Cisco Talos podsumowało cyberzagrożenia w II kwartale 2025 roku. Wyniki pokazują zmianę w taktykach atakujących – phishing, choć nadal najpopularniejszy, wyraźnie traci udział na rzecz innych metod.
Phishing odpowiadał za ok. 33% kampanii (spadek z 50% kwartał wcześniej), co eksperci tłumaczą wygaszeniem głośnej fali vishingu. Nadal jednak aż 75% ataków bazowało na przejętych, zaufanych kontach e-mail, co pozwalało skutecznie omijać zabezpieczenia. Coraz częściej celem nie były pieniądze, lecz dane logowania i tokeny MFA, sprzedawane później na czarnym rynku lub wykorzystywane w dalszych atakach.
Ransomware odpowiada za połowę wszystkich incydentów
Co drugi analizowany atak wiązał się z ransomware. Na scenie pojawiły się nowe grupy, m.in. Qilin i Medusa, a aktywni pozostali też sprawcy z Chaos. Szczególnie Qilin zwrócił uwagę badaczy. Grupa ta wykorzystuje niespotykane dotąd metody, m.in. infrastrukturę Backblaze C2 i narzędzie CyberDuck do wykradania danych. Od lutego liczba włamań z jego użyciem podwoiła się, także dzięki współpracy z północnokoreańską grupą Moonstone Sleet.
Co ciekawe, w jednej trzeciej ataków ransomware wykorzystano archaiczną wersję języka skryptowego PowerShell 1.0. To wydanie pozbawione jest kluczowych zabezpieczeń obecnych w nowszych wersjach, takich jak logowanie uruchamianych skryptów, rejestrowanie sesji czy interfejs AMSI, który pozwala antywirusom skanować kod jeszcze przed jego wykonaniem. W incydencie przypisywanym grupie Medusa przestarzały PowerShell umożliwił dodanie katalogu systemowego do wyjątków antywirusa. Cisco Talos rekomenduje więc wymuszenie użycia PowerShell w wersji 5.0 lub wyższej na wszystkich systemach.
Jak się okazuje, najczęściej atakowaną branżą w II kwartale 2025 roku była edukacja – w poprzednim kwartale niemal nieodnotowywana. Wysoko na liście znalazły się też sektory produkcju, budownictwa i administracji publicznej.
Warto również podkreślić, że ponad 40% incydentów związanych było z niewłaściwym wykorzystaniem uwierzytelniania wieloskładnikowego (MFA) – od złej konfiguracji po obchodzenie zabezpieczeń. Eksperci podkreślają, że samo wdrożenie MFA nie wystarczy – konieczne jest jego stałe monitorowanie i kontrola dodawania nowych urządzeń czy wyjątków.
