December végén kibertámadás érte Lengyelország villamosenergia-hálózatát, amely elsősorban elosztott energiatermelő rendszerekhez (distributed energy resource – DER) kapcsolódó létesítményeket vett célba. Az incidens az ország több pontján érintette a hő- és villamosenergia-termelő (combined heat and power – CHP) egységeket, valamint a szél- és napenergia elosztásirányító rendszereket (dispatch systems).

2026 január 13-án reggel súlyos kibertámadás érte a belga AZ Monica kórház számítógépes rendszereit, ami miatt az intézmény mindkét telephelyén az összes szervert azonnal le kellett állítani, és az egészségügyi ellátás egyes részei részlegesen vagy teljesen leálltak.

A román vízügyi hatóság (Administrația Națională Apele Române) 2025 decemberében ransomware-támadás áldozatává vált. A román Nemzeti Kiberbiztonsági Igazgatóság (DNSC) tisztviselői közölték, hogy az incidens a nemzeti vízügyi hatóság mintegy 1000 számítógépes rendszerét, továbbá 11 regionális irodájából 10-et érintett.

A ShinySp1d3r egy új, feltörekvő RaaS (Ransomware-as-a-Service), amelyet a ShinyHunters és Scattered Spider zsarolócsoportok indítanak.

A CrowdStrike legfrissebb State of Ransomware felmérése szerint a szervezetek 76%-a küzd azzal, hogy lépést tartson az MI-alapú támadások egyre kifinomultabb módszereivel.

„A szervezetek többsége (87%) meggyőzőbbnek tartja a mesterséges intelligencia által generált social engineering-módszereket a hagyományos megközelítésnél” – írja a jelentés.

A Proofpoint biztonsági kutatói részletesen feltárták a TA585 nevű fenyegető szereplő működését, aki a MonsterV2 nevű, komplex kártevőt terjeszti. Ez a malware többfunkciós eszköz: egyszerre működik adatlopóként, távoli vezérlésű trójaiként (RAT) és kártevőterjesztőként (loader). A TA585 különös figyelmet érdemel, mert teljesen önállóan végzi a támadásokat – saját infrastruktúrát és terjesztési módszereket használ, nem támaszkodik külső hozzáférés-kereskedőkre vagy forgalom-átirányító szolgáltatásokra.

A nemrég azonosított HybridPetya elnevezésű ransomware törzs képes megkerülni az UEFI Secure Boot védelmi funkciót, valamint rosszindulatú komponenseket telepíteni az EFI rendszerpartícióra. A mintát az ESET kiberbiztonsági cég kutatói fedezték fel VirusTotalon. A HybridPetya a jelenlétével a BlackLotus, a BootKitty és a Hyper-V Backdoor mellett egy újabb példa arra, hogy a Secure Boot-ot megkerülő bootkitek valós fenyegetést jelentenek.

A HybridPetya tartalmazza a régebbi Petya/NotPetya kártevő törzsek közös jellemzőit, mint például a vizuális stílust és az azonos támadási láncot. Újdonság viszont az EFI rendszerpartícióba való telepítés valamint a Secure Boot megkerülése a CVE-2024-7344 azonosítón nyomon követett sebezhetőség kihasználásával. (Ezt a hibát a Microsoft 2025 januárjában javította.)

Az ESET Research kutatócsapata egy új típusú zsarolóvírust, a PromptLock nevű kártevőt azonosította, amely egyedülálló módon helyben futó nagy nyelvi modellt (LLM) alkalmaz a támadó kód valós idejű generálására az áldozat gépén. Ez az első ismert eset, amikor egy rosszindulatú program nem tartalmaz előre lefordított támadó logikát, hanem a kártékony kódot egy lokálisan futtatott mesterséges intelligencia állítja elő dinamikusan.