PL
  • en
Skontaktuj się
PL
  • en
Skontaktuj sięcontact@cybernite.eu+48 508 404 923

Od włamania do ataku ransomware w 22 sekundy: Alarmujące statystyki w najnowszym Raporcie Mandiant M-Trends 2026

Raport M-Trends 2026 firmy Mandiant to jedno z najważniejszych opracowań w branży bezpieczeństwa cyfrowego, stanowiące eksperckie spojrzenie na najnowsze taktyki i zagrożenia stosowane przez cyberprzestępców. Dokument ten opiera się na analizie ogromnego zbioru danych przeprowadzonej przez ekspertów Mandiant, dając unikalny wgląd w realne incydenty naruszenia bezpieczeństwa na całym świecie. Dla biznesu i sektora cybersecurity raport ten stanowi cenne źródło wiedzy o cyberzagrożeniach, ponieważ bazując na obserwacjach z „linii frontu” pozwala organizacjom na skuteczne wzmacnianie obrony, wspieranie procesów oceny ryzyka oraz planowanie działań typu threat hunting.

Grzegorz Strupczewski
7 min

W dzisiejszym artykule przyjrzymy się kluczowym informacjom zawartym w najnowszym Raporcie M-Trends 2026 od Mandianta. W wielu przypadkach są to doniesienia zaskakujące i alarmujące. Zapraszamy do lektury!

Główne wektory infekcji

Raport wskazuje na istotne zmiany w sposobie, w jaki grupy przestępcze uzyskują dostęp do infrastruktury IT ofiar. W miejsce tradycyjnych metod pojawiają się nowe, bardziej interaktywne techniki, a rosnąca specjalizacja grup przestępczych skraca czas reakcji dostępny dla obrońców.

Według danych z raportu, najczęstszymi sposobami uzyskania początkowego dostępu były:

  • Wykorzystanie podatności (32%): Już szósty rok z rzędu eksploity są najczęściej obserwowanym wektorem infekcji. Atakujący szczególnie chętnie celują w urządzenia brzegowe i rdzeniowe sieci, które często nie obsługują standardowych narzędzi bezpieczeństwa (jak EDR). Przykładem masowej eksploitacji w 2025 roku były podatności w systemach SAP NetWeaver (CVE-2025-31324) oraz Microsoft SharePoint (CVE-2025-53770).
  • Vishing, czyli Voice Phishing (11%): To wektor, który odnotował najbardziej gwałtowny wzrost, stając się drugą najpopularniejszą metodą. W odróżnieniu od masowego phishingu e-mailowego, vishing jest interaktywną metodą socjotechniczną, w której żywa osoba kieruje rozmową w czasie rzeczywistym, co czyni go odpornym na zautomatyzowane blokady techniczne.
  • Wcześniejsza kompromitacja (10%): Model ten zyskuje na znaczeniu ze względu na specjalizację rynku cyberprzestępczego. Jeden podmiot (tzw. Initial Access Partner) zdobywa dostęp, a następnie „przekazuje” go innemu, który realizuje właściwy atak, np. ransomware.
  • Skradzione dane uwierzytelniające (9%): Choć nadal istotne, odnotowano tu spadek z poziomu 16% w roku ubiegłym. Dane te są często pozyskiwane z infostealerów (programów szpiegowskich wykradających dane) lub wycieków z publicznych repozytoriów kodu.
  • Phishing emailowy (6%): Metoda ta znajduje się w stałym trendzie spadkowym (z 14% w 2024 r. i 22% w 2022 r.). Mimo to, wciąż jest groźna, szczególnie gdy służy do rozszerzania zasięgu ataku wewnątrz organizacji.

Wektory specyficzne dla ataków ransomware i chmury

Analiza raportu pokazuje, że wybór wektora zależy często od celu ataku:

  • Ransomware. W tym przypadku najczęstszym wektorem była wcześniejsza kompromitacja (30%), co podkreśla rolę brokerów dostępu (IABs) w tym ekosystemie. Na kolejnych miejscach znalazły się eksploity (27%) oraz ataki typu brute-force (20%).
  • Kompromitacja chmury. Tutaj bezsprzecznie króluje vishing (23%), wyprzedzając kompromitację stron trzecich (17%) i skradzione poświadczenia (16%). Atakujący wykorzystują vishing do podszywania się pod pracowników i nakłaniania personelu help desk do resetowania haseł lub zmiany ustawień MFA.

Kluczowe trendy i zjawiska

  • Błyskawiczne przekazywanie dostępu (Hand-off): Czas między uzyskaniem dostępu przez cyberprzestępców a przejęciem go przez grupę realizującą atak drastycznie się skrócił. W 2025 roku mediana tego czasu wyniosła zaledwie 22 sekundy (w porównaniu do ponad 8 godzin w 2022 roku). Często proces ten jest w pełni zautomatyzowany.
  • Rola Sztucznej Inteligencji (AI): AI nie była w 2025 roku bezpośrednią przyczyną włamań, ale stała się „mnożnikiem siły” dla atakujących. Jest wykorzystywana do tworzenia hiper-personalizowanych kampanii socjotechnicznych oraz wewnątrz złośliwego oprogramowania, które w trakcie wykonywania odpytują modele LLM, aby lepiej unikać detekcji.
  • Zagrożenie wewnętrzne (Insider Threat): Udział tego wektora wzrósł do 6%, przy czym znaczną część stanowią pracownicy IT z Korei Północnej, wykorzystujący fałszywe tożsamości do zdobycia zatrudnienia i generowania przychodów dla tamtejszego reżimu.
  • Ataki na tożsamości niebędące ludźmi (NHI): W kontekście usług SaaS, atakujący coraz częściej omijają MFA, kradnąc sekrety takie jak tokeny OAuth czy klucze API z repozytoriów kodu lub stacji roboczych deweloperów.

Podsumowując, raport pokazuje, że nowoczesne wektory infekcji stają się bardziej ukierunkowane i interaktywne, a granica między „prostą infekcją” a poważnym atakiem ransomware zaciera się w ciągu zaledwie kilkunastu sekund.

Ewolucja ataków ransomware

Raport rzuca nowe światło na ewolucję zagrożeń typu ransomware, wskazując na fundamentalną zmianę strategii napastników. Polega ona na przejściu od prostego szyfrowania danych do systematycznego uniemożliwiania odzyskiwania sprawności (recovery denial). Obecnie ransomware nie jest już postrzegany jedynie jako problem szyfrowania, ale jako wyzwanie dla odporności całej organizacji.

Najważniejszym trendem odnotowanym w tym obszarze jest celowe uderzanie w tzw. zaufaną infrastrukturę usługową (Trusted Service Infrastructure, TSI). Grupy ransomware koncentrują się na niszczeniu systemów, które mają umożliwić organizacji powrót do pracy po ataku:

  • Infrastruktura kopii zapasowych: Napastnicy systematycznie wyszukują i niszczą backupy (zarówno lokalne, jak i chmurowe), aby zmaksymalizować presję na zapłatę okupu.
  • Warstwa wirtualizacji: Coraz częściej celem są hiperwizory. Napastnicy szyfrują bezpośrednio pliki magazynów danych (np. .VMDK), co unieruchamia wiele maszyn wirtualnych naraz i pozwala ominąć systemy EDR zainstalowane na systemach-gościach.
  • Usługi tożsamości: Przejęcie kontroli nad warstwą tożsamości (np. Active Directory) pozwala napastnikom na blokowanie kont administratorów i manipulowanie certyfikatami, co uniemożliwia obrońcom podjęcie skutecznych działań ratunkowych.

Ekosystem cyberprzestępczy i „Hand-off”

Raport podkreśla rosnącą specjalizację grup przestępczych. Często jedna grupa (Initial Access Partner) zajmuje się jedynie uzyskaniem dostępu, który następnie przekazuje (hand-off) innej grupie realizującej właściwy atak ransomware.

  • Prędkość działania: Czas między uzyskaniem pierwszego dostępu a przejęciem go przez grupę ransomware drastycznie spadł – w 2025 roku mediana tego czasu wyniosła zaledwie 22 sekundy (w porównaniu do 8 godzin w 2022 r.).
  • Model współpracy: Często proces ten jest zautomatyzowany, co sprawia, że alerty o „niskim priorytecie” (np. infekcja zwykłym malware) mogą w ciągu kilku sekund przerodzić się w krytyczny incydent ransomware.

Koncepcja Aktywnej Odporności (Active Resilience)

Źródła sugerują, że organizacje muszą przejść od strategii opartej wyłącznie na zapobieganiu do Aktywnej Odporności. Oznacza to:

  • Izolację ścieżki odzyskiwania: Infrastruktura backupowa musi być całkowicie oddzielona od głównej sieci i usług tożsamości.
  • Hardening warstwy kontrolnej: Ścisłe ograniczanie dostępu do hiperwizorów i systemów zarządzania flotą urządzeń.
  • Ciągłą weryfikację: Traktowanie tożsamości jako nowego obwodu bezpieczeństwa, który musi być stale weryfikowany.

Podsumowując, M-Trends 2026 ostrzega, że dzisiejsze ataki ransomware są precyzyjnymi operacjami mającymi na celu przejęcie kontroli nad „fundamentami zaufania” organizacji, co wymusza koncentrację na budowie architektury zdolnej do przetrwania całkowitej kompromitacji systemów zarządzania tożsamością.

Ataki na urządzenia sieciowe

Raport wskazuje na systematyczną i coraz bardziej wyrafinowaną eksploatację urządzeń sieciowych klasy Edge oraz Core jako jeden z kluczowych trendów w krajobrazie zagrożeń 2025 roku. Atakujący celują w te urządzenia, ponieważ stanowią one krytyczne punkty styku sieci i często nie obsługują tradycyjnych narzędzi bezpieczeństwa, takich jak Endpoint Detection and Response (EDR), co tworzy niebezpieczną lukę.

Urządzenia brzegowe (Edge) i rdzeniowe (Core) są atrakcyjne dla grup APT oraz zaawansowanych cyberprzestępców z kilku powodów:

  • Najczęstszy wektor ataku: Eksploity pozostają najpopularniejszym wektorem infekcji (32% przypadków) szósty rok z rzędu, a urządzenia sieciowe wystawione do Internetu są ich głównym celem.
  • Ujemny czas do eksploatacji (Time to Exploit, TTE): Szacuje się, że w 2025 r. mediana TTE spadła do -7 dni, co oznacza, że masowa eksploatacja podatności często następuje na tydzień przed wydaniem oficjalnej poprawki.
  • Brak zabezpieczeń i rzadkie aktualizacje: Urządzenia te charakteryzują się długim czasem nieprzerwanej pracy (uptime), opóźnieniami w patchowaniu i często są pomijane w procesach zarządzania podatnościami.

Ewolucja taktyki: Od punktu przerzutowego do źródła danych

Historycznie urządzenia te służyły jako „przyczółek” do dalszej ekspansji, jednak w 2025 roku Mandiant zaobserwował zmianę - atakujący coraz częściej realizują pełny cykl ataku bezpośrednio na urządzeniach sieciowych. Wykorzystują oni wbudowane funkcje administracyjne do:

  • Prowadzenia rekonesansu i ruchu bocznego (lateral movement).
  • Eskalacji uprawnień poprzez przechwytywanie poświadczeń z ruchu sieciowego.
  • Gromadzenia danych bezpośrednio z poziomu zarządzania lub z ruchu przechodzącego przez urządzenie, co pozwala im unikać wykrycia przez systemy monitorujące stacje robocze i serwery.

Wyzwania dla obrony i rekomendacje

Wykrywanie ataków na urządzenia sieciowe jest trudne ze względu na minimalistyczne systemy operacyjne i ograniczoną ilość miejsca na logi. Wobec tego zaleca się:

  • Audyt i inwentaryzację: Wiele urządzeń sieciowych i hiperwizorów jest błędnie wyłączanych z centralnych systemów zarządzania zasobami.
  • Centralizację logów: Niezbędne jest przesyłanie logów z urządzeń Edge/Core do systemów SIEM. Zaleca się przechowywanie logów z aktywności administracyjnej przez minimum rok.
  • Zarządzanie podatnościami: Organizacje powinny dążyć do skanowania każdego punktu końcowego pod kątem podatności przynajmniej dwa razy w miesiącu.
  • Izolację płaszczyzny zarządzania: Ruch administracyjny powinien być odseparowany od ogólnej sieci korporacyjnej i dostępny tylko przez utwardzone stacje robocze z MFA.

Podsumowując, M-Trends 2026 ostrzega, że urządzenia sieciowe stają się „bezpieczną przystanią” dla atakujących wewnątrz organizacji, a ich ochrona musi stać się priorytetem na równi z ochroną stacji roboczych i serwerów.

30.04.2026

Spear-phishing – czym różni się od phishingu i dlaczego jest groźniejszy?

W dzisiejszym cyfrowym świecie phishing stał się powszechnym zagrożeniem. To metoda oszustwa polegająca na podszywaniu się...

Zobacz cały wpis
06.03.2026

Grupy APT: kto stoi za zaawansowanymi atakami i jak się przed nimi bronić

Cyberprzestępcy działają nieustannie. Część z nich to zwykli oszuści, którzy chcą się szybko wzbogacić naszym kosztem...

Zobacz cały wpis