W ciągu ostatniej dekady systemy SAP stały się jednym z głównych celów zaawansowanych cyberataków, narażając krytyczne dane i procesy biznesowe na znaczące ryzyko [1][2][3]. Ponad 400 000 organizacji na całym świecie, w tym 99 ze 100 największych firm, polega na rozwiązaniach SAP do zarządzania swoimi kluczowymi procesami biznesowymi [4][5].
Ewolucja Ataków na Systemy SAP (2015-2025)
Zmieniające się zagrożenia
W latach 2015-2017 ataki na systemy SAP koncentrowały się głównie na wykorzystaniu podstawowych podatności i słabych haseł, a czas od publikacji łatki do wykorzystania podatności wynosił nawet rok [6][7]. Typowe techniki tamtego okresu obejmowały ataki typu brute-force na konta SAP o wysokich uprawnieniach oraz wykorzystanie niezabezpieczonych portali klientów i dostawców [6][8].
Od 2018 roku obserwujemy wyraźną ewolucję w kierunku bardziej zaawansowanych technik ataków, w tym wykorzystanie łańcuchów exploitów, co skróciło czas do wykorzystania podatności do zaledwie kilku miesięcy [7][9].
Znaczący wzrost aktywności grup APT (Advanced Persistent Threat) nastąpił w latach 2019-2021, kiedy to czas od publikacji łatki do wykorzystania podatności skrócił się do zaledwie 72 godzin [7][10][11].
Lata 2022-2025 przyniosły prawdziwą rewolucję w cyberatakach na SAP – obserwujemy wykorzystanie sztucznej inteligencji do automatyzacji ataków, technik „living-off-the-land” oraz zdolność do kompromitacji nowych niezabezpieczonych systemów SAP w zaledwie 3 godziny [12][10][7]. Najnowsze ataki charakteryzują się wykorzystaniem ataków typu zero-day, jak w przypadku krytycznej podatności CVE-2025-31324 w SAP NetWeaver, którą wykorzystały grupy APT do naruszenia 581 systemów na całym świecie [10][13][14].
Rosnąca popularność wśród hakerów
Zainteresowanie atakami na systemy SAP wzrosło o 490% w dyskusjach na forach hakerskich między 2021 a 2023 rokiem, co wskazuje na rosnącą atrakcyjność tych systemów jako celów ataków [4][3][11]. Liczba ataków ransomware skierowanych na systemy SAP wzrosła o 400% od 2021 roku, stanowiąc jedno z najszybciej rosnących zagrożeń [11][4][3].
Popularność ataków na SAP odzwierciedla również wzrost cen exploitów – wyspecjalizowane firmy oferują obecnie dziesiątki tysięcy dolarów za podatności typu remote code execution (RCE) w produktach SAP [4][3][9]. Na forach hakerskich liczba dyskusji na temat podatności i exploitów SAP wzrosła o 490%, a rozmowy związane z usługami SAP w chmurze i aplikacjami webowymi o 220% w latach 2021-2023 [4][3].
Główne Grupy APT Atakujące Systemy SAP
Kluczowi aktorzy i ich pochodzenie
Ataki na systemy SAP są prowadzone przez zaawansowane grupy APT, wśród których dominują grupy wspierane przez Chiny i Rosję [14][15][16]. Najbardziej aktywne grupy chińskie to UNC5221, CL-STA-0048, APT10 i UNC5174, które w 2024 roku naruszyły łącznie ponad 1500 systemów SAP na całym świecie [14][16][17].
Grupy rosyjskie, takie jak FIN7, FIN13, Cobalt Spider i BianLian, specjalizują się w atakach ransomware i kradzieży danych finansowych z systemów SAP [4][16].
Inne znaczące grupy atakujące systemy SAP to północnokoreańskie Lazarus i Kimsuky, które koncentrują się na kradzieży środków finansowych i danych badawczych [18][8][15].
Techniki i cele ataków
Grupy APT wykorzystują zaawansowane techniki, takie jak chaining podatności, webshelle i narzędzia „living-off-the-land”, aby uzyskać długotrwały dostęp do systemów SAP [10][19][15]. Najnowszym przykładem jest wykorzystanie podatności CVE-2025-31324 w SAP NetWeaver przez kilka grup APT, co pozwoliło na wykonanie kodu z uprawnieniami administratora i pełną kontrolę nad systemem [10][14][16].
