IBM opublikował raport 2025 X-Force Threat Intelligence Index, który pokazuje, iż cyberprzestępcy coraz częściej sięgają po bardziej wyrafinowane i trudniejsze do wykrycia metody działania. Gwałtownie wzrosła liczba ataków związanych z kradzieżą poświadczeń, podczas gdy liczba ataków ransomware na firmy spadła. IBM X-Force wskazuje na 84-procentowy wzrost liczby e-maili zawierających tzw. infostealery w 2024 roku w porównaniu z rokiem poprzednim – to technika, na której cyberprzestępcy silnie polegali, realizując ataki na tożsamość użytkowników.
Najnowszy raport analizuje nowe i utrzymujące się trendy oraz wzorce ataków, bazując m.in. na działaniach zespołów reagowania na incydenty, danych z dark webu oraz innych źródłach informacji o zagrożeniach. najważniejsze wnioski z raportu:
- Organizacje z sektora infrastruktury krytycznej stanowiły 70% wszystkich przypadków, na które reagował zespół IBM X-Force w ubiegłym roku, z czego ponad jedna czwarta była wynikiem wykorzystania podatności.
- Coraz więcej cyberprzestępców decyduje się na kradzież danych (18%) zamiast ich szyfrowania (11%), co jest odpowiedzią na rozwój technologii wykrywania zagrożeń oraz wzmożoną aktywność organów ścigania, skłaniającą atakujących do szybszego wycofywania się.
- Prawie co trzecie zarejestrowane zdarzenie w 2024 roku wiązało się z kradzieżą danych uwierzytelniających. Atakujący inwestowali w różne metody, aby gwałtownie uzyskać dostęp, wyprowadzić dane i spieniężyć informacje logowania.
„Cyberprzestępcy najczęściej włamują się, nie niszcząc niczego, wykorzystując luki tożsamościowe wynikające ze złożonych środowisk chmurowych typu hybrid cloud, które oferują im wiele punktów dostępu” – powiedział Mark Hughes, Global Managing Partner of Cybersecurity Services, IBM. „Firmy muszą odejść od doraźnego podejścia do prewencji i skupić się na działaniach proaktywnych, takich jak modernizacja zarządzania uwierzytelnianiem, uszczelnianie mechanizmów uwierzytelniania wieloskładnikowego oraz prowadzenie analiz zagrożeń w czasie rzeczywistym, aby wykrywać ukryte ataki, zanim doprowadzą do ujawnienia wrażliwych danych”.
Wyzwania związane z aktualizacjami bezpieczeństwa narażają sektor infrastruktury krytycznej na zaawansowane zagrożenia
Uzależnienie od przestarzałych technologii oraz powolne cykle aktualizacji pozostają stałym wyzwaniem dla organizacji z sektora infrastruktury krytycznej. Cyberprzestępcy wykorzystali luki w zabezpieczeniach w ponad jednej czwartej incydentów, na które w ubiegłym roku reagował zespół IBM X-Force w tym obszarze.
Analizując najczęściej wspominane na forach dark webu luki typu CVE (Common Vulnerabilities and Exposures), IBM X-Force ustalił, iż cztery z dziesięciu najpopularniejszych podatności były powiązane z działalnością zaawansowanych grup cyberzagrożeń, w tym aktorów wspieranych przez państwa. Zwiększa to ryzyko zakłóceń, działań szpiegowskich i szantażu finansowego. Kody wykorzystywane do przeprowadzenia ataków na te luki były otwarcie wymieniane na licznych forach, napędzając rozwijający się rynek zagrożeń wymierzonych m.in. w sieci energetyczne, systemy ochrony zdrowia czy przemysłowe środowiska operacyjne.
Automatyzowana kradzież poświadczeń uruchamia łańcuch kolejnych zagrożeń
W 2024 roku IBM X-Force zaobserwował wzrost liczby ataków phishingowych, w których wykorzystywano tzw. infostealery, a wstępne dane za 2025 rok wskazują na jeszcze większy, aż 180 procentowy, wzrost względem 2023 roku. Za tę rosnącą skalę przejęć kont może częściowo odpowiadać wykorzystywanie przez cyberprzestępców sztucznej inteligencji do masowego tworzenia wiadomości phishingowych.
Phishing ukierunkowany na dane logowania oraz infostealery sprawiły, iż ataki tożsamościowe stały się tanie, skalowalne i bardzo opłacalne. Tego typu narzędzia umożliwiają szybkie wykradanie danych, skracając czas obecności atakujących w systemie i pozostawiając minimalne ślady cyfrowe. W samym 2024 roku pięć najpopularniejszych infostealerów było promowanych na dark webie w ponad ośmiu milionach ogłoszeń, a każde z nich mogło zawierać setki poświadczeń dostępowych.
Dodatkowo, cyberprzestępcy oferują w darknecie tzw. phishingowe zestawy AITM (adversary-in-the-middle) oraz usługi ataków szyte na miarę, które mają na celu omijanie zabezpieczeń opartych na uwierzytelnianiu wieloskładnikowym (MFA). Tak szeroka dostępność naruszonych danych logowania i narzędzi do obchodzenia MFA świadczy o dynamicznie rozwijającej się „gospodarce nieautoryzowanego dostępu”, której tempo nie wykazuje oznak spowolnienia.
Operatorzy ransomware zmieniają strategię na mniej ryzykowną
Choć ransomware wciąż stanowiło największy odsetek przypadków złośliwego systemu w 2024 roku (28%), zespół IBM X-Force odnotował ogólny spadek liczby tego typu incydentów w porównaniu z rokiem wcześniejszym. Luka ta została jednak gwałtownie wypełniona przez rosnącą falę ataków tożsamościowych.
Międzynarodowe działania na rzecz zwalczania ransomware zmuszają grupy cyberprzestępcze do przebudowy swoich modeli działania. Od scentralizowanych, ryzykownych struktur do bardziej rozproszonych i ostrożnych metod operacyjnych. IBM X-Force zauważył, iż znane wcześniej rodziny złośliwego oprogramowania, takie jak ITG23 (znana również jako Wizard Spider, Trickbot Group) oraz ITG26 (QakBot, Pikabot), całkowicie zakończyły działalność lub przestawiły się na inne typy malware – często nowe i krótkotrwałe – w poszukiwaniu alternatyw dla botnetów, które zostały zneutralizowane w ubiegłym roku.
Dodatkowe wnioski z raportu IBM X-Force Threat Intelligence Index 2025:
- Zagrożenia związane ze sztuczną inteligencją podlegają dalszym zmianom. Choć w 2024 roku nie odnotowano szeroko zakrojonych ataków wymierzonych bezpośrednio w technologie AI, badacze bezpieczeństwa intensyfikują działania mające na celu identyfikację i eliminację podatności, zanim zostaną one wykorzystane przez cyberprzestępców. Przykładem może być podatność umożliwiająca zdalne wykonanie kodu, wykryta przez IBM X-Force w jednym z frameworków służących do budowy agentów AI. Wraz ze wzrostem adopcji sztucznej inteligencji w 2025 roku, rosnąć będą również zachęty do tworzenia wyspecjalizowanych narzędzi ataku. Dlatego tak ważne jest, by firmy zabezpieczały cały cykl rozwoju AI: od danych, przez model i jego wykorzystanie, aż po infrastrukturę.
- Azja i Ameryka Północna najbardziej atakowanymi regionami. Łącznie odpowiadały za blisko 60% wszystkich ataków, na które reagował IBM X-Force w skali globalnej, z czego 34% przypadło na Azję, a 24% na Amerykę Północną, co czyni je najczęściej atakowanymi regionami w 2024 roku.
- Sektor przemysłowy najbardziej dotknięty ransomware. Już czwarty rok z rzędu branża produkcyjna był najczęstszym celem cyberataków. W ubiegłym roku sektor ten odnotował największą liczbę ataków ransomware, dlatego też zwrot z inwestycji w szyfrowanie jest wysoki ze względu na wyjątkowo niską tolerancję przestojów.
- Zagrożenia dla systemu Linux. We współpracy z Red Hat Insights, IBM X-Force ustalił, iż ponad połowa środowisk korzystających z Red Hat Enterprise Linux nie wdrożyła aktualizacji dla co najmniej jednej krytycznej podatności (CVE), a 18% nie załatało pięciu lub więcej. Równocześnie wykazano, iż najaktywniejsze grupy ransomware, takie jak Akira, Clop, Lockbit i RansomHub, rozwijają w tej chwili wersje swoich narzędzi zarówno dla systemów Windows, jak i Linux.
