🔐 Cyber Security Daily News | 02.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Pro-irańska grupa 313 Team zaatakowała Canonical/Ubuntu atakiem DDoS — i zażądała okupu
Canonical, firma stojąca za najpopularniejszą dystrybucją Linuksa Ubuntu, potwierdziła, że jej infrastruktura sieciowa jest od 30 kwietnia celem rozległego ataku DDoS, który 1 maja unieruchomił kilkanaście kluczowych serwisów: ubuntu.com, security.ubuntu.com, Snap Store, Launchpad, login.ubuntu.com i inne. Odpowiedzialność za atak przejęła na Telegramie grupa "The Islamic Cyber Resistance in Iraq — 313 Team", powiązana z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Atak jest szczególnie dotkliwy dla administratorów systemów, bo wyłączony security API blokuje pobieranie informacji o lukach bezpieczeństwa — a to właśnie teraz, gdy kilka krytycznych podatności wymaga pilnego łatania. Co gorsza, 313 Team wysłała Canonicalowi wiadomość z żądaniem kontaktu przez szyfrowany komunikator Session, grożąc kontynuowaniem ataku w przypadku braku odpowiedzi — co oznacza przejście od hacktivizmu do zwykłego wymuszenia. Ta sama grupa w ciągu ostatniego miesiąca atakowała BlueSky i Mastodon. Deweloperzy i admini mogą tymczasowo korzystać z alternatywnych źródeł danych o CVE (np. NVD lub OSV).
Źródło: The Register [EN]
Dwaj specjaliści ds. cyberbezpieczeństwa skazani na 4 lata więzienia za atak ransomware BlackCat
W bezprecedensowym wyroku sąd federalny skazał na cztery lata więzienia Ryana Goldberga (40 l., Georgia) i Kevina Martina (36 l., Teksas) — obaj pracowali zawodowo w branży cyberbezpieczeństwa i wykorzystali swoją wiedzę ekspercką do przeprowadzania ataków ransomware zamiast ich powstrzymywania. Goldberg był menedżerem ds. reagowania na incydenty w firmie Sygnia, a Martin — negocjatorem ransomware w DigitalMint, czyli firmie pomagającej ofiarom płacić okup. Obaj i ich wspólnik Angelo Martino podłączyli się jako afiliaci do operacji ALPHV/BlackCat, korzystając z modelu Ransomware-as-a-Service: płacili 20% zarobionego okupu twórcom malware i zachowywali resztę. W jednym przypadku wyłudzili 1,2 mln dolarów w Bitcoinie od jednej ofiary. Prokuratura podkreśliła ironię sytuacji: osoby, które powinny chronić inne firmy, same je atakowały — i ujawniały skradzione dane pacjentów gabinetu lekarskiego. Sprawa pokazuje, jak poważne jest ryzyko insider threat w branży security.
Źródło: SecurityWeek [EN], Infosecurity Magazine [EN]
Pentagon wchodzi w epokę wojen autonomicznych — miliardy dolarów i nowa struktura dowodzenia
CyberDefence24 opisuje fundamentalną zmianę w podejściu Pentagonu do przyszłości pola walki: coraz mniejszą rolę odgrywa tradycyjna debata o liczbie okrętów i czołgów, a coraz ważniejsze staje się pytanie, kto faktycznie zarządza walką — człowiek czy maszyna. Departament Obrony USA powołał specjalną strukturę odpowiedzialną za wdrożenie autonomicznych systemów bojowych i zarezerwował na ten cel miliardy dolarów. Autonomiczne drony, systemy decyzji ogniowej wspierane AI oraz narzędzia do cyber-operacji są już testowane w praktyce bojowej. Kraje NATO, w tym Polska, stają przed pytaniem, jak dostosować własne doktryny i infrastrukturę do tej nowej rzeczywistości. Rosnąca autonomizacja systemów wojskowych rodzi też poważne pytania etyczne i prawne o odpowiedzialność za błędy i ofiary.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
30 000 kont Facebook przejętych przez złośliwe rozszerzenie Chrome — kampania phishingowa na masową skalę
Badacze zidentyfikowali kampanię, w której złośliwe rozszerzenie do przeglądarki Chrome przejęło ponad 30 000 kont Facebook i wykorzystało je do rozsyłania fałszywych linków do phishingowych stron. Mechanizm działania to klasyczna pułapka: rozszerzenie udaje przydatne narzędzie (np. do zarządzania kolorami lub produktywności), po zainstalowaniu uzyskuje dostęp do sesji przeglądarki i przejmuje aktywne konto Facebook bez znajomości hasła. Przejęte konta są następnie używane do atakowania znajomych ofiary — wysyłają wiarygodnie wyglądające wiadomości, bo pochodzą od prawdziwych, znanych nam osób. Kampania jest trudna do zatrzymania, bo każde przejęte konto staje się nowym wektorem ataku. Jeśli ktoś z Twojego kręgu nagle zaczyna wysyłać dziwne linki — zignoruj i powiadom go innym kanałem.
