Przejdź do głównej treści
  • EN
  • PL
Dariusz Socha | Cybersecurity Architect | NIS2
  • Główna
  • O mnie
  • Kontakt
  • AI Blog

Czerwiec 2025

10 lip, 2025, Brak komentarzy

Żar w sieci – przegląd stanu cyberbezpieczeństwa (czerwiec 2025)

Upał nie ominął również cyberprzestrzeni: od rekordowej liczby wycieków danych po nowe, krytyczne podatności i ataki na łańcuchy dostaw. Poniżej podsumowujemy najważniejsze fakty, statystyki i wnioski z ostatnich 30 dni.

1. Najważniejsze wydarzenia czerwca 2025

  • UE przyjmuje „blueprint” kryzysowy – nowy plan określa role państw członkowskich w przypadku transgranicznych incydentów i integruje NIS 2 oraz współpracę z NATO (CERT-EU)(cert.europa.eu)

  • Areszt w sprawie BreachForums – francuska policja zatrzymała pięciu operatorów największego forum handlu danymi (m.in. ShinyHunters) (CERT-EU)(cert.europa.eu)

  • Wyciek „GOAT” – 16 mld haseł – badacze Cybernews ujawnili kompilację 30 baz zawierających 16 mld rekordów logowania (Forbes/Cybernews)(Forbes, Cybernews)

  • Telekom Viasat ofiarą chińskiego Salt Typhoon – potwierdzono nieautoryzowany dostęp do infrastruktury satelitarnej; na szczęście bez wpływu na klientów (Satellite Today/Reuters)(satellitetoday.com, Reuters)

  • Cyberatak na United Natural Foods (UNFI) – wstrzymanie elektronicznych zamówień wpłynęło na dostawy do sieci Whole Foods i obniży kwartalne przychody (Cybersecurity Dive)(cybersecuritydive.com)

2. Top ataki czerwca – studia przypadku

2.1 Lee Enterprises – media pod ostrzałem Qilin

  • Wektor: ransomware + eksfiltracja danych (350 GB)

  • Skutki: wstrzymanie druków, wyłączenie systemów płatności, wyciek 39 779 SSN; koszty przywracania: 2 mln USD (SecurityWeek)(cybersecuritydive.com)

  • Środki zaradcze: segmentacja sieci redakcyjnej, immutable backup, MFA dla usług druku.

2.2 Kettering Health – Interlock uderza w służbę zdrowia

  • Wektor: spear-phishing → szyfrowanie EHR

  • Skutki: 14 szpitali offline, przekierowanie karetek, możliwy wyciek 941 GB dokumentacji (The Record/PR Newswire)(The Record from Recorded Future, PR Newswire)

  • Reakcja: odtworzenie Epic EHR w 13 dni, segmentacja sieci, trening personelu.

2.3 United Natural Foods – żywność w zastopowanym łańcuchu

  • Wektor: nieujawniony (podejrzenie ransomware)

  • Skutki: 10-dniowy paraliż zamówień, spadek kursu akcji, spodziewany ubytek EBIT – 15-20 mln USD (Cybersecurity Dive/Reuter)(cybersecuritydive.com, Reuters)

  • Lekcje: odporność łańcucha dostaw (NIST SP 800-161), redundancja kanałów EDI.

2.4 Optima Tax Relief – 69 GB podatkowych tajemnic

  • Wektor: podatny serwer VPN → Chaos Ransomware

  • Skutki: wyciek numerów SSN i deklaracji podatkowych; groźba podszywania się pod klientów (SC Media)(SC World)

  • Rekomendacje: rotacja kluczy VPN, szyfrowanie danych spoczynkowych, zerotrust.

2.5 Viasat – cyber-szpiegostwo Salt Typhoon

  • Wektor: niezałatany Cisco IOS XE CVE-2023-20198

  • Skutki: dostęp do metadanych połączeń głosowych; brak wpływu na usługi klienckie (Dark Reading)(Dark Reading)

  • Kontry: natychmiastowa aktualizacja edge routerów, monitorowanie GRE tunnels.

