Ransomware zmienia oblicze, sektor publiczny głównym celem

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

III kwartał 2025 roku przyniósł znaczącą zmianę w krajobrazie cyberzagrożeń. Według danych Cisco Talos ponad 60% incydentów rozpoczęło się od wykorzystania luk w aplikacjach publicznych, a sektor publiczny po raz pierwszy znalazł się na szczycie listy celów cyberprzestępców.

Zgodnie z najnowszymi danymi Cisco Talos, w Q3 2025 roku cyberincydenty z wykorzystaniem ransomware stanowiły około 20% wszystkich przypadków, podczas gdy w Q2 odsetek ten sięgał 50%. Choć oznacza to wyraźny spadek, eksperci podkreślają, że nie jest to trwały trend, ransomware nadal pozostaje jednym z najpoważniejszych i najbardziej uporczywych zagrożeń dla organizacji.

Administracja publiczna głównym celem ataków

Po raz pierwszy od rozpoczęcia analiz w 2021 roku, organizacje rządowe i samorządowe stały się najczęstszym celem cyberataków. Najbardziej narażone okazały się samorządy lokalne, które odpowiadają za kluczowe usługi publiczne. Celem stały się m.in. szkoły czy szpitale, które jednocześnie często zmagają się z ograniczonymi budżetami i przestarzałą infrastrukturą IT.

W III kwartale 2025 roku zarówno grupy cyberprzestępcze nastawione na zysk, jak i grupy APT (