ENISA Threat Landscape 2025: DDoS i AI-Phishing
W obliczu bezprecedensowej dynamiki zmian geopolitycznych i technologicznych, raport ENISA Threat Landscape (ETL) 2025 stanowi fundamentalny dokument diagnostyczny, definiujący stan bezpieczeństwa cyfrowego Unii Europejskiej w okresie od lipca 2024 do czerwca 2025 roku.
Niniejsze opracowanie, będące syntezą analizy 4 875 zweryfikowanych incydentów bezpieczeństwa, wykracza poza tradycyjne statystyki, oferując pogłębiony wgląd w ewolucję taktyk adwersarzy oraz strategiczne implikacje dla suwerenności cyfrowej państw członkowskich.
Obraz wyłaniający się z raportu jest klarowny: europejska cyberprzestrzeń znajduje się pod stałą, wielowektorową presją. Nie mamy już do czynienia z izolowanymi incydentami, lecz z ciągłym procesem erozji odporności, napędzanym przez konwergencję motywacji politycznych i finansowych, automatyzację ataków z wykorzystaniem sztucznej inteligencji oraz systematyczne wykorzystywanie zależności w łańcuchach dostaw.
W niniejszym opracowaniu przeprowadzono dekompozycję zjawisk zidentyfikowanych przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), kładąc nacisk na mechanizmy operacyjne grup zagrożeń oraz analizę sektorową skutków ataków.
Strategiczny Przegląd Krajobrazu Zagrożeń
Analiza danych zgromadzonych w okresie sprawozdawczym ujawnia zmianę w naturze zagrożeń. Choć ataki typu ransomware nadal stanowią najbardziej dotkliwe zagrożenie, statystyki wskazują na przytłaczającą dominację działań mających na celu destabilizację poprzez ataki na dostępność usług.
Dominacja DDoS i rola hacktywizmu
Najbardziej uderzającym wskaźnikiem w ETL 2025 jest udział ataków typu Distributed Denial of Service (DDoS – rozproszona odmowa usługi), które stanowiły aż 76,7% wszystkich zarejestrowanych incydentów. W porównaniu do włamań (Intrusion), stanowiących 17,8%, wskazuje to na wykorzystywanie cyberprzestrzeni jako pola dla konfliktów ideologicznych.
Zdecydowana większość ataków DDoS miała charakter ideologiczny i była realizowana przez grupy hacktywistyczne. Choć ich bezpośredni wpływ na infrastrukturę krytyczną jest często krótkotrwały – zaledwie 2% incydentów hacktywistycznych doprowadziło do znaczących przerw w świadczeniu usług – ich rola w wojnie informacyjnej jest istotna. Ataki te służą często do podważania zaufania obywateli do instytucji państwowych oraz demonstracji siły w kontekście konfliktów geopolitycznych, w szczególności wojny na Ukrainie.
Wektory intruzji i zagrożone aktywa
Analiza technicznych aspektów przełamywania zabezpieczeń wskazuje na wysoką skuteczność socjotechniki. Dane w poniższej tabeli pochodzą z różnych klasyfikacji ENISA (wektory dostępu oraz typy zagrożonych aktywów) i nie sumują się do 100%.
| Kategoria | Udział procentowy | Charakterystyka trendu |
|---|---|---|
| Phishing | 60,0% | Dominacja inżynierii społecznej (vishing, malspam, malvertising). Wzrost jakości dzięki AI. |
| Eksploatacja podatności | 21,3% | Kluczowa rola niezałatanych systemów brzegowych (VPN, serwery pocztowe). Szybka weaponizacja luk (tzw. n-day). |
| Urządzenia mobilne | 42,4% | Incydenty, w których urządzenia mobilne odgrywały istotną rolę operacyjną w przebiegu ataku. |
| Botnety | 9,9% | Wykorzystanie przejętych urządzeń IoT do anonimizacji ruchu atakujących. |
| Złośliwe aplikacje | 8,0% | Infekcje poprzez trojanizowane oprogramowanie, w tym fałszywe narzędzia AI. |
Powyższe dane sugerują, że mimo inwestycji w zaawansowane systemy detekcji typu EDR (Endpoint Detection and Response) czy XDR (Extended Detection and Response), obrona perymetru wymaga uzupełnienia o odporność użytkownika końcowego (oraz canary tokens jako warstwę detekcji) oraz rygorystyczny proces zarządzania podatnościami (sprawdź checklistę NIS2) (CVE – Common Vulnerabilities and Exposures). Aż 53,7% wszystkich incydentów dotyczyło podmiotów kluczowych w rozumieniu dyrektywy NIS2, co potwierdza, że adwersarze precyzyjnie dobierają cele o strategicznym znaczeniu dla gospodarki.
Główne Trendy Kształtujące Krajobraz (2024-2025)
Phishing 2.0: Industrializacja i AI
Phishing stał się przemysłem dzięki modelowi Phishing-as-a-Service (PhaaS). Platformy takie jak Darcula czy Lucid umożliwiają operatorom o niskich umiejętnościach technicznych automatyczne omijanie uwierzytelniania wieloskładnikowego (MFA).
Nowym zjawiskiem jest technika ClickFix. Polega ona na wyświetlaniu fałszywych komunikatów o błędach (np. w Google Meet czy Zoom) i instruowaniu użytkowników, by “naprawili” problem, wklejając rzekomy kod naprawczy do terminala systemowego (PowerShell). W rzeczywistości użytkownik sam inicjuje infekcję. Kampanie takie jak ClearFake wykorzystały ten mechanizm do zainfekowania ponad 9 300 urządzeń, dystrybuując złośliwe oprogramowanie kradnące dane (tzw. infostealery). Do początku 2025 r. kampanie wspierane przez AI stanowiły ponad 80% aktywności inżynierii społecznej.
Ataki na Zależności Cyfrowe i Łańcuch Dostaw
Adwersarze coraz częściej wybierają dostawców usług cyfrowych jako „miękkie podbrzusze” organizacji. Przykładem był wyciek danych (data breach) z infrastruktury włoskiej firmy Plus Service w marcu 2025 r. Firma ta zarządzała platformą biletową Telemaco. Incydent doprowadził do paraliżu systemów sprzedaży biletów u kilku przewoźników, w tym Mobilita di Marca (MoM), przez dwa dni.
Innym wymiarem jest zatruwanie środowiska deweloperskiego. Grupa Lazarus aktywnie publikowała złośliwe paczki w repozytorium npm, podszywając się pod biblioteki programistyczne.
Ryzyka Strukturalne Urządzeń Mobilnych
Zagrożenia, w których urządzenia mobilne odgrywały istotną rolę operacyjną, stanowiły 42,4% przypadków. Obserwowano pojawienie się zagrożeń takich jak BingoMod RAT, który kradnie środki z kont bankowych, a następnie czyści urządzenie (wipe) w celu zatarcia śladów.
W raporcie ENISA zwraca się uwagę na ryzyka strukturalne protokołów SS7 i Diameter, wykorzystywanych w sieciach komórkowych. Według zewnętrznych analiz przytaczanych w raporcie (m.in. iVerify), operatorzy powiązani z państwami trzecimi mogą wykorzystywać te luki do cichego śledzenia lokalizacji i przechwytywania komunikacji bez instalowania spyware’u na urządzeniu ofiary.
Konwergentne Grupy Zagrożeń
Tradycyjny podział na hacktywistów, cyberprzestępców i grupy państwowe ulega zatarciu.
- Faktywizm (Faketivism): Grupy państwowe podszywają się pod hacktywistów. Przykładem jest Cyber Army of Russia Reborn, wobec której wielu analityków bezpieczeństwa wskazuje na możliwe powiązania z rosyjską grupą Sandworm.
- Monetyzacja: Grupy takie jak FunkSec czy CyberVolk zaczęły łączyć manifesty polityczne z żądaniami okupu za pomocą ransomware.
- Działalności uboczne: Państwowe grupy APT (np. Mustang Panda) były obserwowane przy wykorzystaniu ransomware, co może wskazywać na realizację dodatkowych aktywności zarobkowych (tzw. moonlighting).
Analiza Sektorowa
Administracja Publiczna (38,2% incydentów)
To najczęściej atakowany sektor w UE. Dominują ataki DDoS (96,2% w kategorii hacktywizmu), realizowane głównie przez prorosyjską grupę NoName057(16). Odnotowano również ataki ransomware na poziomie samorządów (municipalities), jak w przypadku włoskiej gminy Comune di Fabriano w lipcu 2024 r.
Transport (7,5% incydentów)
Najbardziej dotknięty był transport lotniczy (58,4% incydentów w sektorze). W lipcu 2024 r. lotnisko w Splicie padło ofiarą grupy Akira – atak zablokował systemy odpraw, zmuszając personel do pracy manualnej i powodując liczne opóźnienia.
Finanse (4,5% incydentów)
Aż 83,5% incydentów w całym sektorze finansów stanowiły ataki DDoS, głównie skierowane na strony banków, mające na celu destabilizację usług. W sferze przestępczej dominowały wycieki danych (64%), jak w przypadku Direct Assurance pod koniec 2024 r., gdzie wyciekły dane 15 000 klientów, w tym numery IBAN.
Cyberprzestępczość i Operacje Organów Ścigania
Rok 2024 i połowa 2025 to czas ofensywy organów ścigania. Operacja Cronos zdruzgotała reputację grupy LockBit, przejmując jej infrastrukturę. Z kolei kolejne fazy Operacji Endgame (w maju 2024 r. i maju 2025 r.) uderzyły w infrastrukturę botnetów i dropperów.
Miejsce upadających gigantów zajmują mniejsze, agresywne grupy:
- Akira: Najczęściej wdrażane ransomware w UE (11,6%).
- SafePay: Nowy gracz z 10,1% udziałem, prawdopodobnie wykorzystujący zmodyfikowane narzędzia po grupie LockBit.
- IAB (Initial Access Brokers): Brokerzy ci ewoluują w stronę modelu wysokowolumenowego, sprzedając dostępy (np. VPN) po niższych cenach.
FIMI: Manipulacja Informacją
Współpraca ENISA z EEAS STRATCOM ujawniła 86 operacji FIMI (Foreign Information Manipulation and Interference).
- Doppelgänger: Kampania tworząca klony mediów w celu publikowania dezinformacji. W kontekście procesów wyborczych w państwach UE, w tym w Europie Środkowo-Wschodniej, operacje te promowały narracje o rzekomym upadku gospodarczym czy negatywnych skutkach wydatków na obronność.
- Holy League: Sojusz ponad 70 grup hacktywistycznych, który w grudniu 2024 r. przeprowadził skoordynowany atak na Francję, twierdząc (prawdopodobnie na wyrost), że uzyskał dostęp do systemów kontroli przemysłowej SCADA.
Rekomendacje Strategiczne
Raport ETL 2025 sugeruje przejście od prostej prewencji do budowania odporności.
- Backup i Disaster Recovery: Zakładanie, że systemy zostaną przełamane, i przygotowanie planów odtworzenia zgodnie z NIS2.
- Zarządzanie Powierzchnią Ataku: Priorytetowe łatanie luk CVE w systemach brzegowych (VPN).
- Weryfikacja Łańcucha Dostaw: Audyty dostawców zewnętrznych (Third-Party Risk Management).
- Obrona przed AI: Wdrażanie metod weryfikacji tożsamości odpornych na deepfake (np. klucze FIDO2).
Chcesz skutecznie chronić swoją organizację przed atakami DDoS i phishingiem? Sprawdź rozwiązania clev.one — pomożemy Ci zbudować odporność zgodną z najnowszymi wytycznymi ENISA.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz