🔐 Cyber Security Daily News | 25.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Atak ransomware na polską markę K2 — dane klientów, pracowników i kontrahentów mogły zostać przejęte
Spółka Melle Sp. z o.o., właściciel polskiej marki odzieżowej K2, poinformowała o ataku ransomware, do którego doszło 11 marca 2026 roku. Złośliwe oprogramowanie zaszyfrowało dane przechowywane na serwerach firmy, a firma nie może wykluczyć, że napastnicy uzyskali dostęp do danych klientów, pracowników, kontrahentów i kandydatów do pracy. Wśród potencjalnie zagrożonych danych znalazły się: numery PESEL, serie i numery dowodów osobistych, numery rachunków bankowych oraz dane o zarobkach. Firma powiadomiła Policję, CERT Polska i UODO, a klientów zachęca do zastrzeżenia numeru PESEL i włączenia dwuetapowego logowania. To kolejny na liście polskich firm dotkniętych ransomware w ostatnich 12 miesiącach — oprócz K2 ofiarami były m.in. SMYK, Herbapol, Grupa PWN, Dom Development i Chemirol.
Źródło: CyberDefence24 [PL]
FCC zakazuje stosowania routerów od wybranych zagranicznych producentów ze względów bezpieczeństwa łańcucha dostaw
Federalna Komisja Łączności USA (FCC) ogłosiła zakaz stosowania w infrastrukturze telekomunikacyjnej routerów i urządzeń sieciowych od producentów uznanych za zagrożenie bezpieczeństwa narodowego — w tym firm chińskich, takich jak Huawei czy TP-Link. Decyzja wynika z obaw o możliwość wbudowania backdoorów i potencjalnej ingerencji w ruch sieciowy przez podmioty powiązane z wrogimi rządami. Krytycy zwracają uwagę, że zakaz komplikuje kwestie łańcucha dostaw, bo wiele urządzeń popularnych producentów jest montowanych lub wyposażonych w komponenty z krajów objętych ograniczeniami. HelpNetSecurity i CyberScoop omawiają też szerszy kontekst: problem routerów jako wektora ataku jest dobrze udokumentowany — w ostatnim roku kilka kampanii APT wykorzystało podatne routery domowe i firmowe jako wejście do sieci.
Źródło: CyberScoop [EN] | HelpNetSecurity [EN] | The Register [EN]
Rosyjski broker dostępu początkowego skazany na niemal 7 lat więzienia za umożliwianie ataków ransomware
Aleksiej Wołkow, obywatel rosyjski, został skazany przez sąd federalny USA na 81 miesięcy pozbawienia wolności za działalność jako broker dostępu początkowego (IAB — Initial Access Broker). Wołkow specjalizował się w włamywaniu do sieci korporacyjnych, a następnie sprzedawaniu przejętego dostępu grupom ransomware, w tym Yanluowang. Aktywność brokera — choć pośrednia — była kluczowym ogniwem wielu głośnych ataków ransomware na firmy i instytucje w USA i Europie. Wyrok jest jednym z najsurowszych wymierzonych pośrednio zaangażowanym w ekosystem ransomware i stanowi wyraźny sygnał, że organy ścigania nie ograniczają się do ścigania operatorów ransomware, lecz celują w cały łańcuch przestępczy.
Źródło: BleepingComputer [EN] | HelpNetSecurity [EN] | Infosecurity Magazine [EN]
2. INCYDENTY
Holenderskie Ministerstwo Finansów ujawnia naruszenie danych pracowników
Niderlandzkie Ministerstwo Finansów poinformowało o cyberataku skutkującym naruszeniem danych osobowych pracowników. Incydent objął dane zatrudnionych i osób stowarzyszonych z ministerstwem — szczegóły dotyczące zakresu naruszonych danych i metody ataku nie zostały w pełni upublicznione na etapie ogłoszenia. Ministerstwo potwierdza współpracę z organami ds. cyberbezpieczeństwa i prowadzenie dochodzenia. Incydent jest o tyle istotny, że ministerstwo finansów zarządza wrażliwymi danymi fiskalnymi całego kraju, a jego pracownicy mogą mieć dostęp do informacji strategicznych. To kolejny przykład ataku na europejskie instytucje rządowe w środku trwającego okresu nasilonej aktywności państwowych aktorów.
Źródło: BleepingComputer [EN] | Security Affairs [EN]
Mazda ujawnia naruszenie danych obejmujące pracowników i partnerów biznesowych
Japoński producent samochodów Mazda poinformował o incydencie bezpieczeństwa, w wyniku którego doszło do nieuprawnionego dostępu do danych pracowników i partnerów. Firma nie ujawniła szczegółów dotyczących wektora ataku ani skali naruszenia. Mazda zapewniła, że podjęto działania naprawcze i wdrożono dodatkowe zabezpieczenia. Przemysł motoryzacyjny od kilku lat jest regularnie atakowany — częściowo ze względu na złożone łańcuchy dostaw i duże bazy danych partnerów, częściowo ze względu na rosnącą cyfryzację procesów produkcyjnych i wartość własności intelektualnej.
Źródło: BleepingComputer [EN]
Qualderm Partners: naruszenie danych z grudnia 2025 roku dotknęło ponad 3 miliony pacjentów
Security Affairs informuje o opóźnionym ujawnieniu naruszenia danych w Qualderm Partners — sieci dermatologicznych placówek medycznych w USA. Incydent z grudnia 2025 roku, który dopiero teraz ujawniono w pełnej skali, dotknął ponad 3 miliony pacjentów. Naruszone dane obejmują imiona, nazwiska, numery ubezpieczenia społecznego, daty urodzin, informacje o ubezpieczeniu zdrowotnym i dane kliniczne. Sektor medyczny w USA jest wyjątkowo atrakcyjnym celem dla przestępców — rekord naruszonych danych medycznych w USA w 2025 roku to blisko 200 milionów pacjentów. Osoby korzystające z usług Qualderm Partners powinny monitorować swoje konta i korzystać z ochrony przed kradzieżą tożsamości.
Źródło: Security Affairs [EN]
3. CIEKAWOSTKI
Sekurak: 10 realnych zagrożeń AI na 2026 rok — od deepfake'ów po zatrucie modeli językowych
Sekurak opublikował obszerny przegląd największych zagrożeń cyberbezpieczeństwa wynikających bezpośrednio z popularyzacji AI. W pierwszej dziesiątce znalazły się m.in.: hiperrealistyczne deepfake'i głosowe i wideo służące do wyłudzeń i podszywania się pod osoby (w tym tzw. CEO fraud), phishing nowej generacji budowany przez AI na podstawie profili z mediów społecznościowych, prompt injection i jailbreaking modeli językowych używanych w firmach, wycieki danych przez źle skonfigurowane systemy RAG, nadmierne zaufanie LLM prowadzące do decyzji opartych na halucynacjach, oraz zatrute dane treningowe degradujące jakość modeli. Artykuł jest jednocześnie zapowiedzią bezpłatnego szkolenia online Sekuraka „Mroczna strona AI" zaplanowanego na 30 marca o godz. 19:00 — dla każdego, kto chce zrozumieć praktyczne zagrożenia i sposoby obrony przed nimi.
Źródło: Sekurak [PL]
TrickMo w nowym wydaniu: trojan bankowy dystrybuowany przez reklamy na Facebooku podszywające się pod TikTok18
PREBYTES SIRT opisuje nową kampanię trojana bankowego TrickMo, tym razem używającego jako wektora sponsorowanych reklam na Facebooku, które udają dostęp do „nieocenzurowanej" wersji TikToka. Przestępcy perfekcyjnie balansują na granicy regulaminu Facebooka z prowokacyjnymi grafikami, przyciągając kliknięcia mężczyzn w wieku 18–65+. Po zainstalowaniu fałszywej APK z zewnętrznego źródła, TrickMo przejmuje kontrolę nad urządzeniem: nakłada fałszywe warstwy na aplikacje bankowe, odczytuje SMS-y z kodami jednorazowymi i ukrywa swoją aktywność. Wyjątkowym elementem kampanii jest wykorzystanie sieci TON (Telegram Open Network) jako infrastruktury C2 — co utrudnia wykrycie i blokowanie połączeń. Kampania jest precyzyjnie ukierunkowana geograficznie na polski rynek.
Źródło: SIRT.pl [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
mBank ostrzega przed nowym schematem przejęcia konta przez fałszywą aplikację i czarny ekran
mBank opublikował szczegółowe ostrzeżenie przed kampanią, w której cyberprzestępcy instalują trojanizowaną wersję aplikacji bankowej pobraną z zewnętrznych źródeł. Ofiara jest najpierw nakłaniana telefonicznie przez rzekomego pracownika banku do pobrania „dodatkowego narzędzia zabezpieczającego" z niezaufanej strony. Po instalacji malware nadaje sobie uprawnienia dostępności i może nakładać fałszywe warstwy na aplikacje bankowe. Najgroźniejszą fazą jest technika „czarnego ekranu" — przestępca zdalnie przejmuje urządzenie, wyłącza wyświetlacz, a w tle zatwierdza własne przelewy. W razie nagłego zablokowania się telefonu należy natychmiast odciąć go od internetu (wyłączyć Wi-Fi lub wyjąć SIM) i zadzwonić z innego urządzenia na infolinię banku. Jedynym bezpiecznym źródłem oficjalnej aplikacji mBanku jest Google Play lub App Store.
Źródło: Instalki.pl [PL]
CERT Polska: fałszywe wiadomości o zwrocie nadpłaty za prąd wyłudzają dane do panelu klienta dostawcy energii
CERT Polska ostrzega przed nową odsłoną kampanii phishingowej podszywającej się pod dostawców energii elektrycznej. Tym razem pretekstem jest informacja o „nadpłacie wynikającej z podwójnego opłacenia faktury" — ofiara jest zachęcana do kliknięcia w link i „odebrania zwrotu". Strona, do której link prowadzi, wiernie imituje panel klienta dostawcy energii. Podane tam dane logowania trafiają bezpośrednio do przestępców, dając im dostęp do konta w panelu klienta i historii płatności. Schemat doskonale eksploatuje sezon rozliczeniowy i naturalną chęć odzyskania pieniędzy. Zawsze loguj się do panelu klienta dostawcy energii bezpośrednio przez oficjalną stronę lub aplikację — nigdy przez linki z e-maili czy SMS-ów.
Źródło: CERT Polska [PL]
Reklamy podatkowe w wyszukiwarce dostarczają narzędzie do zdalnego dostępu ScreenConnect
The Hacker News opisuje kampanię wykorzystującą płatne reklamy w wynikach wyszukiwania Google podczas sezonu podatkowego. Użytkownik szukający usług podatkowych lub oprogramowania do rozliczeń trafia na płatne reklamy prowadzące do spreparowanych stron. Po „pobraniu oprogramowania" ofiara instaluje legalnie wyglądające narzędzie zdalnego dostępu ScreenConnect — oryginalny produkt do zdalnej pomocy IT. Atakujący używają go następnie do przejęcia kontroli nad komputerem ofiary, kradzieży plików finansowych i danych logowania do kont bankowych i rozliczeniowych. To klasyczny atak malvertising + LOLBins (Living Off the Land Binaries) — używa legalnego oprogramowania, by ominąć filtry bezpieczeństwa.
Źródło: The Hacker News [EN]
5. DEZINFORMACJA, CYBER WOJNA
Wojsko Polskie ostrzega żołnierzy i pracowników cywilnych przed oprogramowaniem kradnącym dane
CyberDefence24 informuje o ostrzeżeniu wydanym przez Wojsko Polskie, skierowanym do żołnierzy i pracowników cywilnych resortu obrony, dotyczącym złośliwego oprogramowania klasy infostealer wykradającego dane. Komunikat wskazuje na konkretne zagrożenia wynikające z instalowania nieautoryzowanego oprogramowania na urządzeniach służbowych oraz używania prywatnych urządzeń do zadań służbowych bez odpowiednich zabezpieczeń. Infostealery potrafią kraść hasła, tokeny uwierzytelnienia, dane konfiguracyjne sieci VPN i certyfikaty — co w przypadku żołnierza może oznaczać kompromitację wrażliwych systemów militarnych. Ostrzeżenie wpisuje się w serię działań edukacyjnych polskiego wojska wobec rosnącej liczby prób szpiegowskich wymierzonych w sektor obronny.
Źródło: CyberDefence24 [PL]
Chińscy hakerzy (Silver Fox) prowadzą podwójne operacje szpiegowskie i wywiadowcze na Bliskim Wschodzie
Infosecurity Magazine opisuje nową kampanię grupy Silver Fox — chińskiego aktora APT — która prowadzi skoordynowane operacje w regionie Bliskiego Wschodu, łącząc szpiegostwo gospodarcze z operacjami wywiadowczymi. Atakujący celują w firmy energetyczne, rządowe i infrastrukturę krytyczną, zbierając jednocześnie informacje biznesowe (np. dotyczące kontraktów naftowych) i dane wywiadowcze (struktury organizacyjne, personel). Schemat „podwójnego wykorzystania" (dual-use espionage) jest coraz powszechniejszy wśród chińskich grup APT — dane wywiadowcze służą do budowania przewagi strategicznej Pekinu, a dane biznesowe — do wsparcia chińskich spółek konkurujących z zachodnimi firmami o kontrakty. Kampania jest szczególnie aktywna od początku 2026 roku, zbiegając się z eskalacją konfliktu na Bliskim Wschodzie.
Źródło: Infosecurity Magazine [EN]
CBZC rozbiło zorganizowaną grupę przestępczą wyspecjalizowaną w fałszywych ofertach sprzedaży aut i praniu pieniędzy
Centralne Biuro Zwalczania Cyberprzestępczości przeprowadziło operację rozbijającą grupę przestępczą, która na szeroką skalę wystawiała fałszywe ogłoszenia sprzedaży samochodów na portalach ogłoszeniowych, a uzyskane w ten sposób środki piorła przez sieć słupów i kont bankowych. Schemat był wielopoziomowy: ogłoszenia trafiały do kupujących skłonnych do wpłacenia zaliczki lub pełnej kwoty przed obejrzeniem auta. Auta oczywiście nie istniały. Zorganizowana prania pieniędzy przez cyrkulację środków przez wiele kont utrudniała wykrycie i zamrożenie aktywów. Rozbicie grupy to efekt długotrwałego śledztwa analitycznego prowadzonego przez CBZC z użyciem zaawansowanej analizy transakcji finansowych. To ważne przypomnienie: nigdy nie wpłacaj zaliczki za auto bez osobistego spotkania i weryfikacji pojazdu.
Źródło: CyberDefence24 [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 24 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.