🔐 Cyber Security Daily News | 27.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Krytyczna podatność w CrowdStrike LogScale umożliwia nieautoryzowany dostęp do plików — producent wydał łatki
Security Affairs opisuje krytyczną lukę w CrowdStrike LogScale (dawniej Humio) — platformie do zarządzania logami i analizy danych bezpieczeństwa, szeroko stosowanej przez działy SOC. Błąd umożliwiał atakującemu z dostępem do instancji odczytanie dowolnych plików przechowywanych przez system, co w środowisku przeznaczonym do zbierania logów bezpieczeństwa oznacza dostęp do potencjalnie bardzo wrażliwych danych: logów systemowych, konfiguracji, a nawet tokenów uwierzytelniających. To szczególnie ironiczna sytuacja: narzędzie używane do wykrywania ataków samo miało lukę umożliwiającą kradzież danych. CrowdStrike wydał poprawki — administratorzy powinni pilnie zaktualizować instalacje LogScale.
Źródło: Security Affairs [EN]
Microsoft zmienia politykę aktualizacji Windows 11 po analizie ponad 7600 opinii użytkowników
Instalki.pl i Telepolis opisują przełomową zmianę w polityce aktualizacji Windows 11: Microsoft po raz pierwszy od dekady oddaje użytkownikom realną kontrolę nad harmonogramem restartów. Nowy widok kalendarza pozwala wybrać konkretną datę wstrzymania aktualizacji (do 35 dni), a limit można resetować dowolną liczbę razy. Koniec z niespodziewanymi restartami w środku ważnych spotkań lub sesji gamingowych. Zmiana wynika z analizy ponad 7600 opinii w programie Windows Insider — to sygnał, że Microsoft coraz poważniej traktuje feedback użytkowników w kwestiach bezpieczeństwa i ergonomii systemu. Aktualizacje bezpieczeństwa pozostaną obowiązkowe, ale termin ich wdrożenia można elastycznie planować.
Źródło: Instalki.pl [PL] | Telepolis [PL]
GopherWhisper — nowa chińska grupa APT atakuje rząd Mongolii przy użyciu malware napisanego w Go
Security Affairs i ESET potwierdzają szczegóły dotyczące grupy GopherWhisper — nowego chińskiego aktora APT, który był wcześniej sygnalizowany. Nowa analiza techniczna ESET ujawnia pełen arsenał grupy: backdoor LaxGopher komunikuje się przez prywatny workspace Slack, RatGopher przez Discord, BoxOfFriends przez szkice e-maili Outlook, a narzędzie CompactGopher eksfiltruje dane przez file.io. Wszystkie komponenty są napisane w języku Go. Kluczową innowacją jest ukrywanie komunikacji C2 w legalnych, popularnych platformach biznesowych — ruch do Slacka, Discorda czy Microsoft 365 rzadko wzbudza podejrzenia systemów bezpieczeństwa. Kampania uderzyła w instytucje rządowe Mongolii i inne cele azjatyckie.
Źródło: Security Affairs [EN] | WeLiveSecurity (ESET) [EN]
2. 🚨 INCYDENTY
Cyberatak na francuską agencję ANTS zagrożenia dla danych wnioskodawców o paszporty i prawa jazdy
The Record (Recorded Future) informuje, że cyberatak na witrynę ANTS (Agence Nationale des Titres Sécurisés) — agencji zarządzającej wnioskami o paszporty, dowody osobiste, karty pobytu i prawa jazdy we Francji — mógł ujawnić dane osobowe milionów Francuzów. Incydent wykryto 15 kwietnia. Potencjalnie skompromitowane dane to dane logowania, imiona i nazwiska, adresy e-mail, daty i miejsca urodzenia, numery telefonów i adresy zamieszkania. Ministerstwo Spraw Wewnętrznych podkreśliło, że dokumenty przesyłane do agencji (skany dowodów itp.) nie zostały naruszone. Francja przeżywa serię ataków na instytucje publiczne — wcześniej zaatakowano ministerstwo edukacji i FICOBA (rejestr rachunków bankowych).
Źródło: The Record [EN]
Ransomware Trigona wdrożył własne narzędzie do exfiltracji danych — bardziej skuteczny i trudniejszy do wykrycia
Security Affairs opisuje ewolucję grupy ransomware Trigona: zamiast polegać na gotowych narzędziach (jak Cobalt Strike czy rclone), operatorzy stworzyli własne, niestandardowe narzędzie do eksfiltracji danych, które jest znacznie trudniejsze do wykrycia przez systemy EDR i SIEM reagujące na znane wzorce. Narzędzie potrafi selektywnie wykradać dane na podstawie zdefiniowanych reguł (typ pliku, rozszerzenie, data modyfikacji), co pozwala atakującym skupić się na najcenniejszych danych i skrócić czas ekspozycji. To symptom dojrzewania grup ransomware — investują w własną infrastrukturę i narzędzia, by zwiększyć skuteczność i uniknąć wykrycia.
Źródło: Security Affairs [EN]
Ransomware zakłócił działanie ChipSoft — systemy elektronicznej dokumentacji medycznej w Holandii i Belgii niedostępne
CySecurity News opisuje skutki ataku ransomware na ChipSoft, holenderskiego dostawcę oprogramowania HiX — jednego z najszerzej stosowanych systemów elektronicznej dokumentacji medycznej w Beneluksie. Atak spowodował wielodniowe zakłócenia w pracy setek placówek medycznych: lekarze wracali do papierowej dokumentacji, laboratorium musiało ręcznie rejestrować wyniki badań, a planowane operacje były przesuwane. To klasyczny przykład, dlaczego sektor ochrony zdrowia jest tak atrakcyjnym celem dla ransomware: każda minuta przestoju kosztuje placówkę ogromne kwoty i naraża pacjentów na ryzyko.
Źródło: CySecurity News [EN]
3. 💡 CIEKAWOSTKI
Mustang Panda atakuje indyjski sektor bankowy nowym wariantem backdoora LOTUSLITE — analiza Acronis TRU
Acronis Threat Research Unit opisuje nowy wariant backdoora LOTUSLITE używanego przez Mustang Panda (chińskie APT) do atakowania indyjskiego sektora bankowego. Nowa wersja jest dostarczana przez DLL sideloading z użyciem legalnie podpisanego pliku wykonywalnego Microsoftu — co pozwala ominąć część systemów EDR. Backdoor komunikuje się z serwerem C2 przez HTTPS z użyciem dynamicznego DNS i wspiera zdalne wykonywanie komend, operacje na plikach i zarządzanie sesją. Analiza kodu wykazuje bezpośrednie pokrewieństwo z wcześniejszymi wersjami LOTUSLITE — ten sam deweloper aktywnie ulepszył narzędzie między kampaniami. To istotna zmiana taktyczna: skupienie na sektorze finansowym zamiast tradycyjnych celów rządowych.
Źródło: Acronis TRU [EN]
Hakerzy przejęli infrastrukturę telekomunikacyjną Toronto — blokowali połączenia i kradli dane przez kilka godzin
Telepolis opisuje zdarzenie w Toronto, gdzie miasto zostało sparaliżowane przez atakujących, którzy wzięli na celownik infrastrukturę telekomunikacyjną. Operacja była wyjątkowo ukierunkowana: sprawcy blokowali połączenia telefoniczne i przechwytywali dane z sieci, powodując chaos komunikacyjny w całym mieście przez kilka godzin. Atak na infrastrukturę telekomunikacyjną ma bezpośredni wpływ na bezpieczeństwo publiczne — uderza w możliwość kontaktu ze służbami ratowniczymi, bankowością i systemami alarmowymi. Incydent jest kolejnym sygnałem, że sieci telekomunikacyjne stają się priorytetowym celem zarówno przestępców, jak i aktorów państwowych.
Źródło: Telepolis [PL]
BlackFile — nowa grupa wymuszeniowa atakuje handel i hotelarstwo bez użycia tradycyjnego ransomware
RH-ISAC i Palo Alto Unit 42 opisują grupę CL-CRI-1116 / BlackFile — nowy podmiot przestępczy aktywny od stycznia 2026 roku, który wyspecjalizował się w atakach na sektor detaliczny i hotelarski. Grupa nie używa ransomware do szyfrowania danych — stosuje wyłącznie exfiltrację i szantaż ujawnieniem danych. Nie używa też własnego malware — opiera się wyłącznie na legalnych narzędziach systemowych (LOLBins) i dostępnych komercyjnie narzędziach do zarządzania IT. BlackFile jest prawdopodobnie powiązana z kolektywem „The Com" — tą samą grupą, co Scattered Spider. Brak szyfrowania oznacza, że backup nie chroni przed tym atakiem — dane i tak wyciekają.
Źródło: RH-ISAC [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Nowy infostealer Storm kradnie dane z przeglądarek i przejmuje sesje bez znajomości haseł
CySecurity News opisuje szczegóły nowego infostealera Storm (nie mylić z botnetem Storm z 2007 roku), który wyróżnia się na tle konkurencji. Zamiast kraść hasła z menedżerów haseł przeglądarki, Storm skupia się na tokenach sesji i cookies — które dają dostęp do zalogowanych kont bez znajomości hasła i bez konieczności przechodzenia przez MFA. Malware jest sprzedawany w modelu MaaS na forach przestępczych z rozbudowanym panelem administracyjnym. Szczególnie celuje w tokeny do serwisów biznesowych: Microsoft 365, Google Workspace i platformy SaaS. Jedyną skuteczną ochroną przed tym wektorem jest mechanizm DBSC (Device Bound Session Credentials), który Google wdraża właśnie w Chrome.
Źródło: CySecurity News [EN]
Proofpoint opisuje taktyki przestępców kradnących cargo po uzyskaniu dostępu do systemów logistycznych
Proofpoint publikuje analizę działań grupy przestępczej specjalizującej się w kradzieżach fizycznych ładunków — po uprzednim przejęciu dostępu do systemów IT firm transportowych i spedycyjnych. Po włamaniu do systemu zarządzania transportem sprawcy identyfikują cenne ładunki, poznają trasy i harmonogramy, a następnie fizycznie przechwytują przesyłki — podstawiając własnych kierowców lub przekierowując dostawy. Wartość kradnącego cargo w USA wzrosła o kilkadziesiąt procent rok do roku. To jeden z pierwszych dobrze udokumentowanych przypadków, gdzie hakerzy i fizyczna przestępczość zorganizowana działają jako zintegrowany ekosystem — incydent cybernetyczny jest wstępem do tradycyjnej kradzieży.
Źródło: Proofpoint [EN]
5. 🌐 DEZINFORMACJA, CYBER WOJNA
DomainTools ujawnia: Homeland Justice, Karma i Handala to jedna skoordynowana irańska operacja MOIS
DomainTools Investigations opublikował szczegółową analizę techniczną udowadniającą z wysokim stopniem pewności, że grupy Homeland Justice (atakująca Albanię od 2022), Karma/KarmaBelow80 (atakująca Izrael od 2023) i Handala (od 2024) nie są niezależnymi haktywistami — to jedna skoordynowana operacja irańskiego Ministerstwa Wywiadu i Bezpieczeństwa (MOIS). Dowody obejmują: wspólną infrastrukturę domenową, identyczne techniki operacyjne, synchronizację czasową działań i wspólne użycie Telegrama jako C2. Każda persona służy innym celom narracyjnym: Homeland Justice atakuje „zdrajców reżimu", Karma — Izrael, Handala — szerszy Zachód. To klasyczna wielopoziomowa operacja wpływu ukryta za pozorami spontanicznego haktywizmu.
Źródło: DomainTools Investigations [EN]
Brytyjski obywatel przyznał się do winy za włamania i kradzież co najmniej 8 milionów dolarów w kryptowalutach
Departament Sprawiedliwości USA informuje, że obywatel Wielkiej Brytanii Tyler Buchanan przyznał się do zarzutów hakerskich i kradzieży co najmniej 8 milionów dolarów w kryptowalutach przez SIM swapping i kompromitację kont firmowych. Buchanan jest powiązany z grupą Scattered Spider (The Com) i uczestniczył w atakach na firmy technologiczne i telekomunikacyjne w USA. To kolejny wyrok po wtorkowym przyznaniu się do winy w sprawie Scattered Spider — seria skazań w USA oznacza, że „zachodnie" grupy cyberprzestępcze operujące z krajów anglojęzycznych coraz częściej trafiają przed sąd, co podważa przekonanie o bezkarności wynikającej z jurysdykcji.
Źródło: Department of Justice [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 26 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.