Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
2 grudnia 2025
1. NEWS
Koniec CryptoMixer – Europol przejmuje miliony euro
Międzynarodowa operacja organów ścigania doprowadziła do zamknięcia serwisu CryptoMixer, który przez lata służył cyberprzestępcom do prania brudnych kryptowalut (głównie z ataków ransomware). Europol skonfiskował serwery oraz aktywa o wartości około 25 milionów euro, zadając potężny cios podziemnej ekonomii. To wyraźny sygnał, że anonimowość w blockchainie jest coraz trudniejsza do utrzymania, a "mikserów" ubywa z każdym miesiącem.
Źródło: cyberdefence24.pl [PL]
Krytyczna dziura w Fortinet – FortiWeb Manager pod ostrzałem
CERT Polska ostrzega przed aktywnie wykorzystywaną, krytyczną podatnością w urządzeniach Fortinet FortiWeb Manager. Luka pozwala napastnikom na zdalne wykonanie kodu (RCE) bez uwierzytelnienia, co w praktyce oznacza przejęcie kontroli nad urządzeniem. Administratorzy powinni natychmiast zapoznać się z komunikatem i wdrożyć poprawki, ponieważ czas reakcji w przypadku tak poważnych błędów liczony jest w godzinach.
Źródło: moje.cert.pl [PL]
VPN to za mało – CISA ostrzega przed fałszywym poczuciem bezpieczeństwa
Amerykańska agencja CISA wydała ostrzeżenie, przypominając, że samo korzystanie z VPN nie gwarantuje pełnej ochrony przed cyberatakami. Wskazano na rosnącą liczbę incydentów, w których napastnicy przełamują zabezpieczenia bram VPN lub wykorzystują skradzione poświadczenia, omijając tunelowane połączenia. Eksperci zalecają wdrożenie architektury Zero Trust, zamiast polegania wyłącznie na "bezpiecznym tunelu" do firmowej sieci.
Źródło: cyberdefence24.pl [PL]
Polskie wojsko na celowniku – 5 razy więcej ataków
Statystyki są alarmujące: liczba cyberataków wymierzonych w sieci wojskowe w Polsce wzrosła aż pięciokrotnie w porównaniu do poprzednich okresów. Eksperci wiążą ten skok z trwającą wojną hybrydową oraz zwiększoną aktywnością grup APT powiązanych ze wschodnimi reżimami. Sytuacja ta wymusza ciągłą modernizację systemów obronnych i zwiększenie czujności personelu wojskowego.
Źródło: crn.pl [PL]
Izrael zakazuje oficerom używania Androida
W obawie przed szpiegostwem i wyciekiem danych, izraelska armia (IDF) wprowadza zakaz korzystania z telefonów z systemem Android przez oficerów o stopniu pułkownika i wyższym. Decyzja ta podyktowana jest otwartością systemu Google, która zdaniem wojskowych ekspertów stwarza większe pole do nadużyć niż zamknięty ekosystem Apple. To radykalny krok, który pokazuje, jak poważnie traktowane jest bezpieczeństwo operacyjne (OPSEC) na najwyższych szczeblach dowodzenia.
Źródło: cyberdefence24.pl [PL]
2. INCYDENTY
Aplikacja SmartTube na Android TV zainfekowana
Popularna, nieoficjalna aplikacja YouTube dla telewizorów – SmartTube – padła ofiarą ataku na łańcuch dostaw. Deweloperzy potwierdzili, że przez krótki czas serwowana była złośliwa aktualizacja, która mogła instalować dodatkowe malware na urządzeniach użytkowników. Incydent ten przypomina o ryzyku związanym z instalowaniem oprogramowania spoza oficjalnych sklepów (sideloading), nawet jeśli pochodzi ono od zaufanych twórców społecznościowych.
Źródło: bleepingcomputer.com [EN]
Kraken Ransomware – ewolucja szyfrowania
Analiza techniczna nowego wariantu ransomware Kraken ujawnia zaawansowane techniki unikania detekcji, w tym dynamiczną zmianę sposobu szyfrowania plików. Twórcy złośliwego oprogramowania implementują coraz bardziej skomplikowane metody maskowania swojej aktywności, co utrudnia działanie systemom EDR. Artykuł na Sekuraku rozkłada na czynniki pierwsze ten "benchmark infrastruktury" przestępców, pokazując wyścig zbrojeń między atakującymi a obrońcami.
Źródło: sekurak.pl [PL]
PESEL-e Polaków hulają w Excelach – Google Hacking w akcji
Proste zapytania w wyszukiwarce Google (tzw. Google Dorks) pozwoliły na odnalezienie setek plików Excel zawierających numery PESEL i inne dane osobowe Polaków. Wycieki te wynikają z ludzkich błędów i niewłaściwej konfiguracji serwerów, które indeksują pliki, które nigdy nie powinny być publiczne. To brutalne przypomnienie, że najsłabszym ogniwem cyberbezpieczeństwa często pozostaje nieostrożny administrator lub pracownik biurowy.
Źródło: cyberdefence24.pl [PL]
Glassworm powraca – złośliwe pakiety w VS Code
Programiści znów są celem: wykryto trzecią falę kampanii Glassworm, polegającą na umieszczaniu złośliwych rozszerzeń w marketplace dla Visual Studio Code. Fałszywe dodatki, podszywające się pod popularne narzędzia, mają na celu kradzież kodu źródłowego i danych dostępowych ze środowisk deweloperskich. Atakujący liczą na pośpiech programistów, którzy instalują pakiety bez weryfikacji ich autentyczności.
Źródło: bleepingcomputer.com [EN]
3. CIEKAWOSTKI
Google przyłapane na kradzieży... przepisu na AI
Wpadka wizerunkowa giganta z Mountain View: Google usunęło post na platformie X po tym, jak wyszło na jaw, że użyli infografiki stworzonej przez konkurencję do promowania własnych modeli AI. Sytuacja jest ironiczna, biorąc pod uwagę toczące się dyskusje o prawach autorskich w dobie sztucznej inteligencji. Pokazuje to, że nawet największe korporacje technologiczne mają problemy z weryfikacją źródeł materiałów marketingowych.
Źródło: bleepingcomputer.com [EN]
Nowy Outlook nie lubi Excela?
Użytkownicy nowego klienta poczty Outlook zgłaszają problemy z otwieraniem załączników w formacie Excel, co Microsoft oficjalnie potwierdził. Błąd ten utrudnia pracę biurową, wymuszając na użytkownikach stosowanie obejść, takich jak zapisywanie plików na dysku przed otwarciem. To kolejny przykład na to, że nowoczesne wersje oprogramowania, mimo że ładniejsze, często borykają się z problemami wieku dziecięcego.
Źródło: bleepingcomputer.com [EN]
Cryptomator – sposób na prywatność w chmurze
Artykuł przypomina o narzędziu Cryptomator, które rozwiązuje problem braku zaufania do dostawców chmurowych (Google Drive, Dropbox itp.). Program ten szyfruje pliki po stronie klienta (client-side encryption) przed wysłaniem ich do chmury, dzięki czemu dostawca usługi widzi tylko cyfrowy szum. To "must-have" dla osób, które chcą korzystać z wygody chmury, ale nie chcą oddawać swojej prywatności w ręce korporacji.
Źródło: avlab.pl [PL]
4. NOWE PRÓBY OSZUSTW I SCAMÓW
Masowy atak na "profil zaufany" – uważaj na domenę gov.pl
CSIRT NASK ostrzega przed nową falą phishingu, w której oszuści podszywają się pod serwisy rządowe w domenie gov.pl. Przestępcy wysyłają wiadomości sugerujące konieczność aktualizacji profilu zaufanego lub odbioru rzekomych świadczeń, kierując na fałszywe strony wyłudzające dane logowania. Kampania jest dopracowana wizualnie, co zwiększa ryzyko nabrania się mniej technicznych użytkowników.
Źródło: moje.cert.pl [PL]
Android Malware drenuje konta bankowe
Eksperci z Malwarebytes zidentyfikowali nowe zagrożenie na Androida, które pozwala przestępcom przejąć pełną kontrolę nad telefonem i opróżnić konta bankowe ofiary. Złośliwe oprogramowanie często ukrywa się w aplikacjach udających narzędzia systemowe lub gry i wykorzystuje uprawnienia dostępności (Accessibility Services) do automatyzacji kradzieży. To kolejne ostrzeżenie, by nie instalować aplikacji z nieznanych źródeł i kontrolować przyznawane uprawnienia.
Źródło: malwarebytes.com [EN]
Ostrzeżenie dla klientów Mastercard i Orange*
CERT Orange Polska wydał komunikat dotyczący kampanii phishingowej wycelowanej w użytkowników kart Mastercard. Oszuści rozsyłają fałszywe powiadomienia o rzekomej blokadzie karty lub podejrzanych transakcjach, próbując wyłudzić pełne dane karty płatniczej. Jak zawsze w takich przypadkach: nie klikamy w linki z SMS-ów i weryfikujemy informacje bezpośrednio w aplikacji bankowej.
Źródło: dobreprogramy.pl [PL]
Cyber Monday: Żniwa dla oszustów*
Wojska Obrony Cyberprzestrzeni przypominają, że okres Cyber Monday to czas wzmożonej aktywności oszustów tworzących fałszywe sklepy internetowe. Kuszące promocje "-90%" to zazwyczaj pułapka mająca na celu kradzież pieniędzy lub danych karty kredytowej. Warto zachować chłodną głowę i weryfikować opinie o sklepie przed dokonaniem płatności, zwłaszcza gdy oferta wydaje się zbyt piękna, by była prawdziwa.
Źródło: dobreprogramy.pl [PL]
5. PRÓBY DEZINFORMACJI
Iran łączy cyberataki z działaniami kinetycznymi*
Raport Dark Reading wskazuje na nową strategię Iranu, który coraz śmielej łączy operacje w cyberprzestrzeni z fizycznymi atakami militarnymi. Elementem tej strategii jest nie tylko niszczenie infrastruktury, ale także operacje psychologiczne i dezinformacyjne mające na celu sianie paniki w społeczeństwach przeciwników. To przykład nowoczesnej wojny hybrydowej, gdzie granica między atakiem hakerskim a propagandą wojenną zaciera się, tworząc spójny front uderzeniowy.
Źródło: darkreading.com [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.