Nowy schemat cyberataku przestępców
Tożsamość nadal jest głównym celem. Jednak przestępcy wdrożyli nowe metody ataku.
W I kw. 2025 r. phishing stał się dominującą metodą uzyskiwania początkowego dostępu. Odpowiadał za 50 proc. analizowanych incydentów, co oznacza gwałtowny wzrost wobec poprzedniego kwartału (poniżej 10 proc.) – ustalił Cisco Talos. Najczęstszą formą phishingu był vishing (voice phishing), czyli oszustwa telefoniczne (ponad 60 proc. przypadków).
Gangi zmieniły priorytety
Cyberataki miały na celu przede wszystkim przejęcie kont użytkowników i utrzymanie obecności w sieci ofiary. To inne priorytety gangów niż w przeszłości, gdy chodziło głównie o wyłudzanie poufnych informacji lub przelewów.
Przestępcy poprzez vishing przekonywali np. do ofiary do zdalnego dostępu do ich systemów. Niekiedy kradli tokeny dostępu, by na dobre zadomowić się w sieci. Następnie starali się rozszerzać uprawnienia.
Nowy schemat cyberataków: vishing + ransomware
Incydenty związane z ransomware i pre-ransomware odpowiadały za ponad 50 proc. wszystkich interwencji Cisco Talos w I kw. br. (wzrost z 30 proc. w poprzednim kwartale). W ponad 60 proc. ataków ransomware przestępcy wykorzystywali vishing. Cyberataki rozpoczynały się od masowego spamu. Następnie napastnicy kontaktowali się z ofiarami przez Teamsy, przekonując do uruchomienia Microsoft Quick Assist. Dzięki temu instalowali narzędzia zbierające dane i uzyskiwali trwałą obecność w systemie. Takie kampanie zostały wymierzone w firmy przemysłowe i budowlane. Zresztą najczęściej atakowaną branżą był przemysł, którego dotyczyło 25 proc. wszystkich wykrytych incydentów.
Jak powstrzymać przestępców
Aż 75 proc. incydentów związanych z ransomware w I kw. 2025 r. dotyczyło fazy pre-ransomware, tj. gdy napastnicy uzyskali już dostęp do środowiska ofiary, ale jeszcze nie uruchomili oprogramowania szyfrującego. Ten moment stanowi kluczowe „okno czasowe”, w którym można wykryć i przerwać cyberataki – twierdzą eksperci.
Cisco Talos zaleca w tym celu wdrożenie prawidłowo skonfigurowanego MFA i innych mechanizmów kontroli dostępu. Potrzebna jest szybka reakcja zespołów reagowania na zagrożenia i ochrona punktów końcowych. Nie można też pominąć edukacji użytkowników w zakresie phishingu i socjotechniki gangów.
Także Sophos zwraca uwagę na nadal dużą liczbę zagrożeń ransomware. Dotyczyło ich aż 70 proc. interwencji zespołów reagowania na incydenty.
—————————————-
Dane Cisco znajdują się w raporcie Cisco Talos
źródło informacji: CRN.PL
