Coroczny raport „Picus Red Report 2026”, opracowany przez firmę Picus Security, dotyczący rzeczywistych próbek malware oraz technik MITRE ATT&CK, z perspektywy zespołów bezpieczeństwa jest niezwykle interesujący. Pokazuje zmianę w sposobie działania złośliwego systemu – kiedy jeszcze 2 lata temu dominowały ataki ransomware, dzisiaj atakujący wykorzystują możliwości ukrywania się w środowisku ofiary, unikają wykrycia różnymi sposobami, by finalnie wykradać dane cyfrowe i pozostać niezauważonym.
1. Rozwój zagrożeń 2025-2026
Analiza telemetryczna próbek malware wskazuje, iż współczesne kampanie wykorzystujące złośliwe oprogramowanie są projektowane do długoterminowych ataków. Zamiast jednego, pojedynczego i szybkiego incydentu, obserwowane są łańcuchy działań, które obejmują:
- utrzymanie dostępu (persistence)
- eskalację uprawnień (privilege escalation)
- eksfiltrację danych (data exfiltration)
Ukrywanie się w systemach dzięki legalnych narzędzi potwierdza teorię, iż nie liczy się medialne niszczenie danych, jak podczas WannaCry, a czas ukrywania się w systemie ofiary. Przykładowo operatorzy Emoteta instalowali loader, który po początkowej infekcji pobierał kolejne moduły, umożliwiając długotrwałą kontrolę grupom przestępczym. Podobnie TrickBot – ewoluował z trojana bankowego w platformę umożliwiającą przejmowanie kontroli nad różnymi elementami systemów (lateral movement) i dalszą kompromitację infrastruktury.
2. Dominujące techniki MITRE ATT&CK
Najczęściej obserwowane techniki wskazują na preferencję atakujących do wstrzykiwania kodu w legalne procesy, wykorzystywanie interpreterów do uruchamiania skryptów do kradzieży poświadczeń. Tego typu działania pozwalają ukrywać się w kontekście zaufanych komponentów systemu, co dla wielu rozwiązań EDR lub XDR może stanowić początkowo legalny szum, który z czasem przeradza się w alerty bezpieczeństwa i automatyczne podejmowanie akcji na stacjach roboczych i serwerach. Równocześnie używane są techniki maskowania i wyłączania mechanizmów ochronnych, aby malware mogło funkcjonować w zaatakowanym środowisku bez podnoszenia alertów.
Wracają do ransomware – w kontekście tego raportu, choć szyfrowanie danych przez cały czas występuje, jego rola ewoluuje. Badacze obserwują spadek udziału szyfrowania a wzrost kradzieży danych i tożsamości, które mogą być wielokrotnie monetyzowane na czarnym rynku. Dostęp do kont użytkowników i tokenów uwierzytelniających umożliwia długotrwałe operacje szpiegowskie, oszustwa finansowe oraz ponowne cyberataki.
3. Malware wykrywa, gdzie jest uruchamiane
Obecnie coraz częściej malware potrafi wykryć, czy jest analizowane w środowiskach wirtualnych oraz analitycznych. Dodatkowo może zmieniać swoje zachowanie, co jeszcze bardziej utrudnia ręczną analizę i klasyfikację. Może również wstrzymywać swoje wykonanie, opóźniać aktywność lub całkowicie kończyć działanie, jeżeli wykryje artefakty środowiska do symulacji. Dzięki temu złośliwy kod nie ujawnia adekwatnego łańcucha infekcji podczas analizy sandboxowej.
Malware może całkiem sprawnie rozpoznawać:
- obecność procesów narzędzi analitycznych i debuggerów
- sterowniki, nazwy urządzeń, BIOS
- nienaturalnie małą ilość plików użytkownika lub historię aktywności
- brak interakcji użytkownika (ruch myszy, klawiatura)
- parametry sprzętowe wskazujące na środowisko testowe
Zaawansowane próbki potrafią uruchomić adekwatny payload dopiero po spełnieniu określonych warunków lub po upływie dłuższego czasu.
4. Legalne procesy systemowe
Hakerzy wykorzystują legalne usługi chmurowe („living off the cloud”), takie jak Dropbox i protokoły znanych aplikacji, jako kanał do komunikowania się z serwerem kontroli i dowodzenia. Ruch sieciowy generowany przez malware wyglądać może identycznie jak zwykła aktywność użytkownika.
Wykorzystywanie legalnej infrastruktury jest sposobem na oszukiwanie rozwiązań zabezpieczających, ale by to zrobić, przez cały czas należy się mocno natrudzić, dysponować odpowiednimi środkami technicznymi oraz obrać za cel konkretną firmę – w atakach masowych bardzo rzadko lub wcale są używane specjalistyczne malware, ponieważ atak jest kosztowny, wymaga dobrego przygotowania i planowania.
5. Atakowanie poprzez BIOS/UEFI
Atak na poziomie BIOS/UEFI pozwala napastnikowi przejąć kontrolę nad komputerem poniżej warstwy systemu operacyjnego. Kod uruchamiany w firmware startuje przed systemem, dzięki czemu może manipulować procesem bootowania, ładować złośliwe komponenty do pamięci oraz ukrywać swoją obecność przed narzędziami EDR i mechanizmami monitorowania.
Tego typu kompromitacja zapewnia wyjątkową trwałość bo złośliwy kod może przetrwać reinstalację systemu, wymianę dysku, a choćby przywrócenie obrazu systemu. Daje to atakującemu długoterminowy dostęp i możliwość ponownej infekcji środowiska po każdym uruchomieniu.
Przykładem takiego zagrożenia był rootkit LoJax (nie jest w tej chwili aktywnie rozpowszechniany, ale jego techniki stały się wzorem dla kolejnych ataków na poziomie UEFI), który infekował firmware UEFI, zapewniając niewidoczność dla tradycyjnych narzędzi ochronnych.
Dlatego też raport zwraca uwagę, iż ochrona endpointów skupiona wyłącznie na poziomie systemu operacyjnego nie wykryje takiej kompromitacji. Istotne staje się monitorowanie integralności firmware, kontrola aktualizacji UEFI oraz stosowanie mechanizmów Secure Boot.
6. Więcej AI
Mimo dużego zainteresowania AI większość obserwowanych technik nie jest natywnie oparta na sztucznej inteligencji. Przestępcy przez cały czas bazują na sprawdzonych metodach, takich jak skrypty i wstrzykiwanie kodu, natomiast narzędzia AI są wykorzystywane pomocniczo np. do:
- automatyzacji atakowania lub pośredniczenia w komunikacji sieciowej,
- generowania realistycznych wiadomości phishingowych dopasowanych do języka i kontekstu ofiary,
- automatycznego tworzenia wariantów treści w celu omijania filtrów antyspamowych,
- tłumaczenia i lokalizacji kampanii na wiele języków bez udziału człowieka,
- analizy publicznych danych o organizacji w celu przygotowania spear-phishingu,
- automatyzacji komunikacji z ofiarą lub negocjacji okupu,
- wspomagania tworzenia skryptów i modyfikacji istniejącego kodu malware.
7. Ochrona stacji roboczych (perspektywa testów AVLab in-the-wild)
Testy przeprowadzane w warunkach rzeczywistych pokazują, iż skuteczność ochrony nie może być oceniana wyłącznie na etapie blokowania pliku. najważniejsze staje się wykrywanie zachowań w czasie działania, neutralizacja zagrożenia w pamięci oraz szybkie przywracanie zmian w systemie. Nowoczesne ataki często wykorzystują techniki fileless i runtime exploitation, dlatego ochrona musi obejmować cały cykl życia ataku – zobacz najnowszy raport z testów AVLab za styczeń 2026.
8. Planowanie defensywy na najbliższy czas
Skuteczne planowanie ochrony wymaga odejścia od modelu opartego wyłącznie na detekcji plików i reputacji. Współczesne ataki wykorzystują legalne narzędzia systemowe, tożsamość użytkownika oraz usługi chmurowe, dlatego ochrona musi koncentrować się na zachowaniu i kontekście działań, a także na testowanie poprzez symulacje ataków, co pozwala zweryfikować skuteczność detekcji i reakcji w realistycznych scenariuszach.
Dodatkowo należy poważnie rozważyć wdrożenie MFA odpornego na phishing, monitorowania anomalii logowania, ochronę tokenów sesyjnych oraz kontrolę dostępu do haseł i kluczy API. Zachowanie takie jak nietypowe operacje, nadmierne pobierane danych, tworzenie nowych tokenów dostępowych, komunikacja z usługami przechowywania plików – takie podejrzane zachowania często poprzedzają uruchomienie adekwatnego ładunku.