Główne cele ataków to infrastruktura krytyczna, sektor energetyczny, finansowy, opieka zdrowotna i instytucje rządowe, gdzie systemy SAP zarządzają kluczowymi procesami biznesowymi [14][17][10]. Grupy APT10 i CL-STA-0048 koncentrują się na wykradaniu danych finansowych i własności intelektualnej, podczas gdy FIN7 i BianLian specjalizują się w atakach ransomware na systemy SAP [14][4][10].
Typy Danych Narażonych na Ataki
Najbardziej zagrożone dane
Analizy wykazują, że najbardziej narażone na ataki są dane finansowe (95% ataków) i dane transakcyjne (92% ataków), co czyni je głównym celem cyberprzestępców.
Informacje o klientach (88% ataków) i dane pracowników (82% ataków) są również bardzo często celem ataków ze względu na ich wartość dla działań związanych z kradzieżą tożsamości i phishingiem [20][21].
Własność intelektualna przedsiębiorstw, taka jak patenty, projekty produktów i strategie rynkowe, jest atakowana w 78% przypadków i generuje najwyższy średni koszt naruszenia – 15,3 mln USD per incydent [20][22]. Dane operacyjne (75% ataków) są celem ataków mających na celu zakłócenie działalności biznesowej, szczególnie w przypadku infrastruktury krytycznej i łańcuchów dostaw [20][23].
Wpływ na bezpieczeństwo biznesowe
Naruszenie danych finansowych w systemach SAP ma najwyższy wpływ biznesowy (9,8/10), co może prowadzić do bezpośrednich strat finansowych, oszustw i naruszenia zgodności z przepisami [24][25]. Naruszenie danych klientów ma wpływ biznesowy oceniany na 9,5/10 i może prowadzić do poważnych konsekwencji prawnych, szczególnie w kontekście przepisów takich jak GDPR [20][26].
Własność intelektualna jest szczególnie cennym celem dla grup APT sponsorowanych przez państwa, których motywacją jest szpiegostwo przemysłowe i kradzież tajemnic handlowych [27][26]. W przypadku systemów SAP, które często przechowują i przetwarzają ogromne ilości danych wrażliwych, brak odpowiednich zabezpieczeń może prowadzić do kompromitacji całego systemu i wszystkich przechowywanych w nim danych [6][20][28].
Koszty Ataków na Systemy SAP
Finansowe konsekwencje naruszeń
Średni koszt naruszenia systemu SAP wynosi około 5 milionów USD, jednak ta kwota może znacznie wzrosnąć w zależności od sektora i skali ataku [24][25][22]. W sektorze bankowym średni koszt naruszenia systemu SAP sięga nawet 18,37 mln USD, a w sektorze energetycznym 17,84 mln USD, co czyni je najbardziej kosztownymi incydentami.
Badania pokazują, że organizacje z w pełni wdrożoną automatyzacją bezpieczeństwa ponoszą średni koszt naruszenia na poziomie 2,45 mln USD, w porównaniu do 6,03 mln USD w organizacjach bez automatyzacji [24][26]. Koszty te obejmują wykrywanie naruszenia, badanie incydentu, naprawę i zarządzanie odpowiedzią, a także straty finansowe wynikające z przerw w działalności [24][29][25].
Długoterminowe skutki dla organizacji
Oprócz bezpośrednich kosztów finansowych, ataki na systemy SAP prowadzą do poważnych konsekwencji reputacyjnych, których wartość szacuje się na 12,8 mln USD [24][22][25]. Organizacje dotknięte atakami ransomware na systemy SAP mogą doświadczyć długotrwałych przerw w działalności – przykładem jest Stoli Group, które ogłosiło bankructwo w 2024 roku po ataku ransomware na swoje systemy SAP [30][5][24].
Naruszenia systemów SAP często prowadzą do nieprzestrzegania przepisów, co skutkuje dodatkowymi karami i kosztami związanymi z dostosowaniem do wymogów regulacyjnych, szacowanymi na 3,1 mln USD [24][26][25]. Długoterminowe skutki obejmują również utratę zaufania klientów, obniżenie wartości akcji i zwiększone koszty ubezpieczenia, które mogą wpływać na organizację przez wiele lat po incydencie [24][22][29].
Najnowsze Zagrożenia i Trendy (2024-2025)
Aktualne podatności i eksploity
W 2024-2025 obserwujemy bezprecedensowy wzrost skomplikowanych ataków na systemy SAP, z wykorzystaniem nowych i krytycznych podatności [10][31][32]. Najpoważniejszym zagrożeniem jest podatność CVE-2025-31324 w SAP NetWeaver Visual Composer, która pozwala na nieuprawnione przesyłanie plików i wykonywanie kodu z uprawnieniami administratora [32][10][13].
Tę podatność wykorzystały liczne grupy APT i ransomware, w tym BianLian i RansomwEXX, a także chińska grupa Chaya_004, co doprowadziło do naruszenia ponad 581 systemów SAP na całym świecie [10][14][13]. Inne krytyczne podatności z 2024 roku to CVE-2024-41730 (ocena CVSS 9.8) w SAP BusinessObjects Business Intelligence Platform oraz CVE-2024-29415 (ocena CVSS 9.1) w aplikacjach zbudowanych przy użyciu SAP Build Apps [31][33][34].
Ewolucja taktyk hakerów
Najnowszym trendem jest drastyczne skrócenie czasu między publikacją łatki a wykorzystaniem podatności – z miesięcy do zaledwie godzin [7][35]. Współczesne ataki charakteryzują się wykorzystaniem technik „living-off-the-land”, gdzie atakujący używają legalnych narzędzi SAP do poruszania się po systemie i unikania wykrycia [19][32][10].
Grupy APT wykazują coraz większą znajomość środowisk SAP, z zaawansowaną wiedzą na temat wewnętrznych komponentów i architektur systemów [36][10][17]. Automatyzacja ataków i wykorzystanie sztucznej inteligencji do identyfikacji podatności w kodzie SAP stają się coraz bardziej powszechne wśród zaawansowanych grup atakujących [12][10][4].
Rekomendacje i Wnioski
Strategie zabezpieczania systemów SAP
Organizacje powinny priorytetowo traktować aktualizacje zabezpieczeń SAP, szczególnie te oznaczone jako krytyczne, i wdrażać je w ciągu 24 godzin od publikacji, aby zapobiec wykorzystaniu znanych podatności [7][26][35]. Wdrożenie narzędzi automatycznego monitorowania bezpieczeństwa SAP może zmniejszyć średni koszt naruszenia o 58%, z 6,03 mln USD do 2,45 mln USD [24][26].
Stosowanie zasady najmniejszych uprawnień, segmentacja sieci oraz regularne audyty bezpieczeństwa są kluczowe dla minimalizacji ryzyka skutecznego ataku na systemy SAP [26][19][28]. Organizacje powinny również wdrożyć specjalistyczne rozwiązania antymalware dla SAP, ponieważ standardowe narzędzia bezpieczeństwa na poziomie systemu operacyjnego nie chronią przed atakami na aplikacje SAP [28][26][19].
Przygotowanie na przyszłe zagrożenia
W obliczu rosnącego zainteresowania atakami na SAP, organizacje muszą przygotować plany reagowania na incydenty specyficzne dla środowisk SAP, aby szybko reagować na naruszenia bezpieczeństwa [26][25][19]. Szkolenia świadomościowe dla personelu administrującego systemami SAP oraz użytkowników końcowych są niezbędne do zmniejszenia ryzyka udanych ataków phishingowych i socjotechnicznych [26][19][25].
Współpraca z wyspecjalizowanymi partnerami bezpieczeństwa SAP, takimi jak SecurityBridge czy SNOK , może zapewnić dostęp do aktualnych informacji o zagrożeniach i specjalistycznej wiedzy [37][19][26]. W miarę jak ataki na systemy SAP stają się coraz bardziej wyrafinowane, organizacje muszą przyjąć proaktywne i kompleksowe podejście do bezpieczeństwa SAP, traktując je jako krytyczny element strategii cyberbezpieczeństwa [26][25][19].
Warto wyraźnie podkreślić rolę wyspecjalizowanych narzędzi, takich jak SecurityBridge, w kompleksowej ochronie środowisk SAP. SecurityBridge to pierwsza i jedyna holistyczna, natywnie zintegrowana platforma bezpieczeństwa, która pozwala na monitorowanie, wykrywanie i reagowanie na zagrożenia w czasie rzeczywistym, a także zapewnia wsparcie w zakresie zarządzania incydentami, zgodnością i aktualizacjami bezpieczeństwa w ekosystemie SAP. Platforma ta jest szczególnie skuteczna dzięki integracji z systemami SIEM oraz zaawansowanym algorytmom analizy zagrożeń, co pozwala na filtrowanie tylko istotnych alertów i znacząco redukuje koszty zarządzania danymi bezpieczeństwa.
