Firma HPE opublikowała wyniki swojego pierwszego raportu z badań nad cyberzagrożeniami. Przeprowadzona analiza zagrożeń obserwowanych na całym świecie w 2025 roku wykazała, że cyberprzestępczość ulega systematycznej profesjonalizacji – atakujący wykorzystują automatyzację oraz znane od dawna luki w zabezpieczeniach. Ponadto prowadzą wielkoskalowe kampanie w tempie, które utrudnia organizacjom szybką reakcję. Cyberzagrożenia to wyzwanie dla każdej branży. Przeczytaj ten artykuł, by poznać najważniejsze wnioski z globalnego badania.
HPE Threat Labs to specjaliści ds. badań nad bezpieczeństwem oraz analitycy z HPE i Juniper Networks. Właśnie opublikowali po raz pierwszy raport analizujący globalne cyberzagrożenia.
„In the Wild Threat Report” analizuje i omawia 1186 aktywnych, globalnych kampanii cyberataków odnotowanych w okresie od 1 stycznia do 31 grudnia 2025 roku. Raport wskazuje na istnienie szybko rozwijającego się ekosystemu, którego cechy to profesjonalizm, automatyzacja i strategiczne podejście do dobierania celów. Atakujący wykorzystują powtarzalne mechanizmy infrastrukturalne oraz istniejące od dawna luki w zabezpieczeniach. Dzięki temu mogą precyzyjnie atakować sektory o dużej wartości. Zdolność do skutecznej obrony przed tymi agresywnymi działaniami i utrzymania bezpieczeństwa działań w firmowych sieciach stanowi priorytet biznesowy dla współczesnych firm.
Mounir Hahad, Head of HPE Threat Labs, HPE: „Nasze badania opierają się na rzeczywistej aktywności cyberprzestępców, a nie na teoretycznych testach laboratoryjnych. Pokazują one, jak atakujący zachowują się w prowadzonych obecnie kampaniach, jak się dostosowują i w jakich sytuacjach odnoszą sukcesy. Analizy te pomagają udoskonalić narzędzia do wykrywania zagrożeń, wzmocnić systemy obronne oraz zapewnić klientom jaśniejszy obraz zagrożeń dla ich danych, infrastruktury i działalności operacyjnej. Przekłada się to na wyższy poziom bezpieczeństwa, krótszy czas reakcji oraz większą odporność w obliczu coraz lepiej zorganizowanych ataków”.
Public na cyfrowym celowniku
Zespół HPE Threat Labs odnotował wzrost zarówno liczby ataków, jak i stopnia zaawansowania stosowanych przez cyberprzestępców taktyk i technik. Atakujący, w tym grupy szpiegowskie współpracujące z państwami oraz zorganizowane grupy cyberprzestępcze, coraz częściej prowadzili swoje działania na wzór dużych organizacji. Wykorzystywali hierarchiczne struktury dowodzenia, wyspecjalizowane zespoły i sprawną koordynację. To pozwoliło im na stosowanie rozbudowanych, działających na przemysłową skalę infrastruktur do prowadzenia ataków. Grupy te cechuje również dogłębna znajomość powszechnie używanych aplikacji biznesowych i dokumentów. Warto podkreślić, że cyberzagrożenia stale się rozwijają. Co więcej, ewoluują wraz z nowymi technologiami.
Na całym świecie to instytucje administracji publicznej były najczęściej atakowanym sektorem. W ramach analizowanego zbioru odnotowano 274 kampanie skierowane przeciwko organom centralnym, regionalnym i miejskim. Tuż za nimi uplasowały się sektory finansowy i technologiczny (odpowiednio 211 i 179 kampanii), co wynika z faktu, że dane o wysokiej wartości i korzyści finansowe są głównym celem atakujących. Często atakowano również podmioty z sektorów: obronności, produkcji, telekomunikacji, opieki zdrowotnej i edukacji. Wyniki te wskazują, że atakujący skupiają się na sektorach związanych z infrastrukturą krajową, danymi wrażliwymi i stabilnością gospodarczą. Potwierdzają również, że żaden sektor nie jest bezpieczny przed cyberzagrożeniami.
W ciągu roku cyberprzestępcy uruchomili ponad 147 000 złośliwych domen, prawie 58 000 plików złośliwego oprogramowania i aktywnie wykorzystali 549 luk w zabezpieczeniach.
Vishing i phishing – mocna para
Atakujący zaczęli również stosować nowe techniki w celu zwiększenia szybkości i skuteczności swoich działań. W niektórych atakach, na platformach takich jak Telegram, wykorzystywano zautomatyzowane procesy przypominające „linie produkcyjne”. Tego typu procesy pozwalały w czasie rzeczywistym przeprowadzać eksfiltrację skradzionych danych. W innych przypadkach wykorzystywano generatywną sztuczną inteligencję do tworzenia syntetycznych głosów i filmów typu deepfake. Te materiały były używane w ukierunkowanych atakach phishingowych wideo („vishing”) oraz oszustwach polegających na podszywaniu się pod kadrę zarządzającą. Jedna z grup przestępczych prowadziła badania rynkowe dotyczące luk w zabezpieczeniach wirtualnych sieci prywatnych (VPN). Robiono to w celu optymalizacji swojej strategii włamaniowej. Warto zauważyć, że cyberzagrożenia wciąż stają się coraz bardziej złożone.
Strategie te pozwoliły cyberprzestępcom działać szybciej, docierać do większej liczby celów i skupiać swoje działania na sektorach związanych z infrastrukturą krajową, danymi o znaczeniu krytycznym oraz stabilnością gospodarczą. Dzięki usprawnieniu procesów i koncentracji na celach o wysokiej wartości cyberprzestępcy byli w stanie osiągać korzyści finansowe z większą skutecznością. Wybrali cele pozwalające na osiągnięcie najwyższych zysków.
Wzmacnianie cyberodporności – rekomendacje
Autorzy raportu podkreślają, że skuteczna obrona zależy nie tyle od liczby używanych narzędzi, co od lepszej koordynacji, widoczności i szybkości reakcji w całej organizacji. Poniższe działania mogą przyczynić się do poprawy bezpieczeństwa: Najważniejsze jest zrozumienie, jak poważne mogą być cyberzagrożenia dla każdego przedsiębiorstwa.
- Likwidacja silosów poprzez wymianę informacji o zagrożeniach między zespołami w firmie, klientami i branżami. W tym samym czasie konieczne jest wykorzystanie podejścia SASE (Secure Access Service Edge) w celu ujednolicenia sieci i zabezpieczeń. Ponadto możliwe jest szybsze wykrywanie schematów ataków.
- Zabezpieczenie typowych punktów wejścia, takich jak sieci VPN, SharePoint i urządzenia brzegowe. Dzięki temu można zmniejszyć ryzyko i zablokować często wykorzystywane ścieżki dostępu do sieci.
- Stosowanie zasad „zero trust” w celu wzmocnienia procesu uwierzytelniania i ograniczenia ruchu poprzecznego. Należy pamiętać, że dostęp do sieci w modelu „zero trust” (ZTNA) zapewnia ciągłą weryfikację użytkowników i urządzeń przed przyznaniem dostępu.
- Poprawa widoczności i szybkości reakcji dzięki analizie zagrożeń, technologiom dezinformacyjnym i wykrywaniu opartemu na sztucznej inteligencji. Pomaga to wykrywać, analizować i reagować na ataki z większą szybkością i dokładnością.
- Rozszerzenie zabezpieczeń poza granice firmy na sieci domowe, narzędzia firm trzecich i łańcuchy dostaw.
