Mastodon
Zdjęcie okładkowe wpisu Ransomware w odwrocie, ale hakerzy mają nową ulubioną metodę. Raport Cisco Talos Q4 2025

Ransomware w odwrocie, ale hakerzy mają nową ulubioną metodę. Raport Cisco Talos Q4 2025

Agnieszka Serafinowicz
0
Dodane: 3 godziny temu

Jeśli myślicie, że największym zagrożeniem dla firmy jest wielki, czerwony komunikat o zaszyfrowaniu dysku, to jesteście w błędzie.

Najnowszy raport Cisco Talos za IV kwartał 2025 pokazuje wyraźną zmianę trendu. Cyberprzestępcy przestali wyważać drzwi razem z futryną (ransomware), a zaczęli wchodzić przez niedomknięte okna (luki w aplikacjach) i kraść klucze od domowników (phishing).

Dziurawe aplikacje to autostrada dla ataku

Aż 40% wszystkich interwencji zespołu Cisco Talos Incident Response dotyczyło wykorzystania luk w publicznie dostępnych aplikacjach. To wciąż numer jeden na liście wektorów ataku. Co gorsza, hakerzy działają błyskawicznie.

W wielu przypadkach atak następował niemal natychmiast po publicznym ujawnieniu nowej podatności (np. w Oracle E-Business Suite czy frameworkach React/Next.js). To wyścig z czasem, który administratorzy często przegrywają. Aż 35% incydentów wynikało z braku aktualizacji – i to nie zawsze najnowszych. Stare, znane od lat exploity wciąż działają, bo firmom „nie chce się” lub „nie opłaca” łatać systemów.

„MFA Fatigue”, czyli zmęczony użytkownik kliknie wszystko

Drugim najczęstszym powodem problemów jest phishing i przejmowanie kont. Ale tu też widać zmianę. Hakerzy nie walczą już z zabezpieczeniami siłowo – oni wykorzystują psychologię. Zjawisko MFA Fatigue (zmęczenie uwierzytelnianiem) zbiera żniwo. Atakujący bombardują ofiarę powiadomieniami z prośbą o potwierdzenie logowania, aż ta – dla świętego spokoju lub z przyzwyczajenia – w końcu kliknie „Zatwierdź”. Cisco punktuje też fatalną konfigurację MFA. Samo wdrożenie dwuetapowego logowania to za mało, jeśli nikt nie monitoruje prób jego obejścia.

Ransomware spada na margines?

To największe zaskoczenie raportu. Incydenty z ransomware stanowiły tylko 13% wszystkich zgłoszeń. Dla porównania:

  • Q1 2025: prawie 50%
  • Q3 2025: 20%
  • Q4 2025: 13%

Nie pojawiły się żadne nowe, rewolucyjne rodziny złośliwego oprogramowania (króluje znany „Qilin”). Wygląda na to, że przestępcy wolą cichą kradzież danych i szantaż bez paraliżowania infrastruktury, co przyciąga mniej uwagi organów ścigania. Ciekawym trendem jest nadużywanie legalnych narzędzi RMM (Remote Monitoring and Management). Hakerzy używają tego samego softu co administratorzy IT, przez co ich ruch w sieci jest trudny do odróżnienia od normalnej pracy.

Administracja publiczna na celowniku

Kto obrywa najmocniej? Sektor publiczny. Ograniczone budżety, przestarzała infrastruktura („dług technologiczny”) i bazy pełne wrażliwych danych obywateli to idealny cel. Urzędy mają też niską tolerancję na przestoje, co sprawia, że są bardziej skłonne do ulegania presji.

Wniosek jest prosty: czas reakcji to dziś jedyna waluta. Jeśli nie załatasz luki w kilka dni (lub godzin) od jej wykrycia, prawdopodobnie ktoś już skanuje Twoje serwery.

AI wymusza wielkie sprzątanie w danych. Raport Cisco: inwestycja w prywatność zwraca się z nawiązką

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .