🔐 Cyber Security Daily News | 04.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Pentagon podpisał umowy z 7 firmami technologicznymi — ich AI trafi do tajnych systemów wojskowych
Departament Obrony USA ogłosił formalne umowy z siedmioma firmami technologicznymi na wdrożenie ich systemów sztucznej inteligencji bezpośrednio w tajnych sieciach wojskowych: Google, Microsoft, Amazon Web Services, Nvidia, OpenAI, SpaceX i startup Reflection AI mają "wspomagać decyzje żołnierzy w złożonych środowiskach operacyjnych". Pracownicy wojska korzystają już z platformy GenAI.mil, a Pentagon chwali się, że AI skróciła realizację zadań z miesięcy do dni. Godna uwagi nieobecność: Anthropic, po publicznym sporze z administracją Trumpa o etykę stosowania AI w działaniach wojennych, nie znalazło się na liście. Jeden z kontraktów zawiera zapis o obowiązkowym nadzorze człowieka nad operacjami, w których AI działa autonomicznie lub półautonomicznie. Umowy te sygnalizują fundamentalną zmianę: AI z narzędzia wspierającego planowanie staje się elementem operacji bojowych w czasie rzeczywistym.
Źródło: SecurityWeek [EN]
Microsoft Defender błędnie oznacza certyfikaty DigiCert jako trojana — globalne alarmy na masową skalę
Administratorzy systemów na całym świecie zgłaszają, że Microsoft Defender fałszywie klasyfikuje legalne certyfikaty cyfrowe wydane przez DigiCert jako złośliwe oprogramowanie Trojan:Win32/CerDigentAdha. Problem dotknął zarówno środowiska korporacyjne, jak i prywatne, generując tysiące fałszywych alarmów bezpieczeństwa i blokując zaufane oprogramowanie. Fałszywe alarmy (false positive) od oprogramowania zabezpieczającego to poważny problem operacyjny: każdy alert wymaga analizy, co pochłania czas zespołów bezpieczeństwa, a w środowiskach krytycznych może prowadzić do blokowania systemów produkcyjnych. Microsoft potwierdził problem i pracuje nad poprawką definicji. Administratorzy raportowali blokady oprogramowania firm takich jak Cisco i VMware. W oczekiwaniu na łatkę należy wstrzymać automatyczne działania kwarantanny dla tego konkretnego sygnału.
Źródło: BleepingComputer [EN]
Rada Nowych Mediów przy Prezydencie RP: platformy społecznościowe w radzie walczącej z dezinformacją — konflikt interesów
Telepolis publikuje krytyczny komentarz dotyczący nowo powołanej Rady Nowych Mediów przy Prezydencie RP, która ma zwalczać dezinformację i wzmacniać bezpieczeństwo informacyjne. Problem polega na tym, że w składzie Rady znaleźli się m.in. przedstawiciele wielkich platform społecznościowych — tych samych, którym Komisja Europejska zarzuca naruszanie przepisów o usługach cyfrowych, w tym niedostateczną ochronę dzieci. Autor porównuje tę sytuację do "wpuszczania lisa do kurnika" — firmy, których algorytmy i polityki są często źródłem dezinformacji, mają teraz współkształtować ramy walki z tym zjawiskiem. Szefowa Rady broni tego rozwiązania, twierdząc, że dialog z platformami jest konieczny. Sprawa dotyka fundamentalnego napięcia: jak regulować platformy cyfrowe, które zarazem siedzą przy tym samym stole.
Źródło: Telepolis [PL]
🚨 INCYDENTY
Lwów: ukraińska policja rozbiła grupę hakerską handlującą kontami graczy z Rosją — 10 mln hrywien zysku
Ukraińska Policja Cybernetyczna zatrzymała grupę hakerską działającą w obwodzie lwowskim, która włamywała się na konta graczy w popularnych grach online i sprzedawała je do Rosji, zarabiając blisko 10 milionów hrywien. Metody obejmowały phishing, credential stuffing i inżynierię społeczną. Konta z cennymi przedmiotami i wysokim poziomem były szczególnie łakomym kąskiem — w rosyjskich serwisach można je było spieniężyć na podejrzanych platformach handlowych. To nie tylko straty finansowe dla ofiar: konta graczy często powiązane są z adresem e-mail i danymi płatniczymi, co otwiera dalsze możliwości nadużyć. Przypadek podkreśla, że nawet podczas aktywnego konfliktu zbrojnego grupy cyberprzestępcze nie zwalniają tempa działalności.
