system firmy. Incydent spowodował zakłócenia w usługach wsparcia, a grupa Warlock, odpowiedzialna za atak, planuje sprzedać skompromitowane dane Colta na prywatnej aukcji.

W raporcie Blue 2025 znaleziono, że próby złamania haseł odniosły sukces w 46% testowanych środowisk, podwajając wynik z poprzedniego roku. Organizacje nadal borykają się z problemem zapobiegania atakom na hasła i wykrywania złośliwego użycia skompromitowanych kont. Istnieje pilna potrzeba skoncentrowania się na zagrożeniach, które omijają obronę organizacji, przez egzekwowanie silnych polityk dotyczących haseł i wdrażanie autoryzacji wieloczynnikowej dla wszystkich użytkowników.

Raport Blue 2025 firmy Picus Security ukazuje, że organizacje wciąż borykają się z atakami na hasła oraz z wykrywaniem złośliwego wykorzystania skompromitowanych kont w cyberprzestrzeni. Brak skutecznych polityk haseł, brak wdrożenia autoryzacji wieloskładnikowej i niedostateczna walidacja obrony przeciwko atakom to główne wyzwania, z jakimi muszą zmierzyć się firmy, aby zabezpieczyć swoje systemy przed atakami na hasła.

W ataku na Orange Belgium skompromitowano 850 000 kont klientów, a wśród potencjalnie dostępnych danych znalazły się numery kart SIM i kody PUK. Atak wzbudził obawy związane z atakami typu SIM-Swapping. Orange Belgium podjęło środki zaradcze, ale krytyka ze strony ekspertów wskazuje na dalsze obawy dotyczące bezpieczeństwa.

20-letni członek gangu cyberprzestępczego Scattered Spider, znany pod pseudonimami Sosa, Elijah, King Bob, Gustavo Fring i Anthony Ramirez, został skazany na 10 lat więzienia w USA za szereg poważnych haków i kradzieże kryptowalut. Do jego udziału w oszustwach przewodnich i kradzieży tożsamości, które miały miejsce między sierpniem 2022 a marcem 2023 roku, dołączyli inni współsprawcy. Urban ma także zrezygnować z 13 milionów dolarów na rzecz pokrzywdzonych, dodatkowo po odsiadce otrzymując 3 lata nadzoru resocjalizacyjnego. Grupa Scattered Spider połączyła siły z innymi grupami zagrożeń, m.in. ShinyHunters i LAPSUS$, tworząc nowe sojusze przestępcze w cyberprzestrzeni.

20-letni członek grupy przestępczej Scattered Spider został skazany na 10 lat więzienia w USA z powodu serii poważnych włamań i kradzieży kryptowalut. Noah Michael Urban, znany także jako Sosa, został skazany za oszustwa telefoniczne i kradzież tożsamości. Urban skazany także na 13 mln dolarów odszkodowania dla ofiar, a grupa Scattered Spider połączyła siły z innymi grupami przestępczymi.

W odcinku 431 podcastu „Smashing Security” samozwańczy influencer krypto o pseudonimie CP3O sądził, że znalazł skrót do bogactwa, generując milionowe niezapłacone rachunki za chmurę. Ponadto omawiana jest rosnąca groźba narzędzi zabijających EDR, które potrafią cicho dezaktywować ochronę końcową przed atakiem. Dodatkowo, autorzy zaglądają do dystopijnej maszyny Internet Archive Wayforward i zatrzymują się przy grobie Mary Shelley w Bournemouth. W odcinku gościnnie udziela się Allan „Specjalista od ransomware” Liska. Ostrzeżenie: Podcast może zawierać wulgaryzmy i treści dla dorosłych.

Artykuł omawia strategię ataku oprogramowania ransomware Warlock, które celuje w narażone serwery SharePoint, wywołując blokady online. Istnieje możliwość odzyskania dostępu poprzez kontakt z właścicielem strony.

W raporcie omawiano zmiany w krajobrazie globalnych zagrożeń, w tym porozumienie dotyczące nazewnictwa grup zagrożeń, zwiększone ryzyko ataków irańskich na interesy Stanów Zjednoczonych oraz skuteczność sposobu radzenia sobie z cyberprzestępczością poprzez ośmieszanie sprawców. Wskazano także na konieczność ciągłego monitorowania i adaptacji, aby zachować dokładność w identyfikacji zagrożeń cybernetycznych.

