Analiza Palo Alto Networks: ransomware u progu 2026 roku wchodzi w etap pełnej profesjonalizacji

Cyberprzestępczość wchodzi w okres świąteczny z wyraźnie zwiększoną aktywnością oraz nowym zestawem narzędzi. Jak wskazuje najnowsza analiza Palo Alto Networks, grupy przestępcze nie tylko intensyfikują działania związane z wyłudzaniem danych, ale też rozwijają własne mechanizmy ransomware i coraz śmielej próbują uzyskiwać dostęp do organizacji poprzez ich pracowników. W efekcie krajobraz zagrożeń staje się bardziej złożony i wielowymiarowy niż dotychczas.

Eksperci Palo Alto Networks z jednostki Unit 42 ds. analizy zagrożeń i reagowania na incydenty zwracają uwagę na szczególnie niepokojący trend: powrót i konsolidację ugrupowania określanego jako Scattered LAPSUS$ Hunters (SLSH). Grupa ta łączy techniki kradzieży danych, szantażu, nadużywania wewnętrznych uprawnień oraz budowy własnego zaplecza technologicznego. W ostatnich tygodniach miała prowadzić operacje obejmujące zarówno nieautoryzowany dostęp do danych klientów globalnych platform, jak i próby szybkiego wymuszenia zapłaty, co – zwłaszcza pod koniec roku – dodatkowo zwiększa presję na firmy.

Równolegle Unit 42 odnotowuje rozwój autorskiego programu ransomware związanego z tą grupą, określanego jako ShinySp1d3r. Narzędzie to ma umożliwiać prowadzenie bardziej zaawansowanych kampanii wymuszeń. Publiczne deklaracje dotyczące potencjalnych ataków na duże obszary metropolitalne i instytucje państwowe pokazują skalę ambicji przestępców i brak zahamowań w ich działaniach. Jak podkreślają analitycy, nawet jeśli część takich zapowiedzi ma charakter psychologiczny, świadczy to o rosnącej pewności siebie i postępującej profesjonalizacji grup.

Coraz większe obawy budzi także zjawisko pozyskiwania dostępu do infrastruktury firm poprzez ich własnych pracowników. Z analiz Palo Alto Networks wynika, że cyberprzestępcy coraz częściej starają się nakłaniać zatrudnionych do udostępnienia danych lub wprowadzenia zmian w systemach. Propozycje tego typu trafiają przede wszystkim do osób pracujących w sektorach szczególnie obciążonych w okresie świątecznym – m.in. w handlu, logistyce i usługach – gdzie przetwarza się ogromne wolumeny danych i transakcji. Niepokojące są również próby kontaktu z pracownikami firm z sektora cyberbezpieczeństwa, co sugeruje zmianę strategii i większą śmiałość sprawców.

Eksperci Unit 42 podkreślają, że obecna aktywność cyberprzestępców nie powinna być postrzegana jako seria pojedynczych incydentów, lecz jako skoordynowana kampania obejmująca kradzież danych, naciski finansowe, rozwój własnych narzędzi ransomware oraz próby infiltracji organizacji „od środka”. Takie połączenie metod może oznaczać jeszcze większą skalę i zasięg zagrożeń w nadchodzących miesiącach.