Źródło: Policja Cybernetyczna Ukrainy [UA]
Jerry's Store — vibe-coded sklep ujawnił 345 tys. skradzionych numerów kart płatniczych
Cybernews opisuje intrygujący przypadek, w którym sklep z kradzionymi danymi kart płatniczych — "Jerry's Store" — stał się ofiarą własnych błędów programistycznych. Serwis był zbudowany metodą "vibe coding" (tworzenie kodu przez AI bez głębszej weryfikacji), co doprowadziło do niezamierzonego ujawnienia bazy danych z 345 tysiącami skradzionych numerów kart dostępnej publicznie przez niezabezpieczone API. Incydent jest symbolicznym ostrzeżeniem dla całej branży: AI generujące kod może robić to sprawnie, ale bez zrozumienia architektury bezpieczeństwa — i jest równie niebezpieczne w rękach przestępców, co programistów. Paradoks sytuacji polega na tym, że ujawnienie pomaga identyfikować ofiary — numery tych kart można teraz zablokować.
Źródło: Cybernews [EN]
CISA oficjalnie klasyfikuje CopyFail (CVE-2026-31431) jako aktywnie exploitowaną lukę
CISA dodała podatność CopyFail do swojego katalogu KEV (Known Exploited Vulnerabilities), potwierdzając tym samym, że luka w jądrze Linuksa umożliwiająca eskalację uprawnień do poziomu roota jest już aktywnie wykorzystywana przez atakujących w rzeczywistych atakach. Wpisanie do katalogu KEV to silny sygnał dla wszystkich administratorów: agencje federalne USA mają obowiązek zainstalować łatkę w określonym terminie, ale rekomendacja dotyczy całego sektora prywatnego i publicznego. Mimo że łatka dostępna jest od początku maja, badania pokazują, że tysiące podatnych systemów wciąż nie zostało zaktualizowanych. Jeśli system Linux w Twojej infrastrukturze nie ma jeszcze aktualnego kernela — to jeden z najwyższych priorytetów na ten tydzień.
Źródło: CySecurity News [EN]
💡 CIEKAWOSTKI
Kyber Ransomware — pierwszy gang, który rzeczywiście stosuje szyfrowanie postkwantowe w atakach na cele obronne
Analitycy Rapid7 opisują nową grupę ransomware "Kyber", która jako pierwsza w historii udokumentowanych ataków realnie implementuje kryptografię postkwantową (Kyber1024, standaryzowaną przez NIST w 2024 r.) w swoim wariancie dla systemu Windows — zaatakowanym celem był wielomiliardowy dolar amerykański kontraktor zbrojny i dostawca IT. Wariant Windows szyfruje klucze symetryczne za pomocą Kyber1024 + X25519 (podwójna warstwa ochrony), co praktycznie eliminuje możliwość odzyskania plików przez kryptoanalizę teraz i w przyszłości. Wariant ESXi dla VMware fałszywie reklamuje "postkwantowe szyfrowanie", ale faktycznie stosuje klasyczny ChaCha8 i RSA-4096. W marcu 2026 roku odnotowano ponad 900 publicznych incydentów ransomware — Kyber to sygnał, dokąd ewoluuje cała branża przestępcza. Dla organizacji oznacza to jedno: kopie zapasowe offline to jedyna realna ochrona, bo kluczy tych danych nie odzyska nikt.
Źródło: CySecurity News [EN]
PromptMink — agent AI (Claude) dodał złośliwą zależność do projektu kryptowalutowego. Sprawcą Famous Chollima
ReversingLabs ujawnił nową kampanię złośliwego oprogramowania nazwaną PromptMink, w której powiązana z Koreą Północną grupa Famous Chollima wykorzystała modele AI — w tym Claude'a Opus — do zainfekcowania autonomicznego agenta handlowego kryptowalutami. Atak działał subtelnie: złośliwy pakiet npm @validate-sdk/v2 podawał się za standardowe narzędzie walidacji danych, podczas gdy po cichu eksfiltrował wszystkie sekrety ze środowiska — klucze API, tokeny dostępu, dane do portfeli krypto. Pakiet ten był następnie sugerowany przez AI jako zależność w commicie do projektu open-source w lutym 2026. To nowa kategoria zagrożenia: atakujący celowo tworzą paczki tak skonstruowane, żeby były atrakcyjne dla modeli AI jako "rozsądna zależność". Incident podkreśla, że przegląd PR-ów sugerowanych przez agenty AI jest teraz obowiązkowy.
Źródło: ReversingLabs [EN]
Shadow AI — co trzeci pracownik nie ma szkolenia, a mimo to używa AI do pracy z danymi firmowymi
Globalny raport Lenovo (6000 pełnoetatowych pracowników dużych przedsiębiorstw) ujawnia rosnącą przepaść między entuzjazmem pracowników wobec AI a gotowością firm do jej bezpiecznego wdrożenia. 7 na 10 pracowników używa narzędzi AI kilka razy w tygodniu, ale 20–30% robi to bez wiedzy działu IT (tzw. Shadow AI), korzystając z nieautoryzowanych, konsumenckich usług. 31% pracowników nie otrzymało żadnego szkolenia z zakresu bezpiecznego używania AI. Niemal połowa pracowników obawia się, że oni sami lub kolega mogą przypadkowo wyciec poufne dane firmowe przez publiczny chatbot. Dla działów bezpieczeństwa to wyzwanie nowego rodzaju: zagrożenie nie pochodzi od zewnętrznego atakującego, ale od wewnętrznych użytkowników, którzy chcą dobrze, ale nie wiedzą, co wolno.
Źródło: Help Net Security [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
FBI alarmuje: cybernetyczne kradzieże ładunków cargo skaczą do 725 mln dolarów strat — o 60% rok do roku
FBI opublikowało oficjalny alert (PSA) ostrzegający przed gwałtownym wzrostem wyrafinowanych cyberataków na sektor logistyki i transportu w USA i Kanadzie. W 2025 roku straty wyniosły szacunkowo 725 mln dolarów — o 60% więcej niż rok wcześniej — a średnia wartość jednej kradzieży wzrosła o 36% do prawie 274 tys. dolarów. Mechanizm ataku jest złożony i wieloetapowy: przestępcy włamują się do systemów spedytorów i brokerów ładunków przez fałszywe e-maile i linki, następnie podszywają się pod legalnych przewoźników na giełdach ładunków, przejmują zlecenia transportowe i przekierowują ładunki na własne magazyny. Kradziane towary to elektronika, żywność, farmaceutyki i inne towary wysokiej wartości. Firmy z branży logistycznej powinny wdrożyć weryfikację tożsamości kontrahentów poza e-mailem i uważnie monitorować zmiany danych kontaktowych w FMCSA.
Źródło: FBI / IC3 [EN]
IRSF — fałszywe CAPTCHA generują miliony w fraudach telekomunikacyjnych dla przestępców
Infoblox analizuje kampanię International Revenue Share Fraud (IRSF), w której fałszywe strony CAPTCHA skłaniają użytkowników do kliknięcia przycisku "Nie jestem robotem" — co w tle generuje automatyczne połączenia telefoniczne na drogi numery premium, za które ofiara płaci na rachunku. To unikalny schemat, który łączy phishing webowy z telekomunikacyjnym fraudem finansowym: przestępca otrzymuje procent od przychodów z numerów premium, na które wygenerowano ruch. Kampania jest trudna do wykrycia, bo połączenia trwają sekundy, a kwoty na pojedynczych rachunkach są małe — całkowity zysk kumuluje się z dziesiątek tysięcy ofiar. W kampanii zidentyfikowano powiązania z siecią 120 domen Keitaro — profesjonalnym systemem śledzenia i przekierowywania ruchu, typowo używanym do szkodliwego marketingu.
Źródło: Infoblox [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
Iran oskarża USA o używanie backdoorów — odpowiedź na doniesienia o cyberatakach na infrastrukturę nuklearną
CySecurity News opisuje oficjalne oskarżenie Iranu pod adresem Stanów Zjednoczonych: Teheran twierdzi, że USA instalowały ukryte tylne drzwi (backdoory) w irańskiej infrastrukturze krytycznej i systemach IT, co miało umożliwiać zdalną inwigilację i sabotaż. Irańskie władze prezentują te zarzuty jako odpowiedź na doniesienia o zachodniej aktywności cybernetycznej wymierzonej w program jądrowy. Retoryka ta wpisuje się w szerszy wzorzec: po każdej nowej fali napięć dyplomatycznych lub operacji wojskowych obie strony publicznie oskarżają się nawzajem o cyberatak jako element informacyjnej gry na arenie międzynarodowej. Weryfikacja takich twierdzeń jest praktycznie niemożliwa, ale same oświadczenia kształtują percepcję globalną i stanowią pretekst do eskalacji działań ofensywnych.
Źródło: CySecurity News [EN]
CapFix atakuje rosyjski przemysł zbrojeniowy i lotniczy — finansowo motywowana grupa, nie państwowa
Positive Technologies ujawniło kampanię grupy CapFix wymierzonej w rosyjskie organizacje z sektora przemysłowego i lotniczego. Atak wyróżnia się tym, że mimo geopolitycznego kontekstu CapFix działa z motywacji czysto finansowej — nie jest grupą sponsorowaną przez państwo. Przestępcy stosują phishing z dokumentami PDF imitującymi oficjalne komunikaty rządowe i dokumenty FSB, co jest szczególnie skuteczne w środowisku wysokiego zaufania do identyfikatorów władz. Po infekcji instalowany jest backdoor "CapDoor", pozwalający na długoterminową obecność w sieci. Co symptomatyczne: atakujący korzystają ze skompromitowanej, legalnej infrastruktury, co utrudnia atrybucję i wykrycie. Fakt, że prywatne grupy przestępcze atakują rosyjski sektor obronny (nie tylko zachodnie cele), jest istotną zmianą krajobrazu zagrożeń.
Źródło: PT Security [RU]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 3 maja 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.