Skala zjawiska przekracza oczekiwania
Najnowszy raport ENISA (Europejskiej Agencji ds. Cyberbezpieczeństwa) ujawnia niepokojącą dominację hacktywizmu w krajobrazie cyberzagrożeń. W okresie objętym analizą aż 79% wszystkich incydentów stanowiły ataki przeprowadzone przez grupy hacktywistyczne. To dramatyczny wzrost aktywności, który pokazuje, jak cyberkonflikt stał się przedłużeniem działań geopolitycznych. Wśród 88 zidentyfikowanych grup hacktywistycznych atakujących państwa UE, zdecydowanie dominują ugrupowania prorosyjskie. Liderem jest NoName057(16), odpowiedzialna za 63,1% wszystkich ataków. Za nią plasują się Keymous+ (14,1%), Dark Storm Team (12,1%), Mr Hamza (7,9%) oraz RipperSec (2,8%).
Polska w ogniu cyberataków
Polska znalazła się w pierwszej piątce najbardziej atakowanych krajów UE, obok Francji, Włoch, Niemiec i Litwy. To nie przypadek — wszystkie te państwa są postrzegane jako kluczowi sojusznicy Ukrainy w jej konflikcie z Rosją. NoName057(16) przeprowadziła szczególnie intensywne kampanie przeciwko polskiej infrastrukturze. Grupa ta, wykorzystująca platformę DDoSia do koordynacji ataków, skupiła się na kluczowych sektorach. Ponad połowa ataków w Polsce dotyczyła administracji publicznej — ministerstwa, strony parlamentarne i samorządy lokalne były regularnie paraliżowane.
Szczególne zainteresowanie hacktywistów wzbudził polski sektor energetyczny. NoName057(16) wraz z grupą OverFlame, obie należące do sojuszu Z-PENTEST-ALLIANCE, demonstrowały zdolność do atakowania systemów OT (technologii operacyjnych) w infrastrukturze krytycznej. W jednym z przypadków grupa publikowała nagrania pokazujące manipulowanie systemami zarządzania w polskim szpitalu i oczyszczalni ścieków.
Anatomia cyberataku
91,5% wszystkich ataków hacktywistycznych to ataki DDoS wymierzone w strony internetowe instytucji państw członkowskich UE. Tylko 5,1% stanowiły włamania, a 3,4% — wycieki danych. Mimo ogromnej liczby ataków, ich rzeczywisty wpływ pozostaje ograniczony — zaledwie 1,5% ataków grup Keymous+ i Mr Hamza skutkowało potwierdzonym spowolnieniem lub przerwą w działaniu serwisów. Hacktywistów cechuje reakcyjność na wydarzenia geopolityczne. Kiedy w grudniu 2024 roku Rada Europejska zatwierdziła drugą transzę pomocy dla Ukrainy w ramach Ukraine Facility, belgijska infrastruktura została zaatakowana przez grupę INDOHAXSEC TEAM. Podobnie, gdy Belgia ogłosiła pomoc wojskową dla Ukrainy wartą 1 miliard euro, ruszyła kampania #OPBelgium.
Nowe sojusze, nowe zagrożenia
Lipiec 2024 roku przyniósł przełom w organizacji hacktywistów. Powstała The Holy League — sojusz łączący 70 grup o pozornie sprzecznych ideologiach. Prorosyjska NoName057(16) połączyła siły z propalestyńskimi hacktywistami w celu atakowania Ukrainy, Izraela oraz państw je wspierających, w tym członków NATO.
Paradoksalnie, gdy hiszpańska policja aresztowała osoby powiązane z platformą DDoSia używaną przez NoName057(16), grupa w geście "wdzięczności" zaatakowała izraelskie instytucje, demonstrując solidarność ze Świętą Ligą.
Ewolucja taktyk
Hacktywisci nie ograniczają się już do prostych ataków DDoS. Coraz częściej sięgają po ransomware. Grupy jak CyberVolk, Azzasec, Funksec i Lapsus$ uruchomiły własne platformy RaaS (Ransomware-as-a-Service). KillSecurity, pierwotnie grupa hacktywistyczna, przekształciła się w znaczącego gracza na rynku ransomware po uruchomieniu swojej platformy RaaS w czerwcu 2024 roku.
Szczególne niepokojenie budzi rosnąca zdolność do atakowania systemów OT. Z-PENTEST-ALLIANCE regularnie publikuje nagrania pokazujące manipulowanie systemami zarządzania infrastrukturą krytyczną. We Włoszech, Czechach, Litwie, Polsce, Portugalii, Holandii i Hiszpanii odnotowano przypadki włamań do internetowych interfejsów zarządzania w sektorach energetyki i gospodarki wodnej.
W czerwcu 2025 roku pojawiła się grupa Infrastructure Destruction Squad (IDS), która opracowała malware VoltRuptor, specjalnie zaprojektowany do atakowania systemów przemysłowych. 30 czerwca IDS włamała się do włoskiej firmy automatyki budynkowej, demonstrując zaawansowane możliwości.
Odpowiedź organów ścigania
Grudzień 2024 roku przyniósł operację PowerOFF — organy ścigania z 15 krajów zamknęły 27 platform oferujących ataki DDoS na zamówienie i aresztowały trzech administratorów. W maju 2025 roku kontynuacja akcji doprowadziła do zamknięcia kolejnych 6 platform, czterech aresztowań w Polsce i przejęcia dziewięciu domen w USA.
Telegram, główna platforma komunikacji hacktywistów, zwiększył współpracę z organami ścigania, banując ponad 60 kanałów powiązanych z grupami hacktywistycznymi w pierwszym kwartale 2025 roku. To zmusiło grupy do migracji na prywatne pokoje Telegram, platformę X, Element i fora w darknecie.
Hacktywizm stał się stałym elementem cyberprzestrzeni, a jego polityczne motywacje sprawiają, że każde napięcie geopolityczne natychmiast przekłada się na falę cyberataków. Polska, jako kluczowy sojusznik Ukrainy, pozostanie w centrum tego cyfrowego pola bitwy.
