Jakie złośliwe programy atakują polskie sieci na początku 2025 roku?

Przeczytaj także: Najgroźniejsze złośliwe programy w lutym 2025

Od początku 2025 roku Polska znajduje się w europejskiej czołówce najbardziej zagrożonych państw pod względem cyberataków. Polskie przedsiębiorstwa atakowane są średnio 1500 razy w tygodniu. Najbardziej zagrożone sektory to sektor użyteczności publicznej rządowo-wojskowy (ponad 2000 ataków) oraz finansowy. Głównym wektorem ataków na polskie firmy jest e-mail - aż 6 na 10 ataków jest efektem otwarcia przez użytkowników (indywidualnych, pracowników firm lub administracji) wiadomości ze złośliwym linkiem lub zaszytym szkodliwym oprogramowaniem.

Analitycy Check Point ujawnili, jakie programy atakują polskie sieci oraz w jaki sposób zarażają użytkownikom.

1. Formbook – wykradanie danych i monitorowanie użytkownika
   
   Formbook to zaawansowany wirus typu infostealer, po raz pierwszy zidentyfikowany w 2016 roku. Jego głównym celem jest kradzież danych uwierzytelniających z przeglądarek internetowych, przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy oraz pobieranie i uruchamianie dodatkowych ładunków złośliwego oprogramowania. Formbook rozprzestrzenia się głównie poprzez kampanie phishingowe, zainfekowane załączniki e-mailowe oraz strony internetowe podszywające się pod legalne serwisy. W styczniu wpłynął na 2,56% polskich sieci.
2. Remcos – zdalna kontrola systemu
   
   Remcos to trojan zdalnego dostępu (RAT), który po raz pierwszy pojawił się w 2016 roku. Jest dystrybuowany poprzez zainfekowane dokumenty Microsoft Office, dołączane do wysyłanych przez hakerów wiadomości spamowych. Jego celem jest ominięcie zabezpieczeń systemu Windows (m.in. UAC) oraz uruchomienie złośliwego kodu z podwyższonymi uprawnieniami. Pozwala cyberprzestępcom na przejęcie pełnej kontroli nad zaatakowanym systemem, co może prowadzić do wycieku poufnych danych oraz dalszych infekcji. W styczniu 2025 roku Remcos wpłynął na 2,38% polskich sieci.
3. FakeUpdates – fałszywe aktualizacje przeglądarki
   
   FakeUpdates (znane również jako SocGholish) to downloader malware – wirus, który po raz pierwszy został wykryty w 2018 roku. Rozprzestrzenia się poprzez strony internetowe, które skłaniają użytkowników do pobrania rzekomej aktualizacji przeglądarki. W rzeczywistości infekuje system, instalując dodatkowe złośliwe oprogramowanie, które może posłużyć do dalszych ataków, w tym instalacji ransomware. FakeUpdates, powiązane z rosyjską grupą hakerską Evil Corp, wpłynął na 2,01% polskich sieci. Narzędzie okazało się też liderem wśród wszystkich złośliwych programów w skali całego świata.

AI pomaga cyberprzestępcom w atakach

Sztuczna inteligencja przekształca krajobraz zagrożeń cybernetycznych, a cyberprzestępcy szybko rozwijają swoje metody, wykorzystując AI do automatyzacji, skalowania swoich taktyk oraz zwiększania swoich możliwości. Aby skutecznie przeciwdziałać tym zagrożeniom, administracja państwowa i organizacje muszą wyjść poza tradycyjne mechanizmy obronne i wdrożyć proaktywne środki bezpieczeństwa oparte również na AI, które pozwolą przewidzieć pojawiające się ryzyka – mówi Maya Horowitz, wiceprezes ds. badań w Check Point Software.

Niedawne dochodzenie przeprowadzone przez badaczy ds. bezpieczeństwa ujawniło, że jeden z afiliantów RansomHub wykorzystał backdoor oparty na Pythonie do utrzymania trwałego dostępu i wdrażania oprogramowania ransomware w różnych sieciach. Zainstalowany krótko po uzyskaniu początkowego dostępu przez FakeUpdates, backdoor wykorzystywał zaawansowane techniki zaciemniania kodu oraz wzorce programowania wspomagane przez AI. Atak obejmował ruch lateralny poprzez protokół zdalnego pulpitu (RDP) oraz ustanowienie trwałego dostępu poprzez tworzenie zaplanowanych zadań.

Jak się chronić?

Aby skutecznie przeciwdziałać tego typu zagrożeniom, eksperci Check Pointa zalecają nie otwieranie załączników e-mailowych od nieznanych nadawców, regularne aktualizowanie systemów operacyjnych i oprogramowania antywirusowego, a także wykorzystywanie silnych haseł i uwierzytelniania wieloskładnikowego. Ważnym elementem jest również szkolenie pracowników oraz użytkowników na temat zagrożeń cybernetycznych, a także monitorowanie aktywności sieciowej w poszukiwaniu podejrzanych zachowań.

Cyberbezpieczeństwo to proces, który wymaga ciągłej uwagi i dostosowywania się do nowych zagrożeń. W obliczu rosnącej liczby cyberataków, warto inwestować w zaawansowane technologie ochronne oraz wdrażać skuteczne strategie zarządzania ryzykiem.