To nie AI jest największym zagrożeniem. Czyli raport opisujący incydenty z 2025 roku

Mandiant opublikował swój coroczny raport M-Trends. Raport, wbrew oczekiwaniom niektórych, nie stoi pod znakiem “AI niszczy świat”. Wnioski są dużo bardziej prozaiczne, a jednocześnie przerażające. AI faktycznie pomaga atakującym (głównie w socjotechnice i pisaniu malware’u omijającego detekcję), ale przytłaczająca większość udanych włamań to wciąż wynik błędów ludzkich i systemowych.

Oto najciekawsze smaczki, które warto znać z perspektywy Blue Teamów, Red Teamów i zwykłych adminów (rymy przypadkowe):

Phishing e-mailowy wypierany przez vishing, czyli ataki socjotechniczne przez telefon

To jedna z największych zmian w statystykach. Od sześciu lat wektorem nr 1 pozostaje wykorzystanie exploitów (32%). W 2025r. najczęściej dziurawiono SAP NetWeaver, Oracle E-Business Suite oraz Microsoft SharePoint. Ale uwaga: wektorem nr 2 nie jest już klasyczny phishing e-mailowy (spadek z 14% na zaledwie 6%). Na jego miejsce z wynikiem 11% wskoczył vishing oraz socjotechnika przez komunikatory. Kopsniesz mi 200 ziko blikiem, oddam jutro.

Na trzecim miejscu (10%) jest atak na łańcuch dostaw lub oprogramowanie firm trzecich (w tym SaaS).

Szyfrowanie startuje po 30 sekundach od ataku

Cyberjełopy się wyspecjalizowały. Grupy zajmujące się uzyskiwaniem początkowego dostępu (Initial Access Brokers) masowo infekują ofiary za pomocą np. złośliwych reklam (malvertising) lub fałszywych komunikatów w przeglądarce — popularny motyw ClickFix/InstallFix, który jako chyba pierwsi zauważyliśmy i opisaliśmy we wrześniu 2024. Chodzi o wyskakujące okienko namawiające do wklejenia np. kodu do konsoli PowerShell.

Kiedyś IAB wystawiał uzyskane dostępy na grupach lub forach i czekał na kupca (np. operatora ransomware). W 2022r. mediana czasu od infekcji do przekazania dostępu wynosiła 8 godzin. W 2025 roku ten czas spadł do… 22 sekund. Tak, proces został zautomatyzowany. Malware (np. FAKEUPDATES) od razu pobiera i instaluje backdoora docelowej grupy (np. RansomHub). Z punktu widzenia SOC-u oznacza to, że alert o “nisko-priorytetowym” malware z przeglądarki musi być traktowany jako krytyczny incydent P1, bo już po kilku minutach napastnik zacząć może lateral movement.

Tu ciekawostka: Grupy APT wbijają się na brzegowe urządzenia sieciowe (wykorzystując 0-daye lub luki n-day), zakładają na nich własne konta, uruchamiają SSH na niestandardowych portach i puszczają sniffery pakietów, aby wyłapywać hasła latające po sieci w cleartext’cie.

Ransomware to już nie tylko szyfrowanie. To “Recovery Denial”

Złote czasy, gdy ransomware tylko szyfrował pliki, a ofiara po prostu odtwarzała je z backupu, minęły bezpowrotnie — o tym też na Niebezpieczniku mogliście usłyszeć wielokrotnie. Głównym celem grup RaaS (Ransomware-as-a-Service) stała się teraz infrastruktura backupowa. Napastnicy wiedzą, że jeśli zniszczą kopie zapasowe to ofiara będzie bardziej skora do zapłaty. Kradną poświadczenia do serwerów backupu, hasła do macierzy NAS czy chmurowych bucketów i trwale kasują kopie zapasowe albo szyfrują to, co zostało. Pozyskują też całą bazę ntds.dit z kontrolerów domeny (często robiąc snapshoty maszyn wirtualnych z poziomu hypervisora, omijając w ten sposób EDR-y na hostach), korzystajż z GPO lub Microsoft Endpoint Manager aby pchnąć ransomware od razu, jednocześnie na tysiące stacji roboczych. Czasem, EDR może to zablokować, więc atakujący jeśli mogą, to szyfrują pliki .vmdk bezpośrednio na datastorze hypervisora.

Zarówno zaawansowane grupy szpiegowskie (np. z Chin, jak UNC5807 czy UNC5221), jak i cyberprzestępcy często celują w urządzenia, na których nie da się zainstalować agenta EDR. Chodzi np. o firewalle, routery, VPN oraz hypervisory (VMware ESXi, vCenter). Hypervisor wykorzystują jako kryjówkę. Zamiast atakować wirtualki, napastnik przejmuje HV i stawia na nim własną, “niewidzialną” (zarządzaną przez emulator QEMU) maszynę wirtualną. Nie widać jej w konsoli vCenter, nie skanują jej firmowe antywirusy, a służy ona do tunelowania ruchu z C2.

OAuth > Hasła

Zabezpieczasz chmurę i masz MFA? Świetnie. A co z integracjami? Atakujący (np. APT29 czy grupy finansowe) masowo atakują stacje robocze developerów, by wykradać tokeny. Skanują też repozytoria kodu w poszukiwaniu na twardo zaszytych kluczy API. Kradzież tokenów sesyjnych (cookies) oraz refresh tokenów OAuth to również często wykorzystywane techniki. Pozwala to na całkowite ominięcie MFA. Dodatkowo, przestępcy żerują na źle zescope’owanych uprawnieniach dla aplikacji firm trzecich (np. integracja, która ma tylko czytać logi, dostaje uprawnienia pozwalające na kasowanie bucketów).

Ten kolega jest też kolegą Kima!

Trend, o którym pisaliśmy już wielokrotnie na Niebezpieczniku, wciąż rośnie. Północnokoreańscy “specjaliści IT” masowo zatrudniają się w zachodnich firmach pod fałszywymi tożsamościami. W 2025 roku stanowili oni aż 6% wszystkich incydentów wewnętrznych. Co ciekawe, ich mediana czasu przebywania w sieci wynosiła aż 122 dni. Główny cel to pobieranie zachodniej pensji i transferowanie jej reżimowi, ale Mandiant odnotował też przypadki przekupywania innych pracowników (lub podwykonawców), aby ci udostępnili im swoje korporacyjne poświadczenia, co prowadziło do kradzieży danych i prób wymuszeń.

Co robić, jak żyć w 2026?

Raport Mandianta mówi jasno: koncepcja obrony oparta wyłącznie na blokowaniu to przeszłość. Należy przejść na model “Active Resilience”. Czyli?

• Chroń Tier-0 i hypervisory. vCenter i serwery backupu nie mogą być wpięte do tego samego Active Directory, co reszta firmy. Złamanie jednego admina domenowego nie może oznaczać padnięcia środowiska wirtualnego i backupów.
• MFA na wszystko i ograniczenie OAuth. Nie pozwalaj userom na dowolne klikanie “Zezwól” dla aplikacji firm trzecich w Google Workspace czy MS365. Zabezpieczaj logowania adminów kluczami FIDO2.
• No i loguj to, czego EDR nie widzi, zbieraj i analizuj logi z vCenter, firewalli i switchy. Szukaj w nich tworzenia nowych ról, snapshotów czy dziwnych logowań SSH. Jak to robić, możesz dowiedzieć się z naszego ostatniego webinara “SOC w Praktyce“.
• Reaguj natychmiast na “błahe” alerty. Jeśli antywirus ubije skrypt z przeglądarki (np. malware “Kliknij tu, aby naprawić błąd wtyczki”), nie zamykaj zgłoszenia — sprawdź dokładnie, czy ułamek sekundy wcześniej nie poszło połączenie zwrotne (reverse shell).

A jeśli jesteś administratorem, który dba o bezpieczeństwo firmowej sieci, wpadnij na nasze szkolenie pt. “Bezpieczeństwo Sieci Komputerowych (testy penetracyjne)” — przez 3 dni w specjalnym labie uczymy jak przejmowane są sieci i jak wytropić atakującego. Minimum teorii, maksimum praktyki. Szkolenie kończy się, kiedy masz uprawnienia administratora na każdej maszynie A po drodze uczysz się technik, z których korzystają atakujący, co pozwoli Ci szybciej ich namierzyć w swojej infrastrukturze. Poniżej najbliższe terminy tego szkolenia: