Hakerzy wolą teraz Twoje hasło niż pieniądze – alarmuje Cisco Talos. Phishing wciąż jest na czele metod ataku, a ransomware nie odpuszcza, uderzając najmocniej w sektor edukacji.
Cyberprzestępcy zmieniają taktykę. Jak wynika z najnowszego raportu Cisco Talos za drugi kwartał 2025 roku, choć phishing wciąż jest najpopularniejszą metodą ataku, jego cel się zmienił. Hakerzy nie polują już głównie na pieniądze, ale na dane logowania. Ofiary są wabione na fałszywe strony, gdzie przestępcy przechwytują ich hasła oraz tokeny uwierzytelniania wieloskładnikowego (MFA). Zdobyte w ten sposób dane służą do przeprowadzania kolejnych, bardziej precyzyjnych ataków, a ponieważ maile nie zawierają żądań finansowych, wydają się bardziej wiarygodne.
Nieustannie wielkim zagrożeniem pozostaje ransomware, czyli oprogramowanie szyfrujące dane dla okupu. Aż połowa analizowanych przez Cisco Talos incydentów była związana z tą właśnie formą ataku. Na scenie pojawiły się nowe, groźne grupy, takie jak Qilin i Medusa. Szczególnie Qilin budzi niepokój ekspertów, ponieważ stosuje nowatorskie metody wykradania danych z wykorzystaniem legalnych narzędzi, takich jak CyberDuck i infrastruktura chmurowa Backblaze. Aktywność tej grupy podwoiła się, odkąd jej oprogramowanie zaczęła rozprzestrzeniać północnokoreańska grupa hakerska Moonstone Sleet.
Co ciekawe, hakerzy chętnie sięgają po bardzo stare i niezabezpieczone narzędzia. W jednej trzeciej ataków ransomware wykorzystano archaiczną wersję języka skryptowego PowerShell 1.0. To wydanie nie posiada kluczowych zabezpieczeń, takich jak logowanie czy skanowanie antywirusowe kodu przed jego wykonaniem. W jednym z ataków grupa Medusa wykorzystała tę lukę, aby dodać główny folder systemu Windows do listy wykluczeń antywirusa, co praktycznie unieszkodliwiło cyfrową obronę komputera.
W tym kwartale na celowniku hakerów znalazł się przede wszystkim sektor edukacji, co jest wyraźną zmianą w stosunku do poprzednich miesięcy. Eksperci z Cisco Talos podkreślają też, iż ponad 40% skutecznych ataków było możliwych z powodu problemów z uwierzytelnianiem wieloskładnikowym (MFA). Dlatego apelują, aby nie tylko włączać MFA, ale także stale monitorować jego działanie, ponieważ przestępcy nauczyli się je obchodzić lub wyłączać dla przejętych kont.
![Saperzy 1. PBOT doskonalili się w zakresie działań przeciwkryzysowych [FOTO]](https://zambrow.org/static/files/gallery/130/1735916_1756209012.webp)