Współpraca z lokalnym partnerem, takim jak SNOK, który jest partnerem SAP i oficjalnym partnerem SecurityBridge, zapewnia dodatkową warstwę eksperckiego wsparcia technicznego i biznesowego. SNOK pomaga nie tylko wdrożyć i skonfigurować SecurityBridge pod kątem specyficznych potrzeb organizacji, ale także optymalizuje procesy bezpieczeństwa, minimalizując ryzyko operacyjne i koszty związane z zarządzaniem alertami bezpieczeństwa. Dzięki temu firmy mogą szybko reagować na incydenty, skutecznie wdrażać poprawki bezpieczeństwa oraz utrzymywać zgodność z regulacjami branżowymi.
W praktyce oznacza to, że organizacje korzystające z SecurityBridge – wdrożonej i wspieranej przez SNOK – zyskują pełną kontrolę nad bezpieczeństwem swoich systemów SAP, mogą sprawnie zarządzać ryzykiem i utrzymywać ciągłość działania nawet w obliczu zaawansowanych cyberzagrożeń. Takie podejście powinno być kluczowym elementem strategii bezpieczeństwa każdej firmy opierającej swoją działalność na rozwiązaniach SAP.
Eksperci z działu SAP Cybersec firmy SNOK będą kontynuować monitorowanie sytuacji i regularnie aktualizować analizy zagrożeń w ramach cyklu „Bezpieczny wtorek ze SNOK”.
O dziale SAP Cybersec SNOK
Dział SAP Cybersec firmy SNOK skupia zespół wysoko wykwalifikowanych ekspertów specjalizujących się w bezpieczeństwie systemów SAP. Nasi analitycy posiadają wieloletnie doświadczenie w identyfikacji zagrożeń, analizie podatności oraz opracowywaniu strategii ochrony dla organizacji korzystających z rozwiązań SAP na całym świecie.
Źródła:
1. https://www.mdpi.com/2079-9292/13/21/4153
2. https://bmchealthservres.biomedcentral.com/articles/10.1186/s12913-024-11599-4
4. https://www.securityweek.com/sap-applications-increasingly-in-attacker-crosshairs-report-shows/
5. https://cybersecuritynews.com/hackers-exploiting-sap-vulnerabilities/
6. https://www.helpnetsecurity.com/2015/05/07/top-cyber-attack-vectors-for-critical-sap-systems/
7. https://securityaffairs.com/116431/reports/sap-systems-under-attacks.html
8. https://www.slideshare.net/slideshow/dmitry-gutsko/22591696
10. https://thehackernews.com/2025/05/china-linked-apts-exploit-sap-cve-2025.html
11. https://onapsis.com/blog/ransomware-attacks-on-sap-key-insights-from-our-fireside-chat-with-turnkey/
12. https://securitybridge.com/blog/sap-security-ai-shifting-the-advantage/
13. https://www.infosecurity-magazine.com/news/sap-netweaver-vulnerability/
14. https://www.securityweek.com/ransomware-groups-chinese-apts-exploit-recent-sap-netweaver-flaws/
15. https://socprime.com/blog/detect-chinese-attacks-exploiting-cve-2025-31324/
16. https://www.linkedin.com/posts/ptechnology_cybersecurity-sap-apt-activity-7328391803282341888-fOGC
18. https://www.mdpi.com/2079-9292/11/24/4142
19. https://securitybridge.com/blog/hunting-those-hiding-in-the-shadows/
20. https://pathlock.com/protecting-sensitive-data-in-sap-and-other-critical-applications/
21. https://ieeexplore.ieee.org/document/9527419/
22. https://sapinsider.org/blogs/famous-sap-cybersecurity-incidents-and-how-to-avoid-similar-attacks/
23. https://www.sap.com/poland/blogs/twelve-security-issues-for-evolving-factories
24. https://explore.bowbridge.net/blog/cost-sap-cybersecurity-data-breach
25. https://sapinsider.org/blogs/the-real-cost-of-sap-cybersecurity-breaches/
26. https://www.asug.com/insights/researchers-warn-sap-customers-could-be-at-risk-from-cyberattacks
27. https://global.ptsecurity.com/about/news/range-of-vulnerabilities-in-sap-products
29. https://securitybridge.com/blog/countering-data-breaches-an-urgent-call-for-action/
30. https://onapsis.com/blog/sap-security-breach-cited-in-companys-bankruptcy/
31. https://smartermsp.com/cybersecurity-threat-advisory-critical-sap-vulnerabilities/
32. https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/
34. https://cybersecuritynews.com/sap-security-update/
36. https://www.cybersecuritydive.com/news/sap-netweaver-exploitation-second-wave/747661/