Pierwszy kwartał 2025 r. przyniósł gwałtowny wzrost incydentów phishingowych, szczególnie w przemyśle. Analiza Cisco Talos pokazuje nowe techniki cyberprzestępców oraz wskazuje najważniejsze mechanizmy skutecznej ochrony.
Phishing w nowej odsłonie
W raporcie Cisco Talos za I kwartał 2025 roku phishing odpowiadał już za 50% wszystkich analizowanych incydentów – to pięciokrotny wzrost w stosunku do poprzedniego kwartału. Dominującą formą stał się vishing, czyli wyłudzenia przez telefon, stanowiące ponad 60% przypadków phishingu. Przestępcy skupiali się głównie na uzyskaniu danych logowania użytkowników, umożliwiając sobie głębsze wejście w infrastrukturę firmy i utrzymanie w niej obecności.
Ataki coraz częściej łączą różne techniki – przykładem jest kampania, w której vishing umożliwił instalację narzędzi zdalnego dostępu i wyłączenie zabezpieczeń punktów końcowych, a także kradzież legalnych tokenów dostępów.
Ransomware i nowe zagrożenia
W ponad połowie wszystkich interwencji Cisco Talos odnotowano incydenty ransomware lub pre-ransomware, z czego większość zaczynała się od masowych ataków vishingowych. Szczególnie aktywną grupą była Crytox, która używała narzędzia HRSword do wyłączania ochrony EDR i szyfrowania danych na serwerach.
Analiza incydentów wskazuje, iż 75% przypadków ransomware dotyczyło tzw. fazy pre-ransomware – momentu, gdy atakujący mają już dostęp, ale jeszcze nie uruchomili szkodliwego oprogramowania. To najważniejszy czas na reakcję i zatrzymanie ataku.
Kluczowe mechanizmy ochrony i rekomendacje
Zespół Cisco Talos podkreśla znaczenie adekwatnie wdrożonego MFA – jego brak lub niewłaściwa konfiguracja występowały w połowie analizowanych przypadków. Szybka reakcja zespołów IR, skuteczna ochrona punktów końcowych i edukacja użytkowników to niezbędne elementy strategii bezpieczeństwa. Aż połowa incydentów była efektem skutecznej manipulacji socjotechnicznej.
Cyberprzestępcy nieustannie modyfikują swoje metody, a kluczem do skutecznej obrony pozostaje szybka identyfikacja aktywności pre-ransomware oraz konsekwentna edukacja użytkowników. Przemysł pozostaje najczęściej atakowaną branżą – dotyczyło go 25% wszystkich incydentów zgłoszonych w Q1 2025.
