🔐 Cyber Security Daily News | 27.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Alarm BRAVO-CRP w polskiej cyberprzestrzeni przedłużony do 31 sierpnia 2026
Rząd przedłużył obowiązywanie stopnia alarmowego BRAVO-CRP (drugi z czterech stopni systemu alertowego) dla polskiej cyberprzestrzeni do 31 sierpnia 2026 roku. BRAVO-CRP oznacza podwyższoną czujność i gotowość służb odpowiedzialnych za bezpieczeństwo infrastruktury krytycznej, szpitali, systemów telekomunikacyjnych i energetyki. Decyzja jest bezpośrednią konsekwencją utrzymującego się nasilonego poziomu zagrożeń ze strony aktorów powiązanych z Rosją i Białorusią — zwłaszcza grup takich jak UNC1151 i FrostyNeighbor aktywnie uderzających w polskie instytucje. Przedłużenie alertu zobowiązuje administratorów systemów w sektorach kluczowych do utrzymania wzmożonych procedur monitoringu i reagowania.
Źródło: CRN.pl [PL]
Nowe szczegóły ZUS/e-Zdrowie: badacz mógł też wystawiać recepty i wnioskować o świadczenia
W uzupełnieniu do wczorajszego przełomowego ujawnienia podatności CVE-2026-9058 (opisanego w poprzednim wydaniu), CyberDefence24 informuje o kolejnym wymiaru luki: badacz Michał Leszczyński potwierdził, że możliwości ataku nie kończyły się na odczycie danych — podatne systemy umożliwiały też aktywne działania w imieniu ofiary, w tym wystawianie recept przez system PRS (Platforma Realizacji Świadczeń) i składanie wniosków o świadczenia w ZUS. Oznacza to, że atakujący znając jedynie imię, nazwisko i PESEL ofiary, mógł potencjalnie wystawić receptę na silne leki na jej nazwisko, złożyć wniosek o zasiłek lub zmienić dane ubezpieczenia. Skala zagrożenia jest tym samym dramatycznie większa, niż sugerowało samo "przeglądanie danych".
Źródło: CyberDefence24 [PL]
Apple udostępnia PQ3 jako open source — post-kwantowe szyfrowanie dla całego internetu
Apple ogłosiło otwarcie kodu źródłowego protokołu PQ3 — zaawansowanego algorytmu kryptograficznego odpornego na ataki komputerów kwantowych, używanego dotychczas wyłącznie w iMessage. Udostępnienie go jako projektu open source pozwoli innym platformom komunikacyjnym i programistom na wdrożenie tego samego poziomu ochrony. Kryptografia post-kwantowa chroni przed scenariuszem "zbierz dziś, odszyfruj jutro" — gdy komputery kwantowe osiągną odpowiednią moc, mogą potencjalnie złamać tradycyjne szyfrowanie RSA i ECC stosowane dziś powszechnie. PQ3 łączy tradycyjne metody z nowymi algorytmami NIST — co sprawia, że jest odporny na ataki zarówno klasyczne, jak i kwantowe.
Źródło: CyberScoop [EN]
🚨 INCYDENTY
Charter Communications (Spectrum) potwierdza wyciek danych — kolejna ofiara ShinyHunters
Charter Communications — jeden z największych dostawców telewizji kablowej i internetu w USA działający pod marką Spectrum — potwierdziło, że szantaż ShinyHunters jest uzasadniony i doszło do wycieku danych klientów. Firma prowadzi śledztwo i nie ujawniła dotąd pełnego zakresu incydentu. ShinyHunters od początku 2026 roku odpowiadają za imponującą serię wycieków: Medtronic, Udemy, Zara, 7-Eleven, Vimeo, Canvas/Instructure — i teraz Spectrum. Seria ataków tej grupy wskazuje na systematyczne, zautomatyzowane podejście do identyfikowania i eksploitowania podatności w dużych organizacjach komercyjnych.
Źródło: BleepingComputer [EN]
Fałszywe instalatory Claude i Gemini przez SEO poisoning — deweloperzy na celowniku
Hackread opisuje aktywną kampanię SEO poisoning, w której hakerzy pozycjonują złośliwe strony na czele wyników wyszukiwania dla zapytań "download Claude", "install Gemini", "Claude Code installer" i podobnych. Strony wyglądają profesjonalnie i kuszą deweloperów "najnowszą wersją z dodatkowymi funkcjami". Po pobraniu instalatora ofiara otrzymuje trojana — najczęściej RedLine Stealer lub Vidar — który kradnie tokeny deweloperskie, klucze API, portfele kryptograficzne i dane z przeglądarek. Kampania kontynuuje trend z maja 2026: złośliwi aktorzy konsekwentnie atakują deweloperów przez narzędzia, z których zawodowo korzystają — JDownloader, VS Code extensions, Claude Code.
Źródło: Hackread [EN]
BTMob — nowy Android RAT dostępny jako usługa z interfejsem buildera dla każdego
Infosecurity Magazine opisuje BTMob — nowego trojana bankowego na Androida dostępnego jako Malware-as-a-Service (MaaS) z interfejsem buildera, który pozwala nawet osobom bez wiedzy programistycznej tworzyć spersonalizowane warianty złośliwego oprogramowania. BTMob potrafi przechwytywać SMS-y z kodami 2FA, nakładać fałszywe okna na aplikacje bankowe, nagrywać ekran i przekazywać pełną kontrolę nad urządzeniem zdalnemu atakującemu. Platforma MaaS oferuje subskrypcje miesięczne z obietnicą regularnych aktualizacji omijających nowe mechanizmy obronne. Rosnące ekosystemy MaaS bankowego malware na Androidzie są bezpośrednią odpowiedzią na upowszechnienie bankowości mobilnej.
Źródło: Infosecurity Magazine [EN]
💡 CIEKAWOSTKI
Microsoft Defender automatycznie izoluje zhakowane endpointy — koniec z oczekiwaniem na SOC
Microsoft ogłosił nową funkcję w Defender for Endpoint: automatyczną izolację skompromitowanych urządzeń bez konieczności interwencji analityka. Gdy Defender wykryje aktywne naruszenie bezpieczeństwa (ransomware, lateral movement, C2 communication), natychmiast odcina zainfekowany endpoint od sieci — blokując dostęp do zasobów firmowych, ale zachowując połączenie z platformą zarządzania Microsoft. W tradycyjnym modelu czekanie na decyzję SOC-u często oznaczało minuty lub godziny, w których malware rozprzestrzeniał się po sieci. Automatyczna izolacja skraca to okno do sekund. Funkcja jest konfigurowalna — organizacje mogą dostosować progi i wyjątki.
Źródło: BleepingComputer [EN]
Indie: CERT-IN wprowadza obowiązek łatania systemów AI w ciągu 12 godzin
Indyjski CERT-IN (Computer Emergency Response Team India) opublikował dyrektywę nakładającą na dostawców systemów AI w Indiach obowiązek wdrożenia łatek dla krytycznych podatności w ciągu zaledwie 12 godzin od ich ujawnienia. To jeden z najkrótszych terminów na łatanie podatności na świecie — dla porównania CISA daje agencjom federalnym USA zazwyczaj 14 lub 21 dni. Decyzja Indii ma kontekst geopolityczny: kraj ten przeżywa gwałtowny wzrost adopcji AI w sektorze finansowym i rządowym, a niedawne incydenty cybernetyczne zmusiły regulatora do zdecydowanej odpowiedzi. Branżowi eksperci pytają, czy 12 godzin jest realnym terminem dla złożonych systemów produkcyjnych.
Źródło: Infosecurity Magazine [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Deno RAT na GitHubie i SourceForge — zaufane repozytoria jako wektor dystrybucji malware
Malwarebytes opisuje kampanię, w której przestępcy umieścili złośliwe narzędzia deweloperskie na GitHubie i SourceForge — dwóch platformach cieszących się bardzo wysokim poziomem zaufania wśród programistów. Spreparowane repozytoria wyglądają jak legalny projekt open source z dokumentacją, commitami i gwiazdkami (sztucznie zawyżonymi). Po zainstalowaniu uruchamiają Deno RAT — backdoor zbudowany na środowisku uruchomieniowym Deno (TypeScript/JavaScript), dający atakującym pełną kontrolę zdalną. Kampania skutecznie omija wiele systemów detekcji, bo Deno jest legalnym i popularnym narzędziem deweloperskim — uruchomienie go przez antywirus wygląda normalnie.
Źródło: Malwarebytes [EN]
Oszuści "z Microsoftu" mieli wsparcie prawdziwych dyrektorów korporacyjnych — skandal wewnętrzny
Malwarebytes opisuje sprawę bulwersującą branżę: kampania vishingowa podszywająca się pod Microsoft wsparcie techniczne nie działała sama — badacze odkryli, że przestępcy korzystali z pomocy prawdziwych dyrektorów IT i compliance z zaatakowanych organizacji, którzy czerpali finansowe korzyści za ciche uwierzytelnianie fałszywych połączeń. Schemat działał tak: ofiara dzwoniła do "Microsoftu" (fałszywy numer), a w tle ktoś wewnątrz organizacji potwierdzał tożsamość "konsultanta" i nakłaniał do wykonania instrukcji. To ekstremalny przykład zagrożenia insider threat łączącego się z zewnętrzną kampanią przestępczą. Winni wewnętrzni mają teraz zarzuty karne.
Źródło: Malwarebytes [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Polskie samorządy pod presją cyberataków — ministerstwo odpowiada na interpelację, zidentyfikowano jedną z grup
Wiceminister Cyfryzacji Paweł Olszewski udzielił pisemnej odpowiedzi na interpelację posłanki Urszuli Pasławskiej z kwietnia 2026 roku dotyczącą cyberbezpieczeństwa polskich samorządów. Kluczowe ustalenie: organy ścigania i służby specjalne zidentyfikowały jedną z grup odpowiedzialnych za ataki ransomware na polskie urzędy gminne — choć szczegóły atrybucji pozostają niejawne. Ministerstwo przyznaje, że budżety IT samorządów są niewystarczające i zapowiada program wsparcia dla jednostek samorządu terytorialnego. Tymczasem od początku 2026 roku zaatakowanych ransomwarem zostało już co najmniej 14 polskich gmin i powiatów.
Źródło: CyberDefence24 [PL]
Rosyjski agent GRU w Kyivstar — atak z 2023 roku miał wspólnika od środka
Nowe szczegóły głośnego ataku na ukraiński telecom Kyivstar z grudnia 2023 roku, który odciął od internetu ponad 24 miliony Ukraińców na kilka dni: szef ukraińskiej grupy hakerskiej powiązanej ze służbami twierdzi, że rosyjskie GRU opłaciło pracownika Kyivstar, który z wewnątrz udostępnił dostęp niezbędny do przeprowadzenia ataku. Sam atak — opisywany jako "katastrofalny" i wyjątkowo głęboki — był trudny do wyjaśnienia bez współpracy kogoś wewnątrz systemu. Kyivstar oficjalnie nigdy nie potwierdziło tej teorii. Sprawa rzuca nowe światło na znaczenie bezpieczeństwa personalnego (personal security vetting) w telekomunikacji i infrastrukturze krytycznej.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 27 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.