Cyberprzestępcy zmieniają metody. Czas na obronę liczony w dniach
Czas na reakcję liczony jest już w dniach, a nie w tygodniach — wynika z najnowszego raportu Google Cloud Threat Horizons za pierwszą połowę 2026 roku.
Dokument precyzyjnie obnaża zmiany w metodach działania cyberprzestępców. Dni, kiedy głównym problemem były wyłącznie słabe hasła i źle skonfigurowane serwery, bezpowrotnie mijają. Atakujący stają się znacznie bardziej zautomatyzowani i coraz częściej biorą na cel rozbudowane rozwiązania chmurowe.
Raport opracowany przez ekspertów z działu Google Cloud Security, we współpracy z zespołami Mandiant Consulting oraz Google Threat Intelligence Group, analizuje najświeższe trendy w świecie cyfrowego bezpieczeństwa. Wnioski z niego płynące pokazują diametralną zmianę układu sił.
Błyskawiczne ataki i wsparcie sztucznej inteligencji
Jedną z najbardziej alarmujących informacji jest drastyczne skrócenie czasu od momentu ujawnienia nowej luki w oprogramowaniu do jej masowego wykorzystania. Według raportu ten bufor bezpieczeństwa skurczył się zaledwie z kilku tygodni do kilku dni. Coraz częściej w atakach wykorzystywana jest sztuczna inteligencja, która potęguje to zjawisko, błyskawicznie przyspieszając wyszukiwanie luk i automatyzując cały proces włamań.
Analitycy zauważyli również wyraźną zmianę w proporcjach stosowanych wektorów ataku. Podczas gdy w pierwszej połowie 2025 roku włamania opierały się głównie na słabych danych uwierzytelniających, to obecnie grupy cyberprzestępcze przeniosły swój ciężar na luki w aplikacjach firm trzecich. Ataki z wykorzystaniem luk w niezałatanych systemach stanowiły aż 44,5% przypadków (wzrost z zaledwie 2,9%), stając się po raz pierwszy głównym punktem wejścia.
Kradzież tożsamości kluczem do firmowych danych
Niezwykle ciekawie prezentują się dane dotyczące ataków wymierzonych bezpośrednio w platformy i usługi chmurowe. Aż 83% takich incydentów miało swój początek w przejęciu cyfrowej tożsamości. Atakujący odchodzą od tradycyjnego phishingu mailowego na rzecz bardziej wyrafinowanych metod, takich jak:
- Vishing (17%): ataki oparte na socjotechnice głosowej. Przestępcy podszywają się pod pracowników, aby nakłonić działy wsparcia IT do zresetowania haseł lub wyłączenia uwierzytelniania wieloskładnikowego (MFA).
- Kompromitacja dostawców (21%): wykorzystywanie zaufanych relacji z podmiotami zewnętrznymi oraz kradzież tokenów dostępu do masowego pobierania danych.
- Skradzione poświadczenia (21%): używanie gotowych, skradzionych wcześniej danych logowania ludzi i systemów (np. kluczy dostępu AWS lub tokenów GitHub).
Po przejęciu dostępu głównym celem pozostaje kradzież danych, która miała miejsce w 73% przeanalizowanych incydentów. Co ciekawe, w 45% przypadków odbywało się to po cichu i bez natychmiastowych prób szantażu, co świadczy o rosnącym profesjonalizmie grup zajmujących się cyfrowym szpiegostwem.
Osobiste chmury nowym narzędziem dla nieuczciwych pracowników
Zagrożenie płynie nie tylko z zewnątrz. Eksperci zwracają uwagę na rosnący problem ataków wewnętrznych (ang. insider threats). Przeprowadzona analiza pokazała, że w większości takich spraw dochodzi do nielegalnego eksportu danych, który odbywa się jeszcze w trakcie zatrudnienia.
Najszybciej rosnącym wektorem wyprowadzania firmowych tajemnic stają się niezależne, konsumenckie usługi chmurowe. Zjawisko to potęguje fakt, że aż 35% sprawców wykorzystywało równolegle kilka różnych kanałów eksfiltracji (np. e-mail połączony z pamięcią USB lub dysk w chmurze Google Drive), co znacznie utrudnia wykrycie procederu.
Dla współczesnego biznesu płynie z tego jeden, bardzo konkretny wniosek: ręczne reagowanie na incydenty przestaje wystarczać. Skokowy wzrost automatyzacji po stronie cyberprzestępców oznacza dla firm konieczność wdrożenia równie zautomatyzowanych systemów obronnych i ciągłego monitorowania środowisk chmurowych. Osoby zainteresowane lekturą pełnego raportu Google Cloud Threat Horizons Q1 2026, odsyłam do źródła.
