Dominacja phishingu, ataków DDoS i wykorzystywania podatności
Przeglądając raport, trudno nie zauważyć jednej rzeczy: cyberzagrożenia przestały być rozproszone i incydentalne. Zamiast tego układają się w kilka bardzo wyrazistych, wręcz przewidywalnych trendów. Na pierwszym miejscu bezapelacyjnie znajduje się phishing - narzędzie stare jak internet, a jednocześnie wciąż najskuteczniejsze. ENISA wskazuje, że aż 60% wszystkich incydentów rozpoczyna się od ataku phishingowego. I choć mogłoby się wydawać, że jesteśmy przyzwyczajeni do tego rodzaju oszustw, to ich nowa odsłona, wzbogacona o sztuczną inteligencję, stanowi zupełnie inny poziom zagrożenia. Wiadomości przygotowywane przez generatywne modele AI są nie tylko wolne od błędów — są naturalne stylistycznie, dostosowane do odbiorcy, a czasem nawet imitują jego sposób pisania. Dla wielu organizacji to bariera nie do przejścia.
Drugim dominującym wektorem zagrożeń są podatności w oprogramowaniu. Ponad 21% udanych ataków wynikało z wykorzystania luk, często takich, które od miesięcy były publicznie znane. To potwierdza brutalną prawdę: system patchowania w wielu firmach jest nadal traktowany jako proces drugorzędny, który „można zrobić jutro”. Niestety, jutro często jest już za późno. ENISA podkreśla, że około 70% udanych exploitów kończy się pełnym przejęciem systemu. Tak więc atakujący nie tylko dostają się do infrastruktury, lecz często pozostają tam na długo, niepostrzeżenie kopiując dane, przygotowując się do ataków ransomware lub zakładając tzw. backdoory.
Nie można także pominąć zjawiska, które liczbowo wręcz dominuje nad wszystkimi innymi incydentami - ataków DDoS. Aż trzy czwarte wszystkich zgłoszonych incydentów ma charakter wolumetryczny, co nie oznacza, że są one najbardziej destrukcyjne, ale z pewnością najbardziej uciążliwe i widoczne. To efekt rosnącej aktywności grup hacktywistycznych, szczególnie tych powiązanych z Rosją, które traktują cyberprzestrzeń jak scenę do politycznego teatru. Często nie chodzi o wyrządzenie realnych szkód, lecz o demonstrację siły, zdolności i obecności.
AI jako motor napędowy zagrożeń
Jednym z najbardziej fascynujących, ale i niepokojących elementów raportu jest rola sztucznej inteligencji w cyberzagrożeniach. Według ENISA, ponad 80% kampanii phishingowych wykorzystuje obecnie generatywną AI. To jeden z powodów, dla których wskaźniki skuteczności phishingu rosną, a klasyczne narzędzia detekcyjne radzą sobie coraz gorzej.
AI nie ogranicza się jednak wyłącznie do generowania wiadomości. Pojawia się w tworzeniu deepfake’ów wykorzystywanych w atakach na finanse (np. podszywanie się pod prezesa podczas rozmowy wideo), przy analizie kodu źródłowego w poszukiwaniu podatności, a także jako narzędzie do tworzenia fałszywych pakietów Pythona czy aplikacji udających popularne modele AI, których jedynym celem jest infekowanie systemów.
W raporcie zwrócono również uwagę na zjawisko „slopsquattingu”, czyli sytuacji, w której atakujący publikują pakiety o nazwach wygenerowanych przez halucynujące modele AI (np. gdy model podaje błędną nazwę biblioteki). Te fałszywe pakiety następnie trafiają do deweloperów lub automatów CI/CD, co otwiera drogę do cichych ataków typu supply chain.
Najbardziej zagrożone sektory w UE
Wśród wszystkich sektorów szczególnie wyróżnia się administracja publiczna, która już drugi rok z rzędu pozostaje najbardziej atakowanym obszarem w Europie. Wynika to z kilku powodów. Instytucje publiczne przechowują ogromne ilości wrażliwych danych, często operują na złożonych i przestarzałych systemach, a dodatkowo są atrakcyjnym celem politycznym. Każdy atak na urząd państwowy generuje medialny rozgłos, co sprawia, że hacktywiści traktują je jako doskonałe narzędzie nacisku.
Przytłaczająca większość incydentów w administracji to DDoS, ale pojawiają się również ataki ransomware. Jeszcze bardziej niepokojące są kampanie szpiegowskie prowadzone przez grupy APT powiązane z Rosją, Chinami czy Koreą Północną. Skupiają się one na inwigilacji instytucji dyplomatycznych, partii politycznych i struktur rządowych, często w sposób długotrwały i dyskretny.
Transport, drugi najbardziej zagrożony sektor, zmaga się głównie z intensywnymi kampaniami DDoS. Najczęściej atakowane jest lotnictwo, gdzie zakłócane bywają systemy rezerwacyjne, strony informacyjne czy interfejsy dla pasażerów. Coraz częściej obserwujemy również próby ingerencji w systemy OT, takie jak urządzenia sterujące lotniskami czy sieci kolejowe, co potencjalnie może mieć realny wpływ na bezpieczeństwo fizyczne.
Trzeci sektor, infrastruktura cyfrowa, obejmuje telekomunikację, centra danych oraz dostawców usług chmurowych. Ten obszar stanowi fundament europejskiej gospodarki cyfrowej, dlatego jest szczególnie atrakcyjny dla agresorów. Ataki wymierzone w dostawców usług chmurowych czy hostingowych często mają charakter kaskadowy - uderzają nie tylko w operatora, lecz także w wszystkie organizacje, które na nim polegają.
Sektor finansowy, choć odpowiada za jedynie 4,5% incydentów, jest jednym z najbardziej narażonych na straty. ENISA podkreśla, że to właśnie tutaj ransomware i wycieki danych mają największą wartość dla przestępców. Dodatkowo instytucje finansowe są celem państwowych grup, z których najbardziej aktywna pozostaje północnokoreańska grupa Lazarus - od lat wyspecjalizowana w kradzieży środków oraz infiltracji giełd kryptowalutowych.
Produkcja, choć plasuje się dopiero na piątym miejscu, doświadcza coraz poważniejszych incydentów. Ataki na systemy OT, szczególnie w przemyśle obronnym i automotive, mogą zakłócać linie produkcyjne, prowadzić do strat finansowych oraz narażać firmy na utratę reputacji.
Cyberprzestępczość i ransomware
W obszarze cyberprzestępczości niekwestionowanym liderem pozostaje ransomware oraz działalność powiązana z wyciekami danych. Około 80% wszystkich incydentów o charakterze przestępczym dotyczy właśnie tych kategorii. Co ciekawe, obserwujemy wyraźną fragmentację ekosystemu ransomware - pojawiają się nowe, mniejsze grupy, wykorzystujące narzędzia wyciekłe z dużych gangów, a także rozwijające własne programy w modelu Ransomware-as-a-Service.
Szczególną uwagę zwraca także handel dostępami. Na forach darknetu ogromną popularnością cieszą się aukcje, w których przestępcy sprzedają dostęp do firmowych VPN-ów, kont administratorów czy paneli zarządzania. Dla wielu gangów ransomware to właśnie zakup gotowego dostępu jest pierwszym krokiem do pełnej infiltracji.
Cyberwojna i działalność państwowa
Raport ENISA pokazuje, że cyberprzestrzeń stała się areną działań nie tylko przestępców, lecz także państw. Aż 46 grup powiązanych z rządami prowadziło operacje na terenie UE — przede wszystkim Rosji, Chin, Korei Północnej oraz w rosnącym stopniu Indii. Działania te obejmują nie tylko szpiegostwo, ale również zakłócanie systemów, gromadzenie informacji przed wyborami oraz ataki na infrastrukturę krytyczną.
Cyberszpiegostwo dotyczy głównie instytucji rządowych, dyplomatycznych oraz obszarów mających znaczenie strategiczne: obronności, energetyki czy finansów. W przeciwieństwie do działań hacktywistów, ataki państwowe są ciche, zaplanowane i wieloetapowe. Celem zwykle nie jest natychmiastowy efekt, lecz długotrwałe utrzymanie się w sieci ofiary.
FIMI - manipulacje informacyjne jako część krajobrazu zagrożeń
Jednym z najbardziej niepokojących zjawisk opisywanych przez ENISA są operacje FIMI, czyli zagraniczne ingerencje i manipulacje informacyjne. Obejmują one fałszywe artykuły, zmanipulowane nagłówki, deepfake’i, podszywanie się pod media i polityków, a także amplifikację treści za pomocą botów i sztucznych kont. Ponad 60% takich operacji pochodziło od grup powiązanych z Rosją, co nie jest zaskoczeniem - to tamtejsze organizacje od lat rozwijają umiejętności w zakresie wojny informacyjnej.
FIMI stają się szczególnie groźne w okresach wyborczych lub w sytuacjach kryzysowych. Ich celem jest zakłócenie zaufania publicznego, polaryzacja społeczeństwa i podważanie wiarygodności instytucji państwowych. ENISA zwraca uwagę, że w odróżnieniu od klasycznych cyberataków, skutki FIMI mogą być długotrwałe i psychologiczne, a nie tylko techniczne.
Hacktivizm: dynamiczny, emocjonalny i coraz bardziej destrukcyjny
Hacktivizm, czyli cyberataki motywowane ideologicznie lub politycznie, w 2025 roku przybrały zupełnie nowy wymiar. Wiele grup działa dziś w sojuszach, a ich aktywność wykracza daleko poza symboliczne defacementy stron. Najbardziej rozpoznawalna grupa, NoName057, odpowiada za ponad połowę wszystkich ataków DDoS w UE - prowadzi je niemal codziennie, z niezwykłą regularnością.
Coraz większe zaniepokojenie budzi fakt, że hacktywiści zaczynają eksperymentować z atakami na systemy OT oraz własnymi wersjami ransomware. Grupy takie jak CyberVolk czy Funksec budują narzędzia podobne do tych, które jeszcze niedawno były domeną profesjonalnych gangów cyberprzestępczych. Jeżeli te eksperymenty się rozwiną, możemy mieć do czynienia z nową erą hacktywizmu — bardziej destrukcyjną i trudniejszą do kontrolowania.
Wnioski
Raport ENISA potwierdza, że krajobraz zagrożeń cybernetycznych w 2025 roku jest nie tylko bardziej intensywny, ale także bardziej polityczny, złożony i uzależniony od globalnych napięć. Phishing wspierany przez AI staje się narzędziem numer jeden dla przestępców, grupy ransomware fragmentują się i rozwijają, państwa prowadzą szeroko zakrojone kampanie szpiegowskie, a hacktywiści traktują cyberprzestrzeń jak broń ideologiczną. Dezinformacja dodatkowo miesza w tym obrazie, podważając zaufanie społeczne.
Organizacje - zarówno w sektorze publicznym, jak i prywatnym - stoją więc przed wyzwaniem, które wymaga dojrzałego podejścia. Obrona nie może opierać się na jednym rozwiązaniu czy pojedynczej technologii. Potrzebna jest strategia: od edukacji pracowników, przez procesy zarządzania podatnościami, po zaawansowane systemy analityczne wykrywające anomalie.
Jedno jest pewne: cyberbezpieczeństwo przestało być domeną informatyków. Stało się integralnym elementem polityki państwa, funkcjonowania organizacji i stabilności społecznej.