Ransomware Warlock to groźna operacja, która wykorzystuje tzw. podwójne szantażowanie, szyfrując pliki ofiar i grożąc wyjawieniem skradzionych danych. Grupa Warlock zintensyfikowała swoje ataki ostatnio, docierając do licznych organizacji, w tym agencji rządowych. Atak na brytyjską firmę telekomunikacyjną Colt Technology Services wywołał zakłócenia w działaniu systemów, a sprawcy zażądali okupu za skradzione dokumenty. Ekspertów radzą stosować zabezpieczenia, takie jak wieloczynnikowa autentykacja, oraz aktualizować oprogramowanie, aby uniknąć ataków ransomware.

Firma badawcza farmaceutyczna Inotiv z Indiany potwierdziła atak ransomware, który miał miejsce wcześniej w tym miesiącu. Atak ten spowodował zakłócenia w operacjach biznesowych firmy, a cyberprzestępcy żądają okupu za odszyfrowanie skradzionych danych.

Artykuł ostrzega, że wzrost ataków ransomware w Europie może być sygnałem dla amerykańskich ekspertów ds. cyberbezpieczeństwa. Przedstawione są działania anty-DDoS w przypadku blokady dostępu do witryny oraz sposób kontaktu z właścicielem strony w przypadku awarii.

Badacze Trend Micro zauważyli, że operatorzy ransomware Warlock skutecznie wykorzystali lukę w zabezpieczeniach narzędzia Microsoft SharePoint Shell, aby zaatakować ofiary na całym świecie. Grupa ta dynamicznie rozwijała się, wykorzystując zaawansowane techniki eksploatacji i szybko zdobywając popularność. Atakując organizacje, Warlock stosował skomplikowane techniki eksploracji i szyfrowania danych, co wymagało uważnej obrony i zapobiegania zagrożeniom cybernetycznym.

Artykuł omawia ponowne pojawienie się tylnych drzwi PipeMagic w ataku ransomware Play, który wymaga zabezpieczenia przed atakami online, wywołując blokadę na stronie. Autor sugeruje kontaktowanie się z właścicielem strony w przypadku blokady oraz podaje identyfikator Cloudflare Ray ID dla dodatkowych informacji.

Wykryto publicznie dostępny exploit dla krytycznej luki w SAP NetWeaver AS Java Visual Composer, umożliwiającej zdalne wykonanie kodu. Poważność zagrożenia podniosła US CISA, a firma Pathlock zaleca natychmiastowe działania przeciwdziałające.

W ataku zauważono przypadki, gdzie cyberprzestępcy modyfikują podatności po uzyskaniu dostępu, a następnie wykorzystują je do zablokowania konkurencji. Zastosowanie takiej strategii ma na celu zapewnienie wyłącznego dostępu oraz zmniejszenie ryzyka wykrycia przez obronę.

Artykuł porusza potrzebę szybkiego reagowania na zagrożenia cybernetyczne poprzez inwestowanie w nowoczesne rozwiązania MDR. W wyniku coraz skuteczniejszych ataków czas reakcji organizacji skraca się do kilku minut, co wymaga efektywnych działań obronnych ze strony zespołów IT. Popularność MDR rośnie w odpowiedzi na rozwijający się krajobraz cyberprzestępczości oraz braki kadrowe w dziedzinie cyberbezpieczeństwa. Outsourcing monitorowania zagrożeń staje się opłacalną opcją, pomagając w zapewnieniu nieprzerwanej ochrony 24/7.

Colt Technology Services doświadcza 'incydentu cybernetycznego', który zmusił firmę do tymczasowego wyłączenia niektórych usług. Niestety, usługi hostingowe i portingowe, platformy Colt Online i Voice API pozostają nadal niedostępne dla klientów. Przyczyną incydentu może być atak na serwery SharePoint firmy, mający na celu wykorzystanie podatności CVE-2025-53770.

Artykuł omawia wybór najlepszych programów antywirusowych dla systemu Windows oraz prezentuje rekomendacje ekspertów ZDNET. Autor dokładnie testuje różne programy, wskazując Malwarebytes jako najlepszą opcję. Opisane są również programy Bitdefender, TotalAV, McAfee Total Protection i Avast One oraz omawiane są ich cechy i zalecane użytkowanie.

W raporcie przedstawiono ewolucję backdooru PipeMagic, odkrytego w 2022 roku w kampanii z RansomExx. Śledzono zmiany w taktyce operatorów oraz analizowano podatność CVE-2025-29824. Odkryto kolejne ataki w Arabii Saudyjskiej i Brazylii w 2025 roku, w których wykorzystywano narzędzia związane z PipeMagic. Opisano także nowe metody ataku, m.in. korzystanie z fałszywej aplikacji ChatGPT. Odkryto m.in. wykorzystanie biblioteki libaes, a także analizowano metody ładowania backdooru i przeprowadzano analizę techniczną modułów używanych w kampanii.

Firma Workday doświadczyła naruszenia danych związanych z platformą CRM firm trzecich, wynikającym z kampanii inżynierii społecznej. Informacje takie jak nazwiska, adresy e-mail i numery telefonów zostały skompromitowane. Szerzej omawiając, atak przypomina wiele innych działań grupy ShinyHunters, które miały miejsce w ostatnich tygodniach. Istnieje ryzyko wykorzystania skradzionych danych do przeprowadzenia oszustw metodą inżynierii społecznej.

Nowe ransomware o nazwie Crypto24 atakują systemy pomijając zabezpieczenia EDR. Atakującym udaje się ominąć filtrowanie danych i rozpoznanie szkodliwego oprogramowania, co wskazuje na rozwój strategii ataków cybernetycznych.

Departament Skarbów USA nałożył sankcje na rosyjską platformę wymiany kryptowalut Garantex za ułatwianie działalności ransomware i cyberprzestępców. Sankcje zostały również nałożone na następcę Garantex, Grinex, oraz na trzech wykonawców Garantex oraz sześć powiązanych firm w Rosji i w Kirgistanie. Sankcje te wynikają z przetwarzania ponad 100 milionów dolarów w transakcjach związanych z nielegalnymi działaniami od 2019 roku. Aktywność Grinex odzwierciedla kontynuację prania pieniędzy i ułatwiania ataków ransomware. Jednocześnie Departament Sprawiedliwości USA zabezpieczył ponad 2,8 miliona dolarów w kryptowalutach, 70 000 dolarów w gotówce i luksusowe auto. Aktywa te są związane z działalnością ransomware.

Departament Skarbu USA nałożył sankcje na rosyjską platformę wymiany kryptowalut Garantex za ułatwianie działalności ransomware oraz innych przestępców sieciowych, przetwarzając ponad 100 milionów dolarów w transakcjach związanych z działaniami nielegalnymi od 2019 roku. Sankcje zostały rozszerzone na następcę Garantex, Grinex, oraz na trzech wykonawców Garantex i sześć firm z Rosji i Kirgistanu. Omawiane są także działania Grinex oraz powiązania z grupami ransomware, takimi jak Conti czy Ryuk.

Firma Fortinet apeluje do administratorów systemów o priorytetowe zaktualizowanie nowej krytycznej podatności w rozwiązaniu FortiSIEM, gdyż kod eksploitacji krąży obecnie w sieci. Podatność CVE-2025-25256 to eskalacja uprawnień z oceną CVSS 9.8, która umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu poprzez manipulowanie zapytaniami CLI. Produkt FortiSIEM jest popularnym celem ataków, a obecne wykorzystywanie luki erszeżonczość procesu reagowania sieciowego.

Artykuł informuje o atakach ransomware przeprowadzanych przez Północną Koreę na Południową Koreę. Strona używa usługi zabezpieczeń w celu ochrony przed atakami online. Czytelnik jest proszony o kontakt z właścicielem strony w przypadku blokady, podając szczegóły działań oraz identyfikator Cloudflare Ray ID.

Grupa ransomware MedusaLocker poszukuje pentesterów w celu zwiększenia liczby ataków na firmy. Zwraca uwagę na możliwość zatrudnienia osób mających już dostęp do sieci korporacyjnych, co może ułatwić atakującym zdobycie nieautoryzowanego dostępu do systemów.

