BezpieczeństwoRansomware na święta? Nie prezent, tylko „usługa” z fakturą na wczoraj > Robert Kamiński Opublikowane 18 grudnia 20250 0 148 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Co się dzieje z cyberprzestępczością pod koniec roku, że nagle wszyscy mają „pilne terminy”, „ostatnią szansę” i „przelew do 24 godzin”? I dlaczego coraz częściej wygląda to nie jak dziki napad, tylko jak sprawnie prowadzony biznes?Z najnowszej analizy Palo Alto Networks (Unit 42) wynika, że ransomware na finiszu 2025 roku wchodzi w kolejny etap profesjonalizacji. A to nie jest modne słowo z prezentacji. To jest konkret: więcej narzędzi, więcej ról w zespole, więcej taktyk na raz. I większa presja — dokładnie wtedy, gdy firmy są najbardziej zmęczone, najbardziej obciążone i najbardziej „na skróty”. Sezon wysoki: święta, promocje i… szantaż z deadline’emOkres świąteczny to czas, kiedy organizacje żyją w trybie awaryjnym nawet bez ataku. Logistyka goni, handel mieli transakcje, obsługa klienta łata braki kadrowe, a IT próbuje utrzymać ciągłość, mimo że połowa ludzi ma urlopy albo dyżury „na telefon”.I właśnie w to okno — jak opisuje Unit 42 — wchodzą grupy przestępcze z podniesioną aktywnością i nowym zestawem narzędzi. Nie tylko wykradają dane. Nie tylko szyfrują. Coraz częściej robią wszystko naraz:kradzież danych (żeby mieć „hak”),szantaż i presja czasowa (żeby decyzja była szybka, nie mądra),ransomware (żeby bolało operacyjnie),próby wejścia „od środka”, przez ludzi (żeby ominąć techniczne zabezpieczenia).To nie jest już „atak”. To jest wieloetapowa operacja.Powrót i konsolidacja: Scattered LAPSUS$ HuntersUnit 42 zwraca uwagę na powrót i konsolidację ugrupowania określanego jako Scattered LAPSUS$ Hunters (SLSH). W tej historii najciekawsze (i najbardziej niepokojące) jest to, że grupa łączy kilka technik, które wcześniej często występowały osobno: kradzież danych, szantaż, wykorzystywanie wewnętrznych uprawnień oraz budowę własnego zaplecza technologicznego.W praktyce wygląda to tak: dostęp do danych klientów globalnych platform, szybkie terminy płatności, presja rosnąca z każdym dniem grudnia. Nie muszą mieć perfekcyjnej technologii, jeśli potrafią perfekcyjnie uderzyć w moment, w którym firma nie ma przestrzeni na spokojne działanie.A końcówka roku to moment idealny.„Własne ransomware” – czyli kolejny krok: ShinySp1d3rDrugi wątek z analizy to rozwój własnego programu ransomware, opisywanego jako ShinySp1d3r. To ważne, bo pokazuje przesunięcie: od korzystania z cudzych narzędzi do budowania własnych. A własne narzędzie to:większa kontrola nad tym, jak przebiega atak,łatwiejsze dopasowanie do celu,trudniejsze wykrywanie, bo „sygnatura” nie jest tak ograna,możliwość prowadzenia bardziej złożonych kampanii wymuszeń.Do tego dochodzą publiczne deklaracje o potencjalnych atakach na duże obszary metropolitalne i instytucje państwowe. Unit 42 podkreśla, że część takich zapowiedzi może mieć charakter psychologiczny — ale sama skłonność do ich formułowania mówi dużo o rosnącej pewności siebie i o tym, że barier (moralnych, organizacyjnych, komunikacyjnych) jest coraz mniej.To trochę jak w świecie realnym: nawet jeśli ktoś tylko wymachuje pięścią, to i tak zmienia atmosferę w pokoju.Najsłabsze ogniwo? Coraz częściej nie system, tylko człowiekNajbardziej przyziemny, a przez to najbardziej groźny fragment tej układanki to nasilające się próby pozyskiwania dostępu przez pracowników firm prywatnych. Nie „hackujemy system”. Raczej: „porozmawiajmy z kimś, kto ma dostęp”.Według Palo Alto Networks cyberprzestępcy coraz częściej:skłaniają pracowników do udostępnienia danych,próbują nakłonić do zmian w systemach,celują w sektory pracujące na wysokich obrotach: handel, logistyka, usługi,a nawet próbują kontaktu z osobami z firm zajmujących się bezpieczeństwem IT.To ostatnie jest jak próba przekupienia ochroniarza w banku — niby bezczelne, ale właśnie ta bezczelność jest sygnałem: „czujemy się mocni, próbujemy wszystkiego”.Wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo‑Wschodniej, Wojciech Gołębiowski, podkreśla, że obserwowana jest nowa dynamika: łączenie wyłudzeń, szantażu, ransomware i prób wejścia od środka w jedną, złożoną operację — szczególnie groźną w czasie świątecznego przeciążenia organizacji.Dygresja z życia: dlaczego deadline boli bardziej niż szyfrW wielu firmach największy lęk nie dotyczy samego incydentu, tylko tego, co stanie się „jutro rano”. Bo jutro jest wysyłka. Jutro jest rozliczenie. Jutro jest zamknięcie roku. Jutro jest kampania, która kosztowała milion. I tu wchodzi przestępca cały na czarno, mówiąc: „macie 24 godziny”. To nie jest technika. To jest teatr stresu. A w stresie ludzie podejmują decyzje, których później nie bronią nawet przed samymi sobą. Dlatego te działania — jeśli wierzyć analizie Unit 42 — nie powinny być traktowane jako seria odrębnych incydentów. Raczej jako skoordynowana kampania: dane + presja + narzędzia + infiltracja.To już nie „atak”, tylko model działaniaJeśli ransomware profesjonalizuje się jak firma usługowa, to odpowiedź „kupimy lepszy antywirus” jest jak kupno solidniejszych drzwi do domu, w którym zostawiliśmy klucze pod wycieraczką. Bo dziś gra toczy się jednocześnie na kilku boiskach: technologii, procesów i ludzkich decyzji. A święta są dla atakujących tym, czym dla handlu jest Black Friday — sezonem wysokim. Jeśli coś warto sobie zabrać z tej informacji prasowej, to jedno zdanie w prostym języku: oni liczą na to, że będziesz zmęczony, zajęty i że nie zauważysz „dziwnego” zachowania w systemie albo w skrzynce mailowej.Related PostsPrzeczytaj również! Zatrucie SEO: Jak hakerzy wykorzystują wyszukiwarki, aby atakować firmy? Zanim kupisz kolejną licencję, odpowiedz na jedno pytanie Wzrost kosztów związanych z wyciekami danych w branży medycznej. Decyzje podejmowane ad hoc mogą być kosztowne