W I kw. 2025 r. phishing stał się dominującą metodą uzyskiwania początkowego dostępu. Odpowiadał za 50 proc. analizowanych incydentów, co oznacza gwałtowny wzrost wobec poprzedniego kwartału (poniżej 10 proc.) – ustalił Cisco Talos. Najczęstszą formą phishingu był vishing (voice phishing), czyli oszustwa telefoniczne (ponad 60 proc. przypadków).

Gangi zmieniły priorytety

Cyberataki miały na celu przede wszystkim przejęcie kont użytkowników i utrzymanie obecności w sieci ofiary. To inne priorytety gangów niż w przeszłości, gdy chodziło głównie o wyłudzanie poufnych informacji lub przelewów.
Przestępcy poprzez vishing przekonywali np. do ofiary do zdalnego dostępu do ich systemów. Niekiedy kradli tokeny dostępu, by na dobre zadomowić się w sieci. Następnie starali się rozszerzać uprawnienia.

Nowy schemat cyberataków: vishing + ransomware

Incydenty związane z ransomware i pre-ransomware odpowiadały za ponad 50 proc. wszystkich interwencji Cisco Talos w I kw. br. (wzrost z 30 proc. w poprzednim kwartale). W ponad 60 proc. ataków ransomware przestępcy wykorzystywali vishing. Cyberataki rozpoczynały się od masowego spamu. Następnie napastnicy kontaktowali się z ofiarami przez Teamsy, przekonując do uruchomienia Microsoft Quick Assist. Dzięki temu instalowali narzędzia zbierające dane i uzyskiwali trwałą obecność w systemie. Takie kampanie zostały wymierzone w firmy przemysłowe i budowlane. Zresztą najczęściej atakowaną branżą był przemysł, którego dotyczyło 25 proc. wszystkich wykrytych incydentów.

Jak powstrzymać przestępców

Aż 75 proc. incydentów związanych z ransomware w I kw. 2025 r. dotyczyło fazy pre-ransomware, tj. gdy napastnicy uzyskali już dostęp do środowiska ofiary, ale jeszcze nie uruchomili oprogramowania szyfrującego. Ten moment stanowi kluczowe „okno czasowe”, w którym można wykryć i przerwać cyberataki – twierdzą eksperci.

Cisco Talos zaleca w tym celu wdrożenie prawidłowo skonfigurowanego MFA i innych mechanizmów kontroli dostępu. Potrzebna jest szybka reakcja zespołów reagowania na zagrożenia i ochrona punktów końcowych. Nie można też pominąć edukacji użytkowników w zakresie phishingu i socjotechniki gangów.

Także Sophos zwraca uwagę na nadal dużą liczbę zagrożeń ransomware. Dotyczyło ich aż 70 proc. interwencji zespołów reagowania na incydenty.

—————————————-
Dane Cisco znajdują się w raporcie Cisco Talos