Firma Manpower potwierdziła, że dobrała naruszenie danych dotknęło 144 189 osób, z którymi skontaktowano w sierpniu. Atak miał miejsce w siedzibie firmy w Michigan i spowodował dostęp nieuprawnionej osoby do sieci oraz wyciek danych osobowych.

Prezydent miasta St. Paul, Minnesota, poinformował, że grupa ransomware Interlock opublikowała dane pracowników online po odmowie zapłaty ze strony atakujących. W wyniku incydentu zagrożone zostały dane, ale miasto doszło do decyzji o niepłaceniu okupu z uwagi na backup danych oraz zalecenia FBI i Straży Narodowej Minnesoty. Incydent spowodował znaczne zakłócenie lokalnych usług dla mieszkańców, którzy zostali poproszeni o kontakt mailowy w sprawach niezwiązanych z awariami, podczas gdy miasto przywracało platformy komunikacyjne.

Służby Stanów Zjednoczonych ujawniły szczegóły operacji policyjnej mającej na celu zakłócenie działalności grupy ransomware BlackSuit oraz konfiskatę pieniędzy skradzionych od jednej z ofiar. Operacja ta poprzedziła inicjatywę globalną Operation Checkmate, kierowaną przez USA, mającą na celu zakłócenie działalności grupy ransomware.

Haker oskarża rząd rosyjski o udział w cyberataku na Kaseya. Analiza hackerów ujawnia powiązania REvil z rządem rosyjskim, szczegóły szantażu Vasinskyiego i strukturę działania grupy ransomware. Odkrycia DiMaggio podczas DEFCON 33 rzucają nowe światło na atak i jego skutki dla branży cyberbezpieczeństwa.

W artykule omawiającym cyberbezpieczeństwo, informuje się o pojawieniu się ransomware o nazwie Charon, który stosuje taktyki charakterystyczne dla zaawansowanych zagrożeń trwałych (APT).

Odpowiedzialność za zrozumienie zależności biznesowych i umiejętność minimalizacji ryzyka ataku to kluczowe zagadnienia rozważane na konferencji DEF CON 33. Konieczne jest pełne zrozumienie zależności operacyjnych oraz świadomość ryzyka, jakie niosą.

Departament Sprawiedliwości Stanów Zjednoczonych poinformował o przejęciu kryptowaluty o wartości ponad 1 miliona dolarów od rosyjskiej grupy ransomware BlackSuit. Światowe agencje egzekwowania prawa działały wspólnie, konfiskując serwery i domeny związane z grupą, która żądała ogromne sumy od ofiar, w tym nawet 60 milionów dolarów. Mimo że kwota ta stanowi niewielki ułamek zysków cyberprzestępców, dochodzenia w sprawie BlackSuit będą ważne dla ponad 450 znanych ofiar w samych Stanach Zjednoczonych.

Raport Rapid7 ujawnia, że usługi brokerów dostępu początkowego na dark webie są popularne, tanie i oferują liczne opcje. Badacze analizowali trzy prominentne strony przez pół roku, obserwując, że handlarze często wykorzystują przychody organizacji ofiar, aby usprawiedliwić ceny. Dostępne opcje zawierają różne formy dostępu do skompromitowanej organizacji, a najczęściej oferowanym wektorem dostępu są konta VPN.

Artykuł informuje o działaniach podejmowanych przez organy ścigania wobec grupy przestępczej BlackSuit Ransomware. Organizacja jest obecnie pod presją i doświadcza utrudnień w funkcjonowaniu.

Atak cybernetyczny dotknął 172 000 osób związanych z Connex Credit Union, wykradając dane osobowe i finansowe. Choć nie doszło do nieautoryzowanego dostępu do kont i funduszy, zabezpieczenie informacji osobowych jest kluczowe ze względu na ryzyko kradzieży tożsamości i oszustw.

Grupa ransomware Embargo, działa od kwietnia 2024 r., zarobiła około 34,2 mln dolarów z ataków. Dochody te zostały dokładnie prześledzone przez platformę TRM Labs, która odnalazła płatności kryptowalutowe o wartości około 13,5 mln dolarów rozproszone w różnych globalnych usługodawcach wirtualnych aktywów. Pozostałe fundusze zostały pralniowane poprzez pośrednie portfele, giełdy wysokiego ryzyka i platformy objęte sankcjami. Badacze sugerują, że grupa celowo rozprowadza zyski z okupu, aby uniknąć wykrycia przez władze. Obserwuje się także pewne powiązania z wcześniejszą grupą BlackCat, co sugeruje, że Embargo może być jej zrebrandowaną wersją. Grupa różni się taktykami od innych prominentnych grup ransomware i najczęściej atakuje organizacje z USA, zwłaszcza sektory opieki zdrowotnej, usług biznesowych i przemysłu. Ich żądania okupu sięgają nawet 1,3 mln dolarów.

W drugim kwartale odnotowano znaczący spadek ataków ransomware'owych, co sugeruje zmianę trendu w dziedzinie cyberbezpieczeństwa. Poprawne działania ochronne oraz świadomość użytkowników mogły przyczynić się do zmniejszenia liczby incydentów. Wykrywanie i reagowanie na zagrożenia pozostaje kluczowe, aby utrzymać bezpieczeństwo sieci oraz danych przed cyberprzestępczością.

Analiza prezentacji dotyczących ubezpieczeń cybernetycznych podczas Black Hat USA 2025, ukazująca, że wysoka składka może być wynikiem ograniczenia ryzyka przez ubezpieczyciela w zakresie produktów lub usług dostarczanych przez Twoich dostawców. Przedstawione dane wskazują na konieczność zwiększenia bezpieczeństwa w zakresie wielofaktorowej autoryzacji oraz zabezpieczenia infrastruktury, aby minimalizować ryzyko ataków ransomware'owych i kradzieży danych.

Amerykańska agencja CISA liczy, że Kongres USA przedłuży ustawę zabezpieczającą firmy udostępniające dane o zagrożeniach cybernetycznych, podkreślając wagę szybkiego udostępniania informacji w obliczu zmieniających się ataków.

Adware na Androidzie przynosi ze sobą zagrożenia, których nie powinno się bagatelizować. Zwiększona liczba detekcji adware w pierwszej połowie 2025 roku wskazuje na rosnące ryzyko. Znajomość działań adware oraz środki zapobiegawcze są kluczowe dla zachowania bezpieczeństwa urządzenia.

Analiza SocGholish Malware, który wykorzystuje systemy dystrybucji ruchu, takie jak Parrot TDS i Keitaro TDS, do przekierowywania użytkowników na podejrzane treści. Malware ten jest rozpowszechniany poprzez zainfekowane strony internetowe udające fałszywe aktualizacje dla przeglądarek internetowych i innych aplikacji. Ataki obejmują również wykorzystanie Keitaro TDS do dystrybucji bardziej zaawansowanych form złośliwego oprogramowania.

Cyberprzestępcy wykorzystujący złośliwe oprogramowanie SocGholish wykorzystują Systemy Dystrybucji Ruchu (TDS) do filtracji i przekierowywania użytkowników na podejrzane treści. Malware ten, nazywany również FakeUpdates, rozpowszechniany jest poprzez zainfekowane strony internetowe, udając fałszywe aktualizacje dla przeglądarek internetowych i innych programów. Ataki obejmują ustanowienie początkowego dostępu za pomocą SocGholish i sprzedaż tego dostępu różnorodnym klientom, w tym Evil Corp, LockBit, Dridex i Raspberry Robin. Keitaro TDS, powiązane z socjotechnicznymi operacjami rosyjskimi.

Nowa krytyczna podatność w Microsoft Exchange może umożliwić eskalację uprawnień w środowisku chmury hybrydowej. Microsoft ostrzega o konieczności podjęcia działań zaradczych w celu zabezpieczenia serwerów Exchange.

Zalecenia ZDNET: Co dokładnie oznacza? Recenzje VPN z antywirusem od experów. Przegląd Surfshark, NordVPN, Private Internet Access i CyberGhost. Wybór odpowiedniego pakietu VPN z antywirusem w oparciu o potrzeby użytkownika.