3. Nowe podatności i poprawki

CVE Krytyczność (CVSS) Opis Zalecenia
CVE-2025-5777 9,8 „CitrixBleed 2” – wyciek pamięci w NetScaler ADC/Gateway pozwala kraść tokeny sesji (Horizon3.ai)(Horizon3) Aktualizacja do 13.1-59.19 / 14.1-47.46; unieważnienie sesji, audyt kont
CVE-2025-33053 8,8 Zero-day RCE w WebDAV (Windows) wykorzystywany przez APT Stealth Falcon (HelpNetSecurity)(Help Net Security) KB5038xxx z Patch Tuesday; wyłączenie WebDAV, WAF
CVE-2025-20282 10,0 Nie­autentykowany upload w Cisco ISE 3.4 – root RCE (Strobes)(Strobes Security) Patch 2 dla ISE 3.4, blokada API, skan Nessus QID 240417
CVE-2025-5349 / 6543 9,1 / 8,3 Błąd w Citrix Gateway umożliwiający przechwycenie sesji (Wiz)(wiz.io) Aktualizacja, reset haseł, terminarz wymuszonych log-outów
CVE-2025-47172 8,8 SQLi → RCE w SharePoint Server 2016/2019 (SE) (Strobes)(Strobes Security) KB5038314/16/12, WAF, segmentacja farmy SP

4. Statystyki miesiąca

  • 33 publicznie ujawnione incydenty i 16 mld skompilowanych poświadczeń w sieci (IT Governance)(itgovernance.co.uk, itgovernance.co.uk)

  • +37 % wzrost wolumenu BEC w porównaniu z majem; 46 % ataków to phishing kredencyjny (Fortra FIRE)(fortra.com)

  • 86 ofiar grupy Qilin – najaktywniejszego ransomware czerwca (Cyble)(cyble.com)

  • 19-krotny wzrost wykorzystania domen .es w kampaniach phishingowych; 99 % z nich podszywało się pod Microsoft (Cofense)(TechRadar)

  • 65 CVE załatanych w Patch Tuesday (Microsoft), w tym 2 zero-day (Tenable)(tenable.com)

5. Prognozy i rekomendacje (Q3 2025)

  1. Ransomware jako usługa (RaaS) z AI-driven spear-phishing – spodziewany dalszy spadek czasu od włamania do żądania okupu poniżej 48 h.

  2. Eksploatacja brzegowych urządzeń (VPN/ADC) – ataki typu „scan-mass-exploit” będą pierwszą fazą operacji APT.

  3. Łańcuchy dostaw SaaS – rosnąca liczba ataków na systemy pośredniczące (ticketing, e-commerce).

  4. Influx haseł z wycieków „combo-list” – wzrost credential stuffing (SSO/OAuth).

  5. RegTech – presja regulacyjna (DORA, NIS 2) zwiększy budżety na threat intel i resilience testing.

„Kluczowe będzie skrócenie średniego czasu wykrycia incydentu do poniżej 7 dni – inaczej firmy będą niekonkurencyjne wobec presji ubezpieczycieli cyber” – Marta Jasińska, analityk CERT PL.

6. Checklista działań

  • Zaktualizuj NetScaler ADC/Gateway do wersji niepodatnej na CVE-2025-5777

  • Wdróż poprawki Patch Tuesday (KB5038xxx) na stacjach i serwerach

  • Sprawdź, czy w środowisku jest Cisco ISE 3.4; jeśli tak – zainstaluj Patch 2

  • Zresetuj hasła uprzywilejowane i włącz MFA wszędzie, gdzie to możliwe

  • Przeprowadź test przywracania z backupów offline (air-gap)

  • Zweryfikuj konfigurację WAF pod kątem blokowania WebDAV i SQLi

  • Ustal procedurę szybkiego wyłączenia/odseparowania kluczowych systemów OT/ICS

7. Warte przeczytania

  • CERT-EU Cyber Brief 25-07 – June 2025 – syntetyczny przegląd zagrożeń w UE(cert.europa.eu)

  • Verizon 2025 Data Breach Investigations Report – 20-letnia perspektywa trendów DBIR(Verizon)

  • Fortra BEC Global Insights Report – June 2025 – szczegółowe dane o oszustwach mailowych(fortra.com)

  • CISA Known Exploited Vulnerabilities Catalog – lista KEV z możliwością filtrowania według daty(cisa.gov)

Źródła

  1. CERT-EU, Cyber Brief 25-07 – June 2025, 1 lipca 2025. (cert.europa.eu)

  2. Help Net Security, Microsoft fixes zero-day exploited for cyber-espionage (CVE-2025-33053), 11 czerwca 2025. (Help Net Security)

  3. Horizon3.ai, CVE-2025-5777: CitrixBleed 2 write-up, 7 lipca 2025. (Horizon3)

  4. Strobes Security, Top 5 High-Risk CVEs of June 2025, 30 czerwca 2025. (Strobes Security)

  5. Wiz Research, Critical vulnerabilities in NetScaler ADC exploited in the wild, 17 czerwca 2025. (wiz.io)

  6. IT Governance, Global Data Breaches and Cyber Attacks in June 2025, 4 lipca 2025. (itgovernance.co.uk)

  7. Cyble, Top Ransomware Groups June 2025: Qilin reclaims top spot, 2 lipca 2025. (cyble.com)

  8. Fortra, BEC Global Insights Report – June 2025, 4 lipca 2025. (fortra.com)

  9. TechRadar, Experts flag surge in .es phishing domains, 8 lipca 2025. (TechRadar)

  10. Cybersecurity Dive, United Natural Foods says cyberattack will reduce quarterly earnings, 27 czerwca 2025. (cybersecuritydive.com)

  11. SecurityWeek, Lee Enterprises spent $2 M on ransomware recovery, 5 czerwca 2025. (cybersecuritydive.com)

  12. The Record, Kettering Health hit by Interlock ransomware, 6 czerwca 2025. (The Record from Recorded Future)

  13. SC Media, Optima Tax Relief data exposed by Chaos ransomware, 9 czerwca 2025. (SC World)

  14. Satellite Today, Viasat confirms unauthorized access after Salt Typhoon hack, 18 czerwca 2025. (satellitetoday.com)

  15. Reuters, Viasat identified as victim in Chinese Salt Typhoon cyber-espionage, 17 czerwca 2025. (Reuters)

  • Courier-Mail
  • theguardian.com
  • axios.com

Maj 2025

19 cze, 2025, Brak komentarzy

Maj 2025 pod lupą: Rosnące cyberzagrożenia, rekordowe luki i nowe cele ataków

Choć dla wielu branż maj oznaczał pierwsze powiewy letniego rozluźnienia, w cyberprzestrzeni był to kolejny gorący miesiąc. Liczba krytycznych podatności i skala incydentów – od ataku na Marks & Spencer po przełamanie zabezpieczeń ConnectWise – pokazały, że tempo ofensywy hakerów nie zwalnia.

1. Najważniejsze wydarzenia maja 2025

  • Marks & Spencer oszacował koszt cyberataku na 300 mln £ – retailer ujawnił, że po wycieku przez firmę-podwykonawcę przerwał sprzedaż online na 46 dni, a pełne odtworzenie usług potrwa do lipca 2025 (reuters.com, reuters.com)

  • CISA wydała jednego dnia 22 poradniki ICS – 15 maja agencja opublikowała rekordowy pakiet alertów dla systemów przemysłowych, podkreślając wzrost ryzyka dla OT (cisa.gov)

  • Cisco załatało lukę CVE-2025-20188 (CVSS 10.0) w Wireless LAN Controllerach; PoC ukazał się publicznie 31 maja (bleepingcomputer.com)

  • FBI: 900 ofiar gangu Play do maja 2025 – licznik ofiar tej grupy ransomware przekroczył 900 organizacji (cisa.gov)

  • Suspektywny atak państwowy na ConnectWise – dostawca ScreenConnect potwierdził włamanie z 29 maja, dotykające części chmurowych klientów (bleepingcomputer.com)

2. Top ataki maja 2025

2.1 Marks & Spencer (handel detaliczny, UK)

  • Wektor ataku: spear-phishing na podwykonawcę IT → przejęte konto VPN (reuters.com)

  • Skutki: 6-tygodniowy przestój e-commerce, spadek kursu o 13 %, prognozowana utrata 300 mln £ zysku operacyjnego (reuters.com)

  • Środki zaradcze: przegląd 600 systemów, segmentacja sieci, przyspieszona inspekcja kodu dostawców SaaS.

“Atak pokazał, że dziś łańcuch dostaw IT jest słabszy niż najdroższe firewalle.” – Stuart Machin, CEO M&S

2.2 Coca-Cola (produkcja FMCG)

  • Wektor: wyciek danych po odmowie okupu, Everest Ransomware opublikował próbki na dark-web 22 maja (cybernews.com)

  • Skutki: ujawnienie danych 959 pracowników dystrybutora na Bliskim Wschodzie; presja regulatorów ds. RODO.

  • Zalecenia: natychmiastowa rotacja haseł, MFA, izolacja dotkniętych serwerów HR.

2.3 Kettering Health (14 szpitali, USA)

  • Wektor: Interlock Ransomware, prawdopodobnie exploit w usługach zdalnego pulpitu (bleepingcomputer.com)

  • Skutki: awaria EHR, odwołane zabiegi planowe, przejście na papierową dokumentację; wyciek 941 GB danych pacjentów (securityweek.com)

  • Środki/Zalecenia: segmentacja sieci klinicznych, testy kopii zapasowych co ≤ 24 h, ćwiczenia table-top IR.

2.4 ConnectWise (dostawca MSP, USA)

  • Wektor: exploit ASP.NET w środowisku ScreenConnect (podejrzenie APT) (bleepingcomputer.com)

  • Skutki: dostęp do części instancji klientów, ryzyko łańcucha dostaw; natychmiastowa rotacja certyfikatów kodu.

  • Zalecenia: update do najnowszej wersji, monitorowanie logów auditowych ScreenConnect, YARA dla znanych IOC.

2.5 Gob.pe – portal rządu Peru

  • Wektor: Rhysida Ransomware; żądanie 5 BTC za niepublikowanie wykradzionych dokumentów (therecord.media)

  • Skutki: tymczasowy brak dostępu do usług online, ryzyko wycieku danych podatkowych regionu Piura.

  • Kontr-działania: rząd zaprzeczył kompromitacji głównej platformy, wdrożył audyt SIEM i WAF.

3. Nowe podatności i poprawki

CVE Krytyczność Opis Zalecenia
CVE-2025-20188 10.0 Hard-coded JWT w Cisco IOS XE WLC; RCE bez uwierzytelnienia (bleepingcomputer.com) Aktualizacja firmware; blokada interfejsu AP download w ACL
CVE-2025-30065 10.0 Deserializacja w Apache Parquet; RCE poprzez spreparowany plik (bleepingcomputer.com) Upgrade do Parquet 1.15.1; filtracja rozszerzeń i sandbox I/O
CVE-2025-3248 9.8 Langflow – brak autoryzacji w /validate/code, pełne RCE (bleepingcomputer.com) Aktualizacja ≥ 1.3.0, izolacja serwera w VPC, reverse-proxy z MFA
CVE-2025-29824 7.8 Windows CLFS LPE, zero-day użyty przez Play & RansomEXX (bleepingcomputer.com) Patch Tuesday kwiecień+maj; blokada PipeMagic, EDR Click-to-Run
CVE-2025-4632 9.8 Samsung MagicINFO 9 – path traversal; odczyt dowolnych plików (nvd.nist.gov) Łatka producenta, WAF regex “../../../”, ograniczenie interfejsów WAN

W maju CISA dodała 6 nowych pozycji do katalogu KEV (19 maja) oraz kolejne 3 (15 maja), co łącznie daje 9 aktywnie wykorzystywanych luk do załatania w 21 dni (cisa.gov, cisa.gov)

4. Statystyki

  • 900 potwierdzonych ofiar Play Ransomware według FBI (stan na maj 2025) (cisa.gov)

  • 70 luk (w tym 5 zero-day) załatał Microsoft w „Patch Tuesday” 14 maja 2025 (krebsonsecurity.com)

  • 22 poradniki ICS w jednym dniu (rekord CISA, 15 maja) (cisa.gov)

  • 9 nowych luk w katalogu KEV w ciągu jednego tygodnia (15–19 maja) – najszybsze tempo w 2025 r. (cisa.gov, cisa.gov)

  • 97 mld+ prób exploitacji zarejestrowanych przez FortiGuard w 2025; wzrost YoY 42 % (fortinet.com)

  • 4 dni – medianowy dwell time ataków ransomware wg raportu Sophos Active Adversary 2025 (sophos.com)

5. Prognozy i rekomendacje (czerwiec–sierpień 2025)

Trend Co obserwować Dlaczego to ważne
Eksploatacja łańcucha dostaw IT Dostawcy MSP, biblioteki open-source (Parquet, Langflow) Ataki na ConnectWise i biblioteki AI pokazują łatwość pivotu na setki klientów
Ataki na logistykę i transport Kampania GRU przeciw firmom logistycznym (21 maja alert CISA) (cisa.gov) Zakłócenia łańcuchów dostaw, ryzyko ekonomiczne porównywalne z ransomware
Przyspieszenie automatyzacji phishingu (CoGUI, RedFox) 580 mln maili CoGUI I–IV 2025; nowe MaaS (cm-alliance.com) Zwiększona skuteczność, niskie koszty kampanii
Ransomware w opiece zdrowotnej Interlock, Medusa, Play – skrócony dwell time Krytyczne usługi, wysoka presja na zapłatę
AI-assisted defensywa & ofensywa LLM w phishingu, detekcja anomalii kodu Wyścig zbrojeń – inwestuj w AI-SecOps

6. Checklista działań (czerwiec 2025)

  • Załataj krytyczne CVE: 2025-20188, 30065, 3248 – priorytet do 7 dni.

  • Przegląd dostawców MSP pod kątem MFA i dzienników ScreenConnect.

  • Symulacja awarii EHR/ERP – test procedur manualnego działania (lekcja Kettering).

  • Weryfikacja kopii offline – zwłaszcza backupów systemów OT/WLC.

  • Blokada makr & skryptów w Office, egzekwowanie podpisu cyfrowego.

  • Śledzenie KEV – automatyczne alerty, patch w terminie CISA (21 dni).

  • Szkolenie phishing + BEC – scenariusze CoGUI/smishing, testy co 30 dni.

7. Warte przeczytania

  • Fortinet 2025 Global Threat Landscape Report – 97 mld prób exploitacji i boom na Cybercrime-as-a-Service (fortinet.com)

  • Sophos Active Adversary Report 2025 – medianowy dwell time 4 dni i analiza 355 incydentów (news.sophos.com)

  • CISA/FBI “#StopRansomware: Play” – techniki i 900 ofiar gangu, rekomendacje 24 h patch SLA (cisa.gov)

  • CISA ICS Advisories 15-05-2025 – 22 nowe biuletyny dla OT/SCADA (cisa.gov)

Źródła

  1. Reuters, “M&S expects cyber-attack to last into July…”, 21 V 2025 (theguardian.com)

  2. Reuters, “Britain’s M&S says cyberattack to cost $400 million”, 21 V 2025 (reuters.com)

  3. Cybernews, “Hackers leaked Coca-Cola’s data after ransom threat”, 22 V 2025 (cybernews.com)

  4. BleepingComputer, “ConnectWise breached in cyberattack…”, 29 V 2025 (bleepingcomputer.com)

  5. BleepingComputer, “Kettering Health hit by system-wide outage…”, 21 V 2025 (bleepingcomputer.com)

  6. SecurityWeek, “Ransomware gang leaks alleged Kettering Health data”, 05 VI 2025 (securityweek.com)

  7. The Record, “Peru denies ransomware attack following Rhysida claims”, 06 V 2025 (therecord.media)

  8. BleepingComputer, “Exploit details for max severity Cisco IOS XE flaw…”, 31 V 2025 (bleepingcomputer.com)

  9. BleepingComputer, “Play ransomware exploited Windows logging flaw…”, 07 V 2025 (bleepingcomputer.com)

  10. BleepingComputer, “PoC released for Apache Parquet CVE-2025-30065”, 06 V 2025 (bleepingcomputer.com)

  11. BleepingComputer, “Critical Langflow RCE flaw exploited…”, 06 V 2025 (bleepingcomputer.com)

  12. NVD/NIST, CVE-2025-4632 entry, 22 V 2025 (nvd.nist.gov)

  13. CISA, “Adds six KEVs”, 19 V 2025 (cisa.gov)

  14. CISA, “Adds three KEVs”, 15 V 2025 (cisa.gov)

  15. CISA, “22 Industrial Control Systems Advisories”, 15 V 2025 (cisa.gov)

  16. CISA/FBI, “#StopRansomware: Play Ransomware”, 04 VI 2025 (aktualizacja) (cisa.gov)

  17. KrebsOnSecurity, “Patch Tuesday, May 2025 Edition”, 14 V 2025 (krebsonsecurity.com)

  18. Fortinet, “2025 Global Threat Landscape Report”, 05 V 2025 (fortinet.com)

  19. Sophos, “Active Adversary Report 2025”, 02 IV 2025 (sophos.com)

  20. CISA Alert, “Russian GRU targeting logistics…”, 21 V 2025 (cisa.gov)

Najnowsze wpisy

  • Czerwiec 2025
    10 lip, 2025
  • Maj 2025
    19 cze, 2025


  • Główna
  • O mnie
  • Kontakt
  • AI Blog