🔐 Cyber Security Daily News | 07.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Ransomware paraliżuje Urząd Gminy Lewin Kłodzki — dane zaszyfrowane, urząd niedostępny przez tydzień
4 maja 2026 roku Urząd Gminy Lewin Kłodzki (pow. kłodzki, Dolny Śląsk) padł ofiarą ataku ransomware. Złośliwe oprogramowanie zaszyfrowało znaczną część danych urzędu, powodując całkowity paraliż systemów IT. Przez pięć kolejnych dni mieszkańcy nie mogli uzyskać bezpośredniej obsługi ani skontaktować się z pracownikami. Władze gminy zakładają, że osoby nieuprawnione mogły uzyskać dostęp do danych osobowych mieszkańców: imion i nazwisk, adresów, numerów PESEL i danych z dowodów osobistych. Dane Urzędu Stanu Cywilnego — przechowywane na niezależnych serwerach centralnych — pozostały bezpieczne. Gmina powiadomiła CERT Polska i organy ścigania. To kolejny incydent ransomware w polskiej administracji samorządowej — po Obrazowie (luty 2026) i Myszkowie (marzec 2026). Mieszkańcy Lewina Kłodzkiego powinni zachować szczególną ostrożność wobec podejrzanych telefonów, SMS-ów lub e-maili odwołujących się do urzędu.
Źródło: CyberDefence24 [PL]
Producent DAEMON Tools potwierdza naruszenie i wydaje czystą wersję — atak formalnie zakończony
Firma AVB Disc Soft oficjalnie potwierdziła naruszenie bezpieczeństwa swoich systemów dystrybucyjnych, o którym pisaliśmy w poprzednim wydaniu. Wydała też nową, wolną od malware wersję oprogramowania (12.6.0 i nowsze) oraz unieważniła skompromitowane certyfikaty cyfrowe. Kaspersky potwierdza, że nowe instalatory są czyste, a aktywna faza dystrybucji backdoora została zatrzymana. Producent nie ujawnił, jak doszło do przełamania zabezpieczeń ani jak długo trwał nieuprawniony dostęp do infrastruktury dystrybucyjnej. Organizacje, które zainstalowały DAEMON Tools w wersjach 12.5.0.2421–12.5.0.2434 po 8 kwietnia, powinny priorytetowo przeaudytować te maszyny pod kątem anomalii sieciowych i nowych procesów uruchamianych przy starcie systemu.
Źródło: BleepingComputer [EN]
Dowódca polskich Cyberwojsk: „granica między atakiem kinetycznym a cyberatakiem przestała istnieć"
Generał dowodzący polską jednostką cyberwojskową udzielił rzadkiego wywiadu, w którym stwierdza wprost, że współczesne operacje wojskowe są hybrydowe z definicji — a precyzyjny cyberatak na systemy zarządzania może być równie niszczycielski jak pocisk. Polska buduje zdolności zarówno defensywne, jak i ofensywne w cyberprzestrzeni, kładąc szczególny nacisk na ochronę infrastruktury krytycznej i systemów łączności wojskowej. Generał podkreślił, że Polska uczy się na doświadczeniach z Ukrainy — gdzie cyberoperacje przeplatają się z działaniami kinetycznymi w sposób niespotykan dotąd w historii. Cyberwojska RP uczestniczą regularnie w ćwiczeniach NATO i prowadzą własne operacje monitorowania zagrożeń.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
Quasar Linux RAT — wyrafinowane złośliwe oprogramowanie wymierzone w deweloperów oprogramowania
Badacze Trend Micro zidentyfikowali nowego, stealthy'owego trojana zdalnego dostępu dla systemu Linux — nazwanego QLNX/Quasar Linux — który celuje w deweloperów oprogramowania przez skazone pakiety Open VSX (alternatywny marketplace rozszerzeń dla VS Code używany głównie na Linuksie). Malware stosuje szereg technik anty-analitycznych: sprawdza środowisko wirtualne, imituje legalne procesy systemowe i komunikuje się z C2 przez skompresowane, wielowarstwowe protokoły. Po instalacji umożliwia pełną kontrolę zdalną, kradzież danych uwierzytelniających i klucze SSH, a dzięki temu dostęp do repozytoriów kodu i środowisk CI/CD ofiary. Deweloperzy na Linuksie są szczególnie cennym celem — ich maszyny zawierają klucze i sekrety dające dostęp do kodu produkcyjnego tysięcy aplikacji.
Źródło: BleepingComputer [EN], SecurityWeek [EN]
CloudZ RAT i Windows Phone Link — przestępcy omijają 2FA kradnąc SMS-y przez telefon ofiary
Badacze opisują nową technikę: CloudZ RAT instalowany na komputerze ofiary łączy się z aplikacją Windows Phone Link (pozwalającą odczytywać SMS-y z telefonu Android na PC), by przechwytywać jednorazowe kody 2FA bez potrzeby przejęcia samego telefonu. Ofiara dostaje złośliwe oprogramowanie na komputer (np. przez phishing), a atakujący automatycznie odczytują kody SMS przez już zainstalowaną, legalną aplikację Microsoftu. To eleganckie ominięcie tradycyjnej ochrony 2FA — bez phishingu na smartfonie, bez infostealera na telefonie. Obrona: wyłączenie Phone Link lub ograniczenie uprawnień aplikacji do SMS-ów, a w krytycznych kontach bankowych — stosowanie kluczy sprzętowych (FIDO2) zamiast SMS-owego 2FA.
Źródło: Dark Reading [EN], Infosecurity Magazine [EN]
💡 CIEKAWOSTKI
ScarCruft / Korea Północna: BirdCall ukryty w grach na Androida — celem uciekinierzy z KRLD
ESET odkryło wyrafinowaną operację grupy ScarCruft (APT37) powiązanej z Koreą Północną: hakerzy skompromitowali platformę gier sqgame.net obsługującą etniczną koreańską społeczność w chińskim regionie Yanbian — kluczowym korytarzu przerzutowym dla uciekinierów z Korei Północnej. Zainfekowane APK na Androida i aktualizacja DLL dla Windowsa instalowały backdoor BirdCall (ewolucję RokRAT) zdolny do nagrywania audio, kradzieży SMS-ów, kontaktów i dokumentów. Atak trwa od co najmniej późnego 2024 roku. Interesujący szczegół techniczny: Android BirdCall nagrywa dźwięk wyłącznie w oknie 19:00–22:00, by oszczędzać baterię i unikać wykrycia. Operacja ma cel wywiadowczy — identyfikowanie uciekinierów i aktywistów "interesujących reżim".
Źródło: Instalki.pl [PL], Infosecurity Magazine [EN]
Dlaczego backup nie chroni przed ransomware — analiza prawdziwych powodów porażek
BleepingComputer publikuje ważną analizę tłumaczącą paradoks: większość ofiar ransomware posiadała kopie zapasowe, a mimo to zapłaciła okup lub poniosła ogromne straty. Przyczyny są zaskakująco prozaiczne: backupy nie były odizolowane od sieci (ransomware je też zaszyfrował), procesy przywracania były nieprzetestowane (okazały się niesprawne w krytycznym momencie), czas odtwarzania był zbyt długi (firmom nie stać na tygodniowy przestój), a dane okazały się niekompletne (brak backupu zaledwie kilku kluczowych systemów uniemożliwiał działanie). Najważniejsza lekcja: kopie zapasowe muszą być izolowane (offline lub immutable), regularnie testowane i musi istnieć realny RTO (czas odtworzenia). Sam backup jako "strategia" jest iluzją bez regularnych próbnych przywróceń.
Źródło: BleepingComputer [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Krytyczna luka RCE w VM2 — sandbox Node.js używany przez miliony projektów
W bibliotece VM2 — popularnym sandbox'ie dla Node.js używanym do bezpiecznego wykonywania niezaufanego kodu w środowiskach serwerowych — odkryto krytyczną podatność umożliwiającą ucieczkę z sandbox'a i wykonanie dowolnego kodu na maszynie hosta. Biblioteka ma ponad 16 milionów pobrań tygodniowo i jest zależnością dziesiątek tysięcy projektów npm. Exploitacja tej luki przez złośliwy kod uruchomiony "bezpiecznie" w VM2 pozwala atakującemu na pełne przejęcie serwera. Administratorzy i deweloperzy korzystający z VM2 powinni niezwłocznie zaktualizować bibliotekę do najnowszej wersji zawierającej łatkę.
Źródło: BleepingComputer [EN]
OceanLotus / APT32 (Wietnam) — podejrzana kampania złośliwych pakietów PyPI wymierzona w użytkowników IRC
Kaspersky Securelist opisuje kampanię przypisaną z dużym prawdopodobieństwem wietnamskiej grupie OceanLotus (APT32), polegającą na umieszczeniu złośliwych pakietów w repozytorium PyPI pod nazwami naśladującymi popularne biblioteki do komunikacji IRC. Pakiety po instalacji instalują wielostopniowy implant z możliwościami kradzieży danych i połączenia zwrotnego do C2. OceanLotus znany jest głównie z ataków na wietnamskich dysydentów, zagraniczne firmy i organizacje pozarządowe w Azji Południowo-Wschodniej — rozszerzenie kampanii na pakiety Python wskazuje na próbę dotarcia do szerszej bazy deweloperów. To kolejny przykład ataku supply chain przez ekosystem PyPI w 2026 roku.
Źródło: Securelist [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
MuddyWater (Iran) — Chaos Ransomware jako przykrywka dla operacji szpiegowskich na Bliskim Wschodzie
Badacze z SecurityWeek, The Hacker News i The Register ujawnili wyrafinowaną irańską operację: powiązana z MOIS (irańskim Ministerstwem Wywiadu) grupa MuddyWater prowadzi ataki, które na powierzchni wyglądają jak ataki ransomware Chaos — ale w rzeczywistości są operacjami szpiegowskimi. Ransomware służy jako przykrywka: ofiara skupia się na odtwarzaniu danych, a atakujący mają czas na głęboką eksfiltrację dokumentów i danych wywiadowczych. MuddyWater wykorzystuje Microsoft Teams jako wektor socjotechniczny, podszywając się pod pomoc techniczną. Operacja celuje przede wszystkim w rządy i instytucje na Bliskim Wschodzie, ale wcześniejsze kampanie grupy obejmowały też Europę. To klasyczna dezinformacja wewnątrz incydentu: ofiara myśli, że jest to "zwykły" atak finansowy, nie dostrzegając wymiaru szpiegowskiego.
Źródło: The Hacker News [EN], The Register [EN], Security Affairs [EN]
AI chroni infrastrukturę krytyczną — debata o roli algorytmów w obronie cybernetycznej NATO
CyberDefence24 publikuje szerszą analizę pytania, które coraz poważniej zadają sobie analitycy NATO: czy sztuczna inteligencja może skutecznie chronić infrastrukturę krytyczną w warunkach konfliktu zbrojnego? AI jest już wdrażana do wykrywania anomalii w sieciach elektrowni, wodociągów i sieci telekomunikacyjnych — reagując na zagrożenia szybciej niż człowiek. Jednak krytycy wskazują na ryzyko fałszywych alarmów i podatność samych systemów AI na ataki (model poisoning, adversarial examples). Doświadczenia z Ukrainy pokazują, że hybryda: AI do szybkiego wykrywania + człowiek do decyzji — daje najlepsze efekty. Polska jako frontowe państwo NATO jest naturalnym poligonem dla takich rozwiązań.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 6 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.