Globalny krajobraz cyberzagrożeń przeszedł głęboką transformację w 2024 roku, czego dowodem są kluczowe wnioski z Raportu Global Threat Report 2025 firmy CrowdStrike. Dokument ujawnia eskalację ataków sponsorowanych przez państwa, radykalny wzrost wykorzystania generatywnej sztucznej inteligencji przez przestępców oraz krytyczne luki w zabezpieczeniach infrastruktury chmurowej. Poniższa analiza przedstawia najważniejsze trendy, incydenty i rekomendacje dla organizacji dążących do wzmocnienia cyberodporności.
Kluczowe dane z raportu
Działalność chińskich grup powiązanych z państwem odnotowała 150% wzrost w skali globalnej w porównaniu z rokiem poprzednim. Sektory takie jak usługi finansowe, media i produkcja doświadczyły nawet 300% skoku w liczbie ataków.
Sednem tej transformacji jest przejście od tradycyjnej kradzieży własności intelektualnej do długoterminowej infiltracji krytycznej infrastruktury.
Nowe zespoły hakerów, takie jak siedem niedawno zidentyfikowanych grup operujących pod auspicjami Chin, specjalizują się w technikach ukierunkowanych na konkretne branże. W sektorze telekomunikacyjnym zaobserwowano np. zaawansowane manipulacje protokołami komunikacyjnymi. Te manipulacje umożliwiają niejawną eksfiltrację danych.
Metody te świadczą o rosnącym wyrafinowaniu technicznym i strategicznym podejściu do cyberwojny. Priorytetem stało się utrzymanie utajnionej obecności w systemach ofiar.
Eksperci zwracają uwagę na geopolityczny wymiar tych działań – Chiny nie tylko gromadzą dane, ale również przygotowują grunt pod potencjalne zakłócenia w kluczowych momentach geopolitycznych napięć. Przykładem jest wykorzystanie skompromitowanych routerów w Stanach Zjednoczonych do maskowania pochodzenia ataków i omijania tradycyjnych mechanizmów obronnych.
Kryzys cyber tożsamości
Rewolucja w taktykach ataku objawiła się gwałtownym spadkiem znaczenia złośliwego oprogramowania. 79% incydentów w 2024 roku obejmowało tzw. „hands-on keyboard intrusions”, gdzie napastnicy wykorzystują skradzione dane uwierzytelniające do podszywania się pod uprawnionych użytkowników.
Adam Meyers z CrowdStrike porównuje tę taktykę do próby przemytu butelki wody przez kontrolę bezpieczeństwa na lotnisku. Tradycyjne skanery wykryją metalowy przedmiot, ale legalnie wyglądający pasażer przejdzie niezauważony.
Skutkiem tej tendencji jest 442% wzrost liczby ataków vishingowych (phishing głosowy) w drugiej połowie 2024 roku. Przestępcy wykorzystują generatywną AI do tworzenia realistycznych nagrań głosowych. Podszywają się np. pod pracowników działów IT proszących o reset hasła. W odpowiedzi firmy takie jak Microsoft i Google wdrażają systemy weryfikacji biometrycznej. Te systemy opierają się na analizie ruchu gałek ocznych czy dynamiki pisania na klawiaturze.
Phishing napędzany AI
Szczególnym wyzwaniem okazały się operacje północnokoreańskiej grupy FAMOUS CHOLLIMA, odpowiedzialnej za 304 udokumentowane incydenty w 2024 roku4. W 40% przypadków mówimy o zagrożeniach wewnętrznych. Agenci zdobywali zatrudnienie w firmach technologicznych dzięki spreparowanym profilom LinkedIn i deepfake’owym rozmowom rekrutacyjnym. Po infiltracji przeprowadzali systematyczną kradzież kodów źródłowych, dokumentacji patentowej i danych klientów.
Zagrożenia związane z chmura publiczną
Wzrost incydentów w środowiskach chmurowych o 26% r/r wskazuje na zmianę priorytetów przestępców. Atakujący koncentrują się na:
- Nadużywaniu uprawnień kont usługowych (35% incydentów w I połowie 2024)
- Łańcuchowym wykorzystaniu luk w aplikacjach SaaS
- Eksploitacji błędnie skonfigurowanych bucketów S3 i baz danych NoSQL
Przykładowo, grupa CURLY SPIDER opracowała metodologię „lateral password spraying„. Metodologia ta polega na automatycznym testowaniu wyciekłych haseł w różnych usługach chmurowych jednego dostawcy. W jednym przypadku uzyskano w ten sposób dostęp do 142 kont korporacyjnych w ciągu 48 godzin.
Podsumowanie – ewolucja Cyberzagrożeń – raport CrowdStrike 2025
W odpowiedzi na te wyzwania CrowdStrike proponuje rewizję klasycznych modeli bezpieczeństwa. Kluczowe rekomendacje obejmują:
- Wdrożenie uwierzytelniania wieloskładnikowego (MFA) opartego na kluczach sprzętowych FIDO2
- Implementację architektury Zero Trust z ciągłą weryfikacją kontekstu dostępu
- Konsolidację widoczności w środowiskach hybrydowych poprzez platformy takie jak Falcon Exposure Management
- Inwestycje w threat hunting oparty na analizie behawioralnej użytkowników i encji systemowych
Warto podkreślić, że czas reakcji na naruszenie (breakout time) skrócił się do rekordowych 48 minut dla grup eCrime. Najszybszy odnotowany incydent trwał zaledwie 51 sekund. Ta statystyka uzmysławia konieczność automatyzacji odpowiedzi i prewencyjnego modelu bezpieczeństwa.