Firma upadła, bo atakujący odgadł hasło. „Przestępcy cały czas skanują internet"

Współczesny cyberprzestępca działa jak analityk, psycholog i inżynier jednocześnie. Zrozumienie tej logiki to pierwszy krok do skutecznej obrony.

W 2025 r. brytyjska firma logistyczna Knights of Old stanęła przed gigantycznym kryzysem. Największym w jej ponad 150-letniej historii! Jeden z pracowników firmy logował się do wewnętrznych systemów przy użyciu słabego hasła. Bardzo słabego. Bo przestępca, który uderzył w biznes, po prostu je zgadł.

Efekt? Całkowite zaszyfrowanie danych i zablokowanie dostępu dla pracowników. Okup za odblokowanie? 5 mln funtów, czyli niemal 7 mln euro. Takich pieniędzy firma nie miała i upadła. Pracę straciło 700 osób.

Mimo że atak wydaje się absurdalny, przestępcy potrafią łamać większych i bezpieczniejszych graczy.

Ataki, które mrożą krew w firmach

Cyberataki można podzielić na dwie kategorie: celowane i zautomatyzowane. Pierwszy zakłada, że przestępcy wybierają konkretną osobę i/lub firmę. I dostosowują swoje do niej działania. Przykładowo, próbują dostać się do infrastruktury banku lub firmy przemysłowej. Tak działają grupy ze wschodu w ramach wojny hybrydowej.

Drugi rodzaj to ataki zautomatyzowane. Przestępcy tworzą oprogramowanie, korzystające z podatności w jakimś systemie i masowo je rozsyłają lub rozprzestrzeniają. Ci nieprzygotowani stają się ofiarami.

Praktyka jest bardziej skomplikowana.

– Dziś dominują modele hybrydowe. Wejście jest masowe i zautomatyzowane, dalsza część operacji już selektywna. Przestępcy skanują internet w poszukiwaniu podatnych usług, przejętych kont i błędnych konfiguracji. Gdy znajdą środowisko o wysokim potencjale przechodzą do pracy „ręcznej” – tłumaczy Łukasz Fijałkowski, Business Development Manager w Bitdefender.

W praktyce oznacza to rozpoznanie, ruch boczny i przygotowanie właściwego uderzenia, najczęściej ransomware lub kradzieży danych.

– Z danych Verizon wynika, że eksploatacja podatności odpowiada już za około 20 proc. naruszeń i rośnie najszybciej rok do roku, a ransomware pojawia się w blisko połowie incydentów. Kluczowa zmiana polega jednak na tym, że coraz rzadziej mówimy o ataku malware. W większości przypadków mamy do czynienia z operacją opartą na dostępie i kontekście, a nie pojedynczym złośliwym pliku – dodaje Łukasz Fijałkowski.

Rekonesans, czyli zanim padnie pierwszy strzał

Każdy poważniejszy atak zaczyna się od etapu rozpoznania. Napastnicy zbierają informacje o organizacji: strukturze, pracownikach, wykorzystywanych technologiach, a nawet zwyczajach komunikacyjnych. W tym celu korzystają z publicznych źródeł – LinkedIna, ogłoszeń o pracę, stron firmowych czy wycieków danych.

Na tym etapie powstaje mapa potencjalnych punktów wejścia: podatnych systemów, niedoświadczonych pracowników, słabo zabezpieczonych usług zdalnych. W przypadku dużych kampanii proces ten bywa zautomatyzowany – boty skanują internet w poszukiwaniu konkretnych luk lub źle skonfigurowanych serwerów.

– Atakujący buduje obraz organizacji z perspektywy zewnętrznej. Identyfikuje zasoby dostępne z internetu, sprawdza ich konfigurację, wersje oprogramowania i potencjalne luki. Szczególnie podatne są systemy na styku z siecią jak vpn czy urządzenia brzegowe – ocenia Łukasz Fijałkowski.vpn

Równolegle analizowana jest warstwa tożsamości.

Wejście do systemu

Wbrew obiegowym opiniom, najczęstszą drogą do systemów firmowych nie jest zaawansowany exploit, lecz człowiek. Socjotechnika pozostaje jednym z najskuteczniejszych narzędzi.

Ataki phishingowe, czyli nakierowane na pracowników, są dziś wyrafinowane. Przykładowo, wiadomości wyglądają jak autentyczne komunikaty od przełożonych, banków czy partnerów biznesowych. Coraz częściej wykorzystuje się także spear phishing, czyli precyzyjnie przygotowane wiadomości skierowane do konkretnych osób w organizacji.

W praktyce scenariusz wygląda często tak: pracownik działu finansowego otrzymuje e-mail od „prezesa” z pilną prośbą o wykonanie przelewu lub otwarcie załącznika. W rzeczywistości jest to wejście dla malware’u lub próba wyłudzenia danych logowania.

Alternatywą są ataki techniczne – wykorzystujące znane lub nowe (tzw. zero-day) luki w oprogramowaniu. Automatyczne skanery przeszukują internet w poszukiwaniu podatnych systemów, a następnie próbują je przejąć bez udziału człowieka.

– Przejęte dane logowania, tokeny i sekrety stają się najprostszą drogą wejścia. Coraz większą rolę odgrywa też łańcuch dostaw i dostęp pośredni przez partnerów lub zintegrowane usługi. Po uzyskaniu pierwszego dostępu następuje zmiana podejścia. Atak przestaje być dostrzegalny. W ponad 80 proc. poważnych incydentów wykorzystywane są techniki living off the land, czyli nadużycie legalnych narzędzi systemowych. Dzięki temu działania wpisują się w normalny ruch administracyjny i są trudne do odróżnienia od operacji IT – wylicza ekspert Bitdefender.

Cichy lokator w systemie

Kilkanaście dni temu media poinformowały o ogromnym ataku na setki tysięcy stron bazujących na WordPressie. Wszystko przez wtyczkę – a precyzyjnie 30 wtyczek należących do jednej paczki EssentialPlugin.

Historia zaczęła się w połowie 2025 r., kiedy to właściciel pakietu sprzedał prawa do niego tajemniczemu inwestorowi. Ten, korzystając ze swoich możliwości, zainfekował swoje wtyczki oprogramowaniem, które zainstalowało tzw. backdoory, które pozwalają im wracać do systemu nawet po zmianie haseł. O ataku głośno zrobiło się dopiero teraz, bo nowy właściciel zaczął korzystać z backdoora do wykradania baz danych i blokowania stron. Straty są ogromne i pokazują, jak działa współczesny atakujący. Działający na dużą skalę – bo EssentialPlugin zostało przejęte za kilkaset tysięcy dolarów.

Jak to działa? Po uzyskaniu pierwszego dostępu celem atakującego nie jest natychmiastowa destrukcja. Wręcz przeciwnie – kluczowe jest utrzymanie obecności i eskalacja uprawnień.
Cyberprzestępcy instalują backdoory. Następnie przemieszczają się wewnątrz sieci (tzw. lateral movement), szukając bardziej uprzywilejowanych kont – administratorów, działów IT czy zarządu.
W tym czasie analizują także infrastrukturę firmy: gdzie przechowywane są dane, które systemy są krytyczne, które procesy można zakłócić, by zmaksymalizować efekt ataku.

Cel: dane, pieniądze lub chaos

Motywacja zależy od typu grupy. W przypadku cyberprzestępczości finansowej głównym celem są pieniądze – bezpośrednio (np. przelewy) lub pośrednio (sprzedaż danych, ransomware).
Ransomware to dziś jeden z najgroźniejszych scenariuszy. Po cichym przejęciu systemu atakujący szyfrują dane i żądają okupu. Coraz częściej stosują model double extortion – oprócz blokady systemów grożą publikacją skradzionych informacji.

W innych przypadkach dane trafiają na czarny rynek: bazy klientów, dane finansowe, dokumenty strategiczne. Mogą być wykorzystywane do kolejnych ataków lub sprzedaży konkurencji.
Są też operacje o charakterze sabotażowym – szczególnie w kontekście geopolitycznym – których celem jest destabilizacja organizacji lub całych sektorów gospodarki.

Socjotechnika, czyli najsłabsze ogniwo

To człowiek pozostaje największym ryzykiem. Nawet najlepiej zabezpieczony system może zostać zaatakowany, jeśli pracownik nieświadomie „otworzy drzwi”.

Socjotechnika opiera się na emocjach: pośpiechu, strachu, autorytecie. Przykłady są liczne – od fałszywych wiadomości o zaległych płatnościach po podszywanie się pod współpracowników w komunikatorach.

Rozwój AI dodatkowo zwiększa skuteczność takich ataków. Generowane automatycznie wiadomości są coraz trudniejsze do odróżnienia od prawdziwych, a deepfake’i głosowe zaczynają być wykorzystywane w atakach typu CEO fraud.

Czego szuka cyberprzestępca

Łukasz Fijałkowski wskazuje na trzy podstawowe modele ataków. Pierwszy typ to – eksploatacja podatności w usługach dostępnych publicznie.

– Atak zaczyna się od automatycznego wykrycia luki, po czym następuje szybkie uzyskanie dostępu i dalsza już manualna penetracja środowiska. To dziś jeden z najczęstszych scenariuszy wejścia – tłumaczy Łukasz Fijałkowski.

Drugi model to kompromitacja łańcucha dostaw.

– W jednym z ostatnich przypadków z ekosystemu npm przejęto konto maintainer’a biblioteki i opublikowano zmodyfikowaną wersję zawierającą zdalny dostęp. Ofiary instalowały ją w ramach standardowego procesu, traktując jako zaufany komponent. To dobrze pokazuje zmianę podejścia. Atak nie uderza bezpośrednio w organizację tylko w element, któremu ona już ufa – dodaje Łukasz Fijałkowski.

Living off the land, czyli uwaga na nowatorskie podejście

Trzeci model to operacje oparte na living off the land. Po wejściu do środowiska atakujący nie wnosi własnych narzędzi, tylko korzysta z tego, co już jest dostępne w systemie.

– Mówimy tu nie tylko o PowerShell czy WMI, ale o całym ekosystemie natywnych mechanizmów. Dziś znamy ponad 220 takich narzędzi i komponentów w samym Windows, które są regularnie nadużywane w realnych atakach – od mechanizmów skryptowych, przez narzędzia do zarządzania usługami i procesami – po funkcje związane z certyfikatami, aktualizacjami czy diagnostyką – komentuje Łukasz Fijałkowski.

To podejście daje napastnikowi dwie przewagi. Po pierwsze nie musi omijać klasycznych mechanizmów detekcji, opartych na nowych artefaktach, bo nie wprowadza nic „obcego” do środowiska. Po drugie jego działania mieszczą się w ramach tego, co wygląda jak normalna administracja, czyli uruchamianie skryptów, zarządzanie usługami, komunikacja między systemami.

– W efekcie granica między aktywnością operacyjną a atakiem zaczyna się zacierać. To właśnie dlatego ten model jest tak skuteczny i dlatego w większości poważnych incydentów widzimy dziś wykorzystanie living off the land jako podstawy dalszych działań – komentuje Łukasz Fijałkowski.

Jak działają zabezpieczenia

Nowoczesne podejście do bezpieczeństwa zakłada, że atak jest nieunikniony. Kluczowe jest więc nie tylko zapobieganie, ale i wykrywanie oraz reagowanie.

Podstawą są systemy EDR/XDR monitorujące aktywność w sieci i na urządzeniach końcowych. Analizują zachowania, a nie tylko sygnatury zagrożeń, co pozwala wykrywać nawet nieznane wcześniej ataki.

Równie ważna jest segmentacja sieci – ograniczająca możliwość przemieszczania się napastnika – oraz zasada najmniejszych uprawnień (least privilege), minimalizująca ryzyko przejęcia kluczowych kont.

Nie można jednak zapominać o edukacji pracowników. Regularne szkolenia i symulacje phishingowe znacząco zmniejszają skuteczność ataków socjotechnicznych.

Kontrolowane ataki, czyli testowanie odporności

Coraz więcej firm decyduje się na tzw. testy penetracyjne i red teaming. To kontrolowane symulacje ataków, w których eksperci próbują przełamać zabezpieczenia organizacji – dokładnie tak, jak zrobiłby to prawdziwy napastnik.

Tego typu działania pozwalają wykryć luki, których nie widać w standardowych audytach. Pokazują także, jak organizacja reaguje na incydent – czy systemy wykrywania działają, czy procedury są skuteczne, czy zespół potrafi szybko zareagować.

W bardziej zaawansowanych scenariuszach red team współpracuje z blue teamem (obroną), tworząc realistyczne środowisko „cyberwojny”, które testuje całą organizację.

Zdaniem eksperta

Zagrożenie jest realne

Największym zagrożeniem dla polskich firm nie jest dziś jeden dominujący typ ataku, ale model operacyjny współczesnych grup cyberprzestępczych, które łączą automatyzację z ręcznie prowadzoną eksploatacją środowiska.

Atak często zaczyna się od działań masowych: skanowania internetu, identyfikacji podatnych usług, błędów konfiguracyjnych, słabo zabezpieczonych punktów dostępu lub przejętych poświadczeń. To etap szybki, skalowalny i w dużym stopniu zautomatyzowany.
W tym modelu podejście oparte wyłącznie na detekcji jest niewystarczające. Kluczowe staje się ograniczanie powierzchni ataku i redukcja ekspozycji jeszcze przed uzyskaniem dostępu. To szczególnie istotne w kontekście technik living off the Land, obecnych w 84 proc. ataków, które polegają na nadużyciu legalnych narzędzi administracyjnych i funkcji systemowych obecnych już w środowisku, przez co aktywność napastnika zaczyna przypominać normalne działania operacyjne.

Końcowym celem coraz rzadziej jest dziś wyłącznie szyfrowanie. W praktyce chodzi o przejęcie danych, wywarcie presji operacyjnej i biznesowej oraz doprowadzenie organizacji do sytuacji, w której zapłata ma wydawać się najmniej kosztowną decyzją.

Łukasz Fijałkowski

Bitdefender

Główne wnioski

1. Współczesne cyberataki rzadko mają charakter nagły i spektakularny. Zdecydowanie częściej są to procesy rozłożone w czasie, oparte na automatyzacji i dokładnym rozpoznaniu celu. Przykład brytyjskiej firmy logistycznej pokazuje, że nawet proste zaniedbanie, takie jak słabe hasło, może doprowadzić do katastrofalnych skutków biznesowych, włącznie z upadkiem przedsiębiorstwa. Atakujący wykorzystują zarówno narzędzia automatyczne do masowego skanowania internetu, jak i selektywne działania manualne wobec najbardziej wartościowych celów.
2. Rośnie rola tzw. modelu hybrydowego, który łączy automatyczne wykrywanie podatności z ręczną eksploracją przejętych systemów. Cyberprzestępcy coraz częściej koncentrują się na przejęciu dostępu i utrzymaniu obecności w systemie, zamiast jednorazowym wdrożeniu złośliwego oprogramowania. W tym kontekście szczególnie niebezpieczne są techniki living off the land, polegające na wykorzystywaniu legalnych narzędzi systemowych, co utrudnia wykrycie ataku i sprawia, że działania napastnika przypominają standardową aktywność administracyjną.
3. Czynnik ludzki pozostaje najsłabszym ogniwem w systemach bezpieczeństwa. Socjotechnika, phishing i manipulacja emocjami pracowników są nadal jednymi z najskuteczniejszych metod uzyskania dostępu do infrastruktury firmowej. Rozwój sztucznej inteligencji dodatkowo zwiększa skuteczność takich działań, umożliwiając tworzenie coraz bardziej wiarygodnych wiadomości czy nawet deepfake’ów. W efekcie nawet zaawansowane zabezpieczenia technologiczne mogą okazać się niewystarczające bez odpowiedniej edukacji i świadomości użytkowników.