Krajobraz cyberzagrożeń ulega nieustannym zmianom. Zgodnie z najnowszymi danymi Cisco Talos, w ostatnich miesiącach cyberincydenty z wykorzystaniem ransomware stanowiły około 20 proc. wszystkich przypadków. Oznacza to wyraźny spadek, eksperci podkreślają jednak, że nie jest to trwały trend. Ransomware pozostaje jednym z najpoważniejszych i najbardziej uporczywych zagrożeń dla organizacji.
Po raz pierwszy od rozpoczęcia analiz w 2021 roku, organizacje rządowe i samorządowe stały się najczęstszym celem cyberataków. Najbardziej narażone okazały się samorządy lokalne, które odpowiadają za kluczowe usługi publiczne. Celem stały się m.in. szkoły czy szpitale, które jednocześnie często zmagają się z ograniczonymi budżetami i przestarzałą infrastrukturą IT.
W III kwartale 2025 roku zarówno grupy cyberprzestępcze nastawione na zysk, jak i grupy APT (Advanced Persistent Threat) powiązane z Rosją, prowadziły skoordynowane kampanie wymierzone głównie w instytucje sektora publicznego.
Luki w aplikacjach
Ponad 60 proc. incydentów z ostatnich miesięcy rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach, co stanowi gwałtowny wzrost. Główną przyczyną tego skoku była fala ataków wymierzonych w serwery Microsoft SharePoint zainstalowane lokalnie, w których wykorzystano łańcuch ataku ToolShell.
Aktywność ToolShell w tym kwartale podkreśla znaczenie prawidłowej segmentacji sieci i szybkiego wdrażania poprawek.
– Atakujący pokazali, jak szybko mogą poruszać się w źle odseparowanych środowiskach. W jednym z przypadków, po włamaniu z użyciem ToolShell, ransomware uruchomiono już po kilku tygodniach. To dobitnie pokazuje, jak ważna jest właściwa segmentacja sieci – podkreśla Lexi DiScola, analityczka bezpieczeństwa informacji z Cisco Talos.
Fala ataków z wykorzystaniem ToolShell pokazuje, jak błyskawicznie cyberprzestępcy reagują na ujawnienie luk typu zero-day. Pierwsze przypadki ich wykorzystania odnotowano już dzień przed publikacją ostrzeżenia Microsoftu, a większość incydentów analizowanych przez Talos wystąpiła w ciągu zaledwie dziesięciu kolejnych dni.
– Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas, by przetestować i wdrożyć poprawki. W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek. Szybkie aktualizacje i właściwa segmentacja to dziś jedne z kluczowych elementów skutecznej obrony – dodaje Lexi DiScola.
Nowe techniki ataków
W analizowanym okresie Talos zidentyfikował trzy nowe odmiany ransomware: Warlock, Babuk i Kraken, obok dobrze znanych rodzin, takich jak Qilin i LockBit. Qilin, który pojawił się na początku roku, znacząco zwiększył skalę ataków i prawdopodobnie pozostanie jednym z kluczowych zagrożeń do końca 2025 roku. W jednym z przypadków cyberprzestępcy uruchomili ransomware już dwa dni po pierwotnym włamaniu. Aktywny pozostawał również LockBit, jedna z najbardziej znanych grup ransomware na świecie.
Wśród analizowanych incydentów Cisco Talos przypisał jeden z ataków grupie Storm-2603, działającej prawdopodobnie z terytorium Chin. Co istotne, grupa ta po raz pierwszy w historii kampanii ransomware wykorzystała legalne narzędzie bezpieczeństwa Velociraptor, przeznaczone do monitorowania i analizy systemów. Pozwoliło to atakującym na zbieranie danych, obserwację aktywności i utrzymanie kontroli nad zainfekowanymi systemami.
Nadużycia uwierzytelniania wieloskładnikowego (MFA)
Prawie jedna trzecia incydentów w III kwartale wiązała się z obejściem lub nadużyciem mechanizmów MFA. Cyberprzestępcy coraz częściej wykorzystują techniki takie jak „MFA bombing” (zalewanie użytkowników powtarzającymi się żądaniami logowania) lub luki w konfiguracji systemów uwierzytelniania. Wyniki te pokazują, że samo wdrożenie MFA nie wystarcza. Organizacje muszą aktywnie monitorować podejrzaną aktywność logowania i dbać o właściwe ustawienia swoich polityk bezpieczeństwa.
Kluczowe rekomendacje
Aby skutecznie chronić się przed rosnącym zagrożeniem, eksperci zalecają:
- szybkie wdrażanie poprawek bezpieczeństwa;
- silną segmentację sieci;
- wzmocnienie zasad MFA i monitorowanie prób logowania;
- pełne rejestrowanie i analizę logów bezpieczeństwa.
Czytaj także:
