Jak haktywizm staje się cyberprzestępczością? Zanikająca granica

Cele haktywistów bywają różne, lecz często towarzyszą im uwarunkowania polityczne. Dobrym przykładem są ataki SiegedSec na portale NATO, gdzie m.in. wyciekły dane polskich oficerów. Innym razem grupa z Bangladeszu przeprowadziła ataki DDoS na polskie organizacje – należy tutaj dodać, że takie działania nie mają większego skutku niż chwilowa niedostępność stron internetowych, co pokazaliśmy na przykładzie polskich służb.

Pytanie jednak – gdzie kończy się haktywizm, a zaczyna cyberprzestępczość? Na to pytanie postarali odpowiedzieć eksperci, wskazując, że granica zaciera się.

Haktywiści a cyberprzestępcy

W Krajobrazie Zagrożeń CERT Orange z 11 czerwca 2025 roku opisano zmianę w działaniach haktywistów, której poświęcono raport Rapid7. „W ostatnich latach można zaobserwować wyraźną zmianę w motywacjach grup hakerskich – wiele z nich porzuca czysto ideologiczne pobudki na rzecz działań o charakterze czysto finansowym. Artykuł Rapid7 opisuje ten trend jako konwergencję haktywizmu i cyberprzestępczości, gdzie granice między aktywizmem a chciwością coraz bardziej się zacierają. Grupy, które kiedyś działały w imię politycznych, społecznych czy religijnych przekonań, dziś chętnie wykorzystują swoją reputację i techniczne możliwości do zarabiania pieniędzy, często sięgając po ransomware i inne formy wymuszeń cyfrowych” – czytamy w opracowaniu CERT Orange.

Zaznaczono przy tym, że znacząco zmieniła się dostępność narzędzi wykorzystywanych przez cyberprzestępców. W Krajobrazie stwierdzono, że obecnie hakerzy mogą dysponować zestawami narzędzi, które kilka lat temu były stosowane wyłącznie przez elitarne grupy oraz państwowych aktorów. Znacząco zmniejszyło to nakłady środków potrzebnych do przeprowadzenia określonych działań.

FunkSec. Tak, używają AI.

O grupie FunkSec w polskiej przestrzeni medialnej można było ułyszeć za sprawą ataku na polski sklep z armaturą łazienkową z stycznia 2025 roku, gdzie wyciekły dane ponad 200 tys. klientów przedsiębiorstwa. Rapid7 wskazało, że FunkSec zaczynało jako haktywiści powiązani m.in. z ruchem „Wolna Palestyna”. Oferowali również narzędzie służące do ataków DDoS czy tzw. defacementu, czyli zmiany zawartości stron.

Z czasem FunkSec przerodził się w grupę RaaS (ransomware-as-a-service, pol. ransomware jako usługa). Znacząco zmieniły się również jej cele, w dużej mierze porzucając polityczną motywację.

Na początku 2025 roku Check Point opublikował opracowanie dot. tej grupy. Wynika z niego, że FunkSec używało AI do tworzenia swojego oprogramowania. Warto przywołać fragment raportu wspomnianej izraelskiej firmy:

„Działania FunkSec podkreślają rolę sztucznej inteligencji w rozwoju złośliwego oprogramowania, zacieranie się granic między haktywizmem a cyberprzestępczością oraz trudności w weryfikacji wycieków danych. Zwracają również uwagę na to, jak oceniamy zagrożenia stwarzane przez grupy ransomware, ponieważ często polegamy na ich własnych deklaracjach. Wnioski te odzwierciedlają zmieniający się krajobraz zagrożeń, w którym nawet osoby o niskich umiejętnościach mogą korzystać z łatwo dostępnych narzędzi, by wywierać znaczny wpływ” – stwierdzono. CERT Orange podsumował działania FunkSec w następujący sposób:

Co interesujące, grupa ta często używa danych wykradzionych podczas wcześniejszych akcji haktywistycznych, co bywa niejednoznacznie odbierane, podważając wiarygodność ich roszczeń i wskazuje na chęć zdobycia rozgłosu. Mimo to FunkSec szybko zdobywa popularność w środowisku cyberprzestępczym, a ich niskie żądania okupu czynią ich atrakcyjnymi dla mniej doświadczonych afiliantów
Krajobraz Zagrożeń CERT Orange

KillSec i GhostSec

Kolejnymi opisanymi grupami w raporcie Rapid7 było Killsec i GhostSec. Pierwsza z nich jest aktywna od 2021 i pierwotnie działała jako haktywiści, lecz w październiku 2023 zaczęła przeprowadzać ataki ransomware. W czerwcu 2024 roku rozpoczęła działalność w modelu RaaS. Warto przy tym dodać, że grupa niejednokrotnie kłamała, m.in. przypisując sobie atak na Cayman Bank czy na pewien polski podmiot, który został fałszywie wskazany przez grupę.

GhostSec jest aktywny od 2015 roku. „Grupa powiązana z Anonymous zyskała popularność dzięki kampaniom, w ramach których różne grupy haktywistów zniszczyły tysiące stron internetowych i kont w mediach społecznościowych, wykorzystując ataki defacement i DDoS. GhostSec, w 2023 roku połączył siły z grupą Stormous i rozpoczął kampanie ransomware, a w maju 2024 ogłosił powrót do haktywizmu, tłumacząc, że cyberprzestępczość służyła zdobyciu funduszy na działalność ideologiczną” – czytamy w opracowaniu CERT Orange. Wg ransomware.live grupa Stormous jest odpowiedzialna za 148 ataków ransomware, przy czym należy dodać, że tę liczbę należy traktować orientacyjnie.

Głos ekspertów

W podsumowaniu opracowania Rapid7 stwierdzono, że podczas transformacji haktywistów w grupy ransomware znacznie zmieniły się ich cele – od pierwotnych ataków DDoS czy defacementu stron rządowych do operacji wymierzonych w organizacje z rozmaitych sektorów z całego świata, często o niewystarczającym poziomie zabezpieczeń. Ich działanie zostało określone jako „oportunistyczne”.

CERT Orange podkreślił w Krajobrazie Zagrożeń, że obecnie niemożliwe jest klasyfikowanie cyberataków na czysto haktywistyczne czy jednoznacznie przestępcze. „Te same grupy mogą prowadzić jednego dnia akcję polityczną, a następnego – zaszyfrować dane korporacji i zażądać okupu” – stwierdzono w opracowaniu. Dodano przy tym, że dla obrońców oznacza to konieczność zapoznania się z nowymi modelami związanymi z motywacją atakujących oraz konieczność elastycznego reagowania.

Podsumowanie

Niezależnie od tego, czy dany incydent klasyfikuje się jako haktywizm czy cyberprzestępczość, trzeba mieć na uwadze, że nie wolno wierzyć twierdzeniom takich grup „na słowo”. Warto przypomnieć rzekomy atak LockBit na amerykańską Rezerwę Federalną, który okazał się wielkim blefem - pomimo tego, że grupa przeprowadzała w przeszłości wiele głośnych ataków.

Czasami jednak prawda jest nijako pomieszana z fałszem. W sierpniu 2024 jedna z grup haktywistów poinformowała o zaatakowaniu szpitala w Indiach. Dane faktycznie ujrzały światło dzienne, lecz najprawdopodobniej nie za sprawą wspomnianej grupy – katalog był aktywnie używany i widoczny z poziomu Internetu. Niedługo po naszym zgłoszeniu do tamtejszego odpowiednika CERT Polska pliki zostały ukryte, co pokazuje sens zgłaszania incydentów.

Jednocześnie rolę mediów w nagłaśnianiu incydentów pokazuje m.in. fałszywy post dot. wycieku danych z dużego polskiego sklepu, który po prostu nie miał miejsca. W przypadku podania takiej informacji dalej, warto ją niezwłocznie skorygować.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].