Źródło: The Hacker News [EN]
Stalkerware ujawnia prywatne czaty i zdjęcia celebrytów — hakerzy włamali się do serwera
Hackread opisuje intrygujące zderzenie dwóch zagrożeń prywatności: hakerzy włamali się na serwery firmy produkującej stalkerware — oprogramowanie szpiegujące stosowane do niejawnego monitorowania partnerów — i ujawnili prywatne dane ofiar inwigilacji, w tym zdjęcia i wiadomości osób publicznych. To podwójny paradoks: oprogramowanie, które samo narusza prywatność, stało się wektorem kolejnego naruszenia. Dane ofiar inwigilacji (które były szpiegowane bez swojej wiedzy) trafiły w ręce jeszcze innych nieuprawnionych osób. Przypadek pokazuje, że stalkerware jest nie tylko narzędziem przemocy domowej, ale też poważną luką bezpieczeństwa — serwery gromadzące skradzione dane intymne są atrakcyjnym celem dla cyberprzestępców i hakerów.
Źródło: Hackread [EN]
Ransomware atakuje Stryker — skasowano tysiące rekordów medycznych
Globalny producent sprzętu medycznego Stryker padł ofiarą ataku ransomware, który doprowadził do skasowania tysięcy rekordów medycznych. Incydent dotyczy poufnych danych pacjentów, co czyni go szczególnie poważnym — nie tylko ze względu na naruszenie prywatności, ale też na ciągłość opieki zdrowotnej, gdy dokumentacja medyczna znika. Branża medyczna jest jednym z najczęstszych celów ataków ransomware: wrażliwe dane, konieczność szybkiego przywrócenia działania i często przestarzałe systemy IT sprawiają, że ofiary są pod ogromną presją zapłacenia okupu. Stryker prowadzi śledztwo i pracuje nad przywróceniem danych z kopii zapasowych.
Źródło: CySecurity News [EN]
💡 CIEKAWOSTKI
Vercel — jak jeden zainfekowany partner OAuth naruszył bezpieczeństwo tysięcy projektów deweloperskich
Trend Micro publikuje szczegółową analizę głośnego incydentu z Vercel (platforma do hostowania aplikacji webowych), który pokazuje strukturalną słabość nowoczesnych ekosystemów SaaS. Łańcuch ataku był zaskakująco prosty: pracownik firmy Context.ai pobrał exploit do gry Roblox i zainfekował swój komputer złodziejem danych Lumma Stealer. Skradzione tokeny OAuth dały atakującemu dostęp do środowiska AWS Context.ai, skąd wyeksportował tokeny OAuth integracji z Vercel. Dzięki temu — bez złamania jakiegokolwiek hasła — uzyskał długoterminowy dostęp do wewnętrznych systemów Vercel i zmiennych środowiskowych projektów klientów. CEO Vercel przyznał, że niezwykła szybkość atakujących wskazuje na wspomaganie przez AI. Incydent wpisuje się w niepokojący trend 2026 roku: seria ataków na łańcuch dostaw (LiteLLM, Axios, Codecov) dotyka tych samych słabych punktów — zaufanych integracji OAuth i sekretów przechowywanych przez platformy deweloperskie.
Źródło: Trend Micro [EN]
Agenty AI kasują produkcyjne bazy danych — nieplanowane skutki autonomicznych systemów
Dark Reading opisuje rosnący problem, który zaczyna pojawiać się w organizacjach wdrażających agenty AI: systemy działające autonomicznie kasują lub modyfikują produkcyjne bazy danych — nie złośliwie, lecz przez błędną interpretację zadań. Jeden z głośnych przypadków opisuje agenta AI, który otrzymał polecenie "wyczyść stare dane" i potraktował je dosłownie, usuwając aktywne rekordy klientów. Problem pogłębia się przez trend "vibe coding" — pisanie kodu przy pomocy AI przez osoby bez technicznego zaplecza, który może trafiać prosto na produkcję. Eksperci apelują o obowiązkowe "guardrails" dla agentów AI: reguły zabraniające operacji na produkcji bez potwierdzenia, piaskownice testowe i szczegółowe logi każdej akcji podejmowanej przez AI.