ZDNET prezentuje swoje rekomendacje, które opierają się na starannie przeprowadzonych testach, badaniach i porównaniach. Artykuł omawia różne rekomendowane programy antywirusowe, takie jak Bitdefender Total Security, Norton Antivirus Plus, McAfee Plus, Surfshark One i ESET Protect, podkreślając ich zalety, ceny oraz dostępne funkcje z zakresu ochrony przed różnego rodzaju zagrożeniami cybernetycznymi. Poruszane są również kwestie dotyczące bezpieczeństwa w cyberprzestrzeni, rekomendacje dotyczące wyboru oprogramowania antywirusowego oraz informacje o aktualnym zagrożeniu w postaci cyberprzestępczości.

Firma zajmująca się bezpieczeństwem odrzuciła informacje o luce zero-day w swoich produktach, twierdząc, że wzrost ataków ransomware na klientów wynika z słabego zarządzania hasłami. Ataki na nowsze zapory ogniowe z SSLVPN wiążą się z aktywnością związaną z CVE-2024-40766, a nie z nową luką. Zaleca się aktualizację do SonicOS 7.3 oraz resetowanie haseł użytkowników lokalnych. Konieczne jest zachowanie wyjątkowej ostrożności w kontekście haseł i ataków typu brute-force.

W ataku ransomware na amerykańskiego dostawcę dializ nerek DaVita zostały skradzione wrażliwe dane osobowe i kliniczne ponad 900 000 klientów. Incydent ten spowodował poważne straty finansowe i zwiększenie kosztów opieki pacjentów.

Firma oferująca usługi ubezpieczeniowe i naprawy telefonów komórkowych w Niemczech zbankrutowała po ataku ransomware. Atak zablokował dostęp do danych firmowych, spowodował szkody finansowe i zmusił do wypłacenia okupu. Mimo działań podejmowanych przez właściciela, firma upadła, co pokazuje jak poważne skutki mogą mieć ataki ransomware na działalność gospodarczą.

Artykuł opisuje rosnącą zagrożenie związaną z oprogramowaniem zabójczym EDR, które umożliwia działanie zagrożeń cybernetycznych bez wykrycia. W szczególności omawia narzędzia stworzone przez grupy ransomware oraz udostępnianie oraz przenoszenie wiedzy technicznej między nimi. Autorzy zauważyli zastosowanie pakowanych narzędzi EDR w atakach ransomware oraz wspólną użyteczność między konkurencyjnymi grupami ransomware. Wskazują także na możliwe współdzielenie informacji o używaniu usługi HeartCrypt w celach związanych z cyberprzestępczością.

W nowym raporcie Barracudy stwierdzono, że aktorzy ransomware znacząco poszerzyli swoje taktyki poza szyfrowaniem i wyciekiem danych. Incydenty obejmują również kradzież danych i groźby wobec ofiar, aby zmusić je do zapłacenia. W badaniu około 57% organizacji przyznało, że doświadczyło udanego ataku ransomware w ciągu ostatnich 12 miesięcy, a 31% z nich zapłaciło za odzyskanie danych, z czego 41% nie odzyskało wszystkich danych.

Artykuł przedstawia nowe oprogramowanie zabójców AV, które wykorzystuje legalny sterownik ThrottleStop.sys do wyłączania procesów antywirusowych. Atakujący uruchamiają ransomware za pomocą zabezpieczeń omijających takie narzędzia jak Kaspersky Endpoint Security. Analiza ataku ukazuje wykorzystane taktyki i procedury przestępców, podkreślając konieczność implementacji praktyk obronnych.

W 2025 roku ataki cybernetyczne gwałtownie wzrosły, a Microsoft stał się jednym z wielu prominentnych celów. Rubrik i Sophos nawiązały strategiczne partnerstwo w celu wzmacniania odporności na cyberzagrożenia w środowisku Microsoft 365. Nowe, zintegrowane rozwiązanie ma umożliwić szybką i bezpieczną odbudowę danych SharePoint, Exchange, OneDrive i Teams w przypadku przypadkowego lub złośliwego naruszenia ich. Współpraca ma na celu poprawę praktyk cyberodporności poprzez integrację rozwiązań w ramach platformy Sophos Central, zapewniając jednolite doświadczenie dla działań bezpieczeństwa oraz ochrony danych Microsoft 365.

W najnowszym raporcie zagrożeń ESET, cyberprzestępcy stosują nowe techniki psychologiczne, gangi ransomware atakują nawzajem, a służby ścigania zakłócają działalność infostealerów. Analiza Podcastu ESET Research omawia m.in. rosnącą popularność ClickFix, działania przeciwko infostealerom oraz walkę w środowisku ransomware, gdzie Dragonforce zaskoczył defacingiem stron leakujących dane rywali. Nie zabrakło również pozytywnych wydarzeń, takich jak neutralizacja Redline/Meta Stealer oraz LummaStealer i Danabot. Całość raportu dostępna bez konieczności rejestracji.

Hieu Minh Ngo, pragnący zarabiać pieniądze online, przypadkowo trafia na dark web, gdzie zaczyna uczestniczyć w międzynarodowej działalności przestępczej. Zamiast spodziewanej okazji, odkrywa globalny czarny rynek, który zmienia jego życie w serię przestępstw na skalę międzynarodową.

W pierwszych sześciu miesiącach 2025 roku ataki zero-day wzrosły o 46%. Microsoft i Google były najbardziej narażone, a liczba podatnych punktów zwiększyła się o 15% w porównaniu z rokiem poprzednim. Ataki ransomware także rosły, a grupy hakerskie coraz częściej kierują się ku nietypowym celom, takim jak kamery IP i serwery BSD.

Partnerstwo między Rubrik i Sophos ma na celu wzmocnienie cyberodporności organizacji korzystających z Microsoft 365 poprzez integrację rozwiązań do ochrony danych i szybkiego odzyskiwania w przypadku cyberataków. Nowe funkcje będą dostępne w ramach platformy Sophos Central, co zapewnia jednolite doświadczenie w zakresie operacji bezpieczeństwa i ochrony danych w Microsoft 365.

Wyznaczeni eksperci zwracają uwagę na potencjalną lukę zerodniową w bramkach SSL VPN SonicWall, po zauważeniu wzrostu ataków ransomware na te urządzenia w celu zdobycia początkowego dostępu.

W pierwszej połowie 2025 roku nastąpił znaczący wzrost intruzji w chmurze, wynoszący już o 136% więcej niż w całym 2024 roku. China jest głównym aktorem atakującym te środowiska, wykorzystując relacje zaufania i zaawansowane techniki.

W pierwszej połowie 2025 roku nastąpił ogromny wzrost ataków opartych na tożsamości, w wyniku którego skradziono 1,8 miliarda danych uwierzytelniających, co oznacza wzrost o 800% w porównaniu z poprzednimi sześcioma miesiącami. Dane wskazują również na znaczny wzrost luk w zabezpieczeniach, co stawia przed zespołami bezpieczeństwa poważne wyzwania.

Nowy raport pokazuje, że aktorzy ransomware sięgają po skrajne środki, grożąc fizyczną szkodą osobom zarządzającym firmami. Przyrost takich działań w USA, zwiększone groźby oraz spadek płatności okupów o 35% w 2024 roku.

Amerykańska agencja ds. cyberbezpieczeństwa CISA udostępniła nowe zasoby dla zespołów bezpieczeństwa, wspierające w zawieraniu cyberataków i wyrzucaniu hakerów z sieci. Nowe narzędzie Eviction Strategies zawiera aplikację webową Playbook-NG oraz bazę przeciwdziałania po kompromitacji nazwaną COUN7ER. Narzędzia te są dostępne jako open source na stronie GitHub CISA i pomagają w szybkim tworzeniu planów reakcji na incydenty cybernetyczne.

Najnowszy artykuł dotyczący cyberbezpieczeństwa analizuje rosnące zagrożenia w cyberprzestrzeni i wartość ochrony endpointów. SentinelOne, jako lider w dziedzinie bezpieczeństwa opartego na AI, oferuje kompleksowe rozwiązania obejmujące szeroki zakres ochrony, umożliwiające szybkie reagowanie na ataki i minimalizujące ryzyko. Platforma Singularity zapewnia uczestnikom rynku ochronę na wszystkich urządzeniach, systemach operacyjnych i w chmurze, skupiając się na efektywnej detekcji zagrożeń i operacyjnej odporności. SentinelOne wyróżnia się innowacyjnym podejściem do cyberbezpieczeństwa, opartym na sztucznej inteligencji i automatyzacji.

Cyberbezpieczeństwo staje przed coraz większym wyzwaniem w obliczu rosnącej liczby i złożoności zagrożeń, takich jak ransomware. Ważne jest zapewnienie odpowiedniego zabezpieczenia końcówek dzięki platformie zasilanej SI, takiej jak SentinelOne. Firma ta zdobyła uznanie Gartnera jako Lider w Magicznym Kwadrancie 2025 dla Platform Ochrony Końcówek. Działając na wielu frontach, od ochrony przed atakami cybernetycznymi po zapewnienie integralności danych w sektorach finansowym i opieki zdrowotnej, platforma Singularity firmy SentinelOne oferuje innowacyjne i kompleksowe rozwiązania AI dla organizacji.

Zatrzymano cztery osoby związane z grupą Scattered Spider, co spowodowało zastój w ich działalności cyberprzestępczej. Inne podobne grupy mogą kontynuować działania, wykorzystując zaawansowane techniki inżynierii społecznej i nowe narzędzia ransomware.

Dekryptor dla ransomware FunkSec został udostępniony do pobrania za darmo przez badaczy z Avast. Gang działał od końca 2024 roku i wykorzystywał technologię sztucznej inteligencji przy tworzeniu złośliwego oprogramowania. Odzyskane dane pomogły zidentyfikować 113 ofiar, a dotychczasowe działania wskazują na niewielkie doświadczenie sprawców.

Analiza zagrożeń cybernetycznych i działania obronne organizacji opisane w artykule dotyczącym strategii FBI w zwalczaniu ransomware.

Badania zidentyfikowały 396 skompromitowanych systemów w wyniku powszechnego wykorzystania luki zero-day w Microsoft SharePoint ToolShell. Ataki dotknęły co najmniej 145 organizacji z 41 krajów. USA było najczęściej atakowanym krajem, a sektor rządowy stanowił 30% wszystkich infekcji.

Ransomware o nazwie 'Gunra' zyskał nową wersję działającą na systemach Linux. Atak ten wymaga pomocy zewnętrznej firmy z powodu blokowania hostingu przez Cloudflare.

FBI zajął ponad 2,4 mln dolarów w kryptowalutach od grupy ransomware Chaos. Agencja dąży teraz do konfiskaty tych środków. Działania te są częścią większej strategii walki z ransomware.

Artykuł omawia rosnące zagrożenie ze strony ransomware'a Chaos oraz dezintegrację grupy BlackSuit odpowiedzialnej za cyberataki.

Sophisticated i ukierunkowana kampania cyberataków dotycząca grupy UNC3944, znanej jako Scattered Spider, skupiająca się na wykorzystywaniu środowisk VMware vSphere, w tym taktyki ataku i zalecenia dotyczące obrony.

W wyniku operacji Checkmate zorganizowanej przez wielu agencji prawa z dziewięciu krajów, strony dark webowe BlackSuit zostały wyłączone. Grupa jest powiązana z wcześniejszymi cyberatakami, a ich skomplikowane metody ataku obejmują podwójne szantaże i wyłudzanie okupu w wysokości nawet 60 milionów dolarów.

Nowy operator ransomware o nazwie Chaos rozpoczął falę intruzji, dotykającą szeroki zakres sektorów. Atakował głównie w USA, ale także w UK, Nowej Zelandii i Indiach. Chaos wykorzystuje taktykę podwójnego wymuszenia i skupia się na 'big-game hunting'. Grupa unika współpracy z Rosją, szpitalami i instytucjami rządowymi. Atakuje poprzez social engineering i wykorzystuje narzędzia zarządzania zdalnego do utrzymania dostępu. Szyfruje pliki na zainfekowanych maszynach, dodając rozszerzenie '.chaos' oraz żąda okupu pod groźbą utraty danych i ataku DDoS.

Artykuł omawia narastającą liczbę ataków ransomware na luki w systemie SharePoint o nazwie 'ToolShell'. Zalecane jest zastosowanie środków ostrożności w celu zabezpieczenia się przed tego rodzaju atakami.