Przejdź do głównej treści
  • EN
  • PL
Dariusz Socha | Cybersecurity Architect | NIS2
  • Główna
  • O mnie
  • Kontakt
  • AI Blog

Maj 2025

czerwiec 19, 2025 o 00:32, Brak komentarzy

Maj 2025 pod lupą: Rosnące cyberzagrożenia, rekordowe luki i nowe cele ataków

Choć dla wielu branż maj oznaczał pierwsze powiewy letniego rozluźnienia, w cyberprzestrzeni był to kolejny gorący miesiąc. Liczba krytycznych podatności i skala incydentów – od ataku na Marks & Spencer po przełamanie zabezpieczeń ConnectWise – pokazały, że tempo ofensywy hakerów nie zwalnia.

1. Najważniejsze wydarzenia maja 2025

  • Marks & Spencer oszacował koszt cyberataku na 300 mln £ – retailer ujawnił, że po wycieku przez firmę-podwykonawcę przerwał sprzedaż online na 46 dni, a pełne odtworzenie usług potrwa do lipca 2025 (reuters.com, reuters.com)

  • CISA wydała jednego dnia 22 poradniki ICS – 15 maja agencja opublikowała rekordowy pakiet alertów dla systemów przemysłowych, podkreślając wzrost ryzyka dla OT (cisa.gov)

  • Cisco załatało lukę CVE-2025-20188 (CVSS 10.0) w Wireless LAN Controllerach; PoC ukazał się publicznie 31 maja (bleepingcomputer.com)

  • FBI: 900 ofiar gangu Play do maja 2025 – licznik ofiar tej grupy ransomware przekroczył 900 organizacji (cisa.gov)

  • Suspektywny atak państwowy na ConnectWise – dostawca ScreenConnect potwierdził włamanie z 29 maja, dotykające części chmurowych klientów (bleepingcomputer.com)

2. Top ataki maja 2025

2.1 Marks & Spencer (handel detaliczny, UK)

  • Wektor ataku: spear-phishing na podwykonawcę IT → przejęte konto VPN (reuters.com)

  • Skutki: 6-tygodniowy przestój e-commerce, spadek kursu o 13 %, prognozowana utrata 300 mln £ zysku operacyjnego (reuters.com)

  • Środki zaradcze: przegląd 600 systemów, segmentacja sieci, przyspieszona inspekcja kodu dostawców SaaS.

“Atak pokazał, że dziś łańcuch dostaw IT jest słabszy niż najdroższe firewalle.” – Stuart Machin, CEO M&S

2.2 Coca-Cola (produkcja FMCG)

  • Wektor: wyciek danych po odmowie okupu, Everest Ransomware opublikował próbki na dark-web 22 maja (cybernews.com)

  • Skutki: ujawnienie danych 959 pracowników dystrybutora na Bliskim Wschodzie; presja regulatorów ds. RODO.

  • Zalecenia: natychmiastowa rotacja haseł, MFA, izolacja dotkniętych serwerów HR.

2.3 Kettering Health (14 szpitali, USA)

  • Wektor: Interlock Ransomware, prawdopodobnie exploit w usługach zdalnego pulpitu (bleepingcomputer.com)

  • Skutki: awaria EHR, odwołane zabiegi planowe, przejście na papierową dokumentację; wyciek 941 GB danych pacjentów (securityweek.com)

  • Środki/Zalecenia: segmentacja sieci klinicznych, testy kopii zapasowych co ≤ 24 h, ćwiczenia table-top IR.

2.4 ConnectWise (dostawca MSP, USA)

  • Wektor: exploit ASP.NET w środowisku ScreenConnect (podejrzenie APT) (bleepingcomputer.com)

  • Skutki: dostęp do części instancji klientów, ryzyko łańcucha dostaw; natychmiastowa rotacja certyfikatów kodu.

  • Zalecenia: update do najnowszej wersji, monitorowanie logów auditowych ScreenConnect, YARA dla znanych IOC.

2.5 Gob.pe – portal rządu Peru

  • Wektor: Rhysida Ransomware; żądanie 5 BTC za niepublikowanie wykradzionych dokumentów (therecord.media)

  • Skutki: tymczasowy brak dostępu do usług online, ryzyko wycieku danych podatkowych regionu Piura.

  • Kontr-działania: rząd zaprzeczył kompromitacji głównej platformy, wdrożył audyt SIEM i WAF.

3. Nowe podatności i poprawki

CVE Krytyczność Opis Zalecenia
CVE-2025-20188 10.0 Hard-coded JWT w Cisco IOS XE WLC; RCE bez uwierzytelnienia (bleepingcomputer.com) Aktualizacja firmware; blokada interfejsu AP download w ACL
CVE-2025-30065 10.0 Deserializacja w Apache Parquet; RCE poprzez spreparowany plik (bleepingcomputer.com) Upgrade do Parquet 1.15.1; filtracja rozszerzeń i sandbox I/O
CVE-2025-3248 9.8 Langflow – brak autoryzacji w /validate/code, pełne RCE (bleepingcomputer.com) Aktualizacja ≥ 1.3.0, izolacja serwera w VPC, reverse-proxy z MFA
CVE-2025-29824 7.8 Windows CLFS LPE, zero-day użyty przez Play & RansomEXX (bleepingcomputer.com) Patch Tuesday kwiecień+maj; blokada PipeMagic, EDR Click-to-Run
CVE-2025-4632 9.8 Samsung MagicINFO 9 – path traversal; odczyt dowolnych plików (nvd.nist.gov) Łatka producenta, WAF regex “../../../”, ograniczenie interfejsów WAN

W maju CISA dodała 6 nowych pozycji do katalogu KEV (19 maja) oraz kolejne 3 (15 maja), co łącznie daje 9 aktywnie wykorzystywanych luk do załatania w 21 dni (cisa.gov, cisa.gov)

4. Statystyki

  • 900 potwierdzonych ofiar Play Ransomware według FBI (stan na maj 2025) (cisa.gov)

  • 70 luk (w tym 5 zero-day) załatał Microsoft w „Patch Tuesday” 14 maja 2025 (krebsonsecurity.com)

  • 22 poradniki ICS w jednym dniu (rekord CISA, 15 maja) (cisa.gov)

  • 9 nowych luk w katalogu KEV w ciągu jednego tygodnia (15–19 maja) – najszybsze tempo w 2025 r. (cisa.gov, cisa.gov)

  • 97 mld+ prób exploitacji zarejestrowanych przez FortiGuard w 2025; wzrost YoY 42 % (fortinet.com)

  • 4 dni – medianowy dwell time ataków ransomware wg raportu Sophos Active Adversary 2025 (sophos.com)

5. Prognozy i rekomendacje (czerwiec–sierpień 2025)

Trend Co obserwować Dlaczego to ważne
Eksploatacja łańcucha dostaw IT Dostawcy MSP, biblioteki open-source (Parquet, Langflow) Ataki na ConnectWise i biblioteki AI pokazują łatwość pivotu na setki klientów
Ataki na logistykę i transport Kampania GRU przeciw firmom logistycznym (21 maja alert CISA) (cisa.gov) Zakłócenia łańcuchów dostaw, ryzyko ekonomiczne porównywalne z ransomware
Przyspieszenie automatyzacji phishingu (CoGUI, RedFox) 580 mln maili CoGUI I–IV 2025; nowe MaaS (cm-alliance.com) Zwiększona skuteczność, niskie koszty kampanii
Ransomware w opiece zdrowotnej Interlock, Medusa, Play – skrócony dwell time Krytyczne usługi, wysoka presja na zapłatę
AI-assisted defensywa & ofensywa LLM w phishingu, detekcja anomalii kodu Wyścig zbrojeń – inwestuj w AI-SecOps

6. Checklista działań (czerwiec 2025)

  • Załataj krytyczne CVE: 2025-20188, 30065, 3248 – priorytet do 7 dni.

  • Przegląd dostawców MSP pod kątem MFA i dzienników ScreenConnect.

  • Symulacja awarii EHR/ERP – test procedur manualnego działania (lekcja Kettering).

  • Weryfikacja kopii offline – zwłaszcza backupów systemów OT/WLC.

  • Blokada makr & skryptów w Office, egzekwowanie podpisu cyfrowego.

  • Śledzenie KEV – automatyczne alerty, patch w terminie CISA (21 dni).

  • Szkolenie phishing + BEC – scenariusze CoGUI/smishing, testy co 30 dni.

7. Warte przeczytania

  • Fortinet 2025 Global Threat Landscape Report – 97 mld prób exploitacji i boom na Cybercrime-as-a-Service (fortinet.com)

  • Sophos Active Adversary Report 2025 – medianowy dwell time 4 dni i analiza 355 incydentów (news.sophos.com)

  • CISA/FBI “#StopRansomware: Play” – techniki i 900 ofiar gangu, rekomendacje 24 h patch SLA (cisa.gov)

  • CISA ICS Advisories 15-05-2025 – 22 nowe biuletyny dla OT/SCADA (cisa.gov)

Źródła

  1. Reuters, “M&S expects cyber-attack to last into July…”, 21 V 2025 (theguardian.com)

  2. Reuters, “Britain’s M&S says cyberattack to cost $400 million”, 21 V 2025 (reuters.com)

  3. Cybernews, “Hackers leaked Coca-Cola’s data after ransom threat”, 22 V 2025 (cybernews.com)

  4. BleepingComputer, “ConnectWise breached in cyberattack…”, 29 V 2025 (bleepingcomputer.com)

  5. BleepingComputer, “Kettering Health hit by system-wide outage…”, 21 V 2025 (bleepingcomputer.com)

  6. SecurityWeek, “Ransomware gang leaks alleged Kettering Health data”, 05 VI 2025 (securityweek.com)

  7. The Record, “Peru denies ransomware attack following Rhysida claims”, 06 V 2025 (therecord.media)

  8. BleepingComputer, “Exploit details for max severity Cisco IOS XE flaw…”, 31 V 2025 (bleepingcomputer.com)

  9. BleepingComputer, “Play ransomware exploited Windows logging flaw…”, 07 V 2025 (bleepingcomputer.com)

  10. BleepingComputer, “PoC released for Apache Parquet CVE-2025-30065”, 06 V 2025 (bleepingcomputer.com)

  11. BleepingComputer, “Critical Langflow RCE flaw exploited…”, 06 V 2025 (bleepingcomputer.com)

  12. NVD/NIST, CVE-2025-4632 entry, 22 V 2025 (nvd.nist.gov)

  13. CISA, “Adds six KEVs”, 19 V 2025 (cisa.gov)

  14. CISA, “Adds three KEVs”, 15 V 2025 (cisa.gov)

  15. CISA, “22 Industrial Control Systems Advisories”, 15 V 2025 (cisa.gov)

  16. CISA/FBI, “#StopRansomware: Play Ransomware”, 04 VI 2025 (aktualizacja) (cisa.gov)

  17. KrebsOnSecurity, “Patch Tuesday, May 2025 Edition”, 14 V 2025 (krebsonsecurity.com)

  18. Fortinet, “2025 Global Threat Landscape Report”, 05 V 2025 (fortinet.com)

  19. Sophos, “Active Adversary Report 2025”, 02 IV 2025 (sophos.com)

  20. CISA Alert, “Russian GRU targeting logistics…”, 21 V 2025 (cisa.gov)

Brak komentarzy

Pozostaw odpowiedź







Najnowsze wpisy

  • Maj 2025
    19 cze, 2025


  • Główna
  • O mnie
  • Kontakt
  • AI Blog