Źródło: Dark Reading [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Fałszywe SMS-y o zaległościach w e-TOLL — nowa fala phishingu na kierowców
Dobreprogramy ostrzegają przed nawrotem kampanii phishingowej wymierzonej w kierowców korzystających z systemu e-TOLL. Wiadomości SMS informują o rzekomej zaległości w opłacie za przejazd i grożą dodatkowymi karami, jeśli użytkownik nie kliknie w link i nie ureguluje płatności. Link prowadzi na fałszywą stronę imitującą portal e-TOLL, gdzie ofiara jest proszona o numer rejestracyjny pojazdu i dane karty płatniczej. System e-TOLL nigdy nie wysyła SMS-ów zawierających linki do płatności — to żelazna zasada, której warto się trzymać. Wszelkie płatności i stany konta należy sprawdzać wyłącznie przez oficjalną stronę etoll.gov.pl, samodzielnie wpisaną w przeglądarkę.
Źródło: Dobreprogramy [PL]
Grupy cyberprzestępcze łączą vishing z atakami na SSO, by przejmować konta korporacyjne
The Hacker News opisuje nową, skoordynowaną taktykę stosowaną przez grupy cyberprzestępcze: łączenie vishingu (podszywania się pod IT helpdesk przez telefon) z atakami na systemy Single Sign-On (SSO), które są centralnym punktem dostępu do wszystkich firmowych zasobów. Schemat wygląda tak: przestępca dzwoni do pracownika firmy, podszywa się pod dział IT i pod pretekstem "incydentu bezpieczeństwa" nakłania go do zresetowania hasła SSO lub zatwierdzenia podejrzanego powiadomienia MFA. Gdy pracownik ulega, atakujący uzyskuje dostęp do całego ekosystemu firmowych aplikacji jednym kliknięciem. Ta technika była już stosowana przez Scattered Spider w atakach na MGM i Caesars — teraz wchodzi do mainstreamu cyberprzestępczości. Szkolenia pracowników z rozpoznawania takich połączeń telefonicznych to podstawowa linia obrony.
Źródło: The Hacker News [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
Deep#Door — zaawansowany backdoor w Pythonie kradie hasła, tokeny chmurowe i klucze SSH
Badacze z Securonix ujawnili szczegóły nowego, wyjątkowo wyrafinowanego złośliwego oprogramowania Deep#Door — napisanego w Pythonie backdoora, który od razu wyłącza mechanizmy ochronne Windows (SmartScreen, Defender, firewall logging, AMSI) i zakorzenia się w systemie przez kilka niezależnych ścieżek trwałości jednocześnie. Komunikację z serwerami przestępców ukrywa przez legalną usługę tunelowania TCP bore.pub, co sprawia, że ruch sieciowy wygląda jak normalny. Po zainstalowaniu kradie hasła z przeglądarek, tokeny uwierzytelniające do chmur (AWS, Azure, GCP), klucze SSH, hasła Wi-Fi — oraz rejestruje ekran, naciśnięcia klawiszy i robi zdjęcia przez kamerkę. Możliwości destrukcyjne (nadpisywanie boot record, wywoływanie awarii systemu) wskazują, że malware może być używany zarówno do szpiegostwa, jak i sabotażu infrastruktury. Powiązań z konkretnym aktorem państwowym dotychczas nie potwierdzono.
Źródło: SecurityWeek [EN]
Chińska APT atakuje azjatyckich operatorów telekomunikacyjnych — kampania długoterminowego szpiegostwa
The Hacker News opisuje nową kampanię szpiegowską powiązanej z Chinami grupy APT, której celem są operatorzy telekomunikacyjni w Azji. Atakujący infiltrują sieci telco przez znane luki w urządzeniach brzegowych i instalują trwałe implanty na poziomie jądra systemu, pozwalające na długoterminowy dostęp niezauważony przez standardowe narzędzia monitoringu. Sektor telekomunikacyjny jest wyjątkowo cennym celem: kontrolując sieć operatora, atakujący może podsłuchiwać komunikację milionów użytkowników — klientów indywidualnych, firm i instytucji rządowych. Kampania wpisuje się w wieloletnią strategię chińskiego cyberwywiadu skupionego na budowaniu "śpiących" przyczółków w infrastrukturze telekomunikacyjnej na całym świecie — do aktywacji w czasie kryzysu lub konfliktu.
Źródło: The Hacker News [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 1 maja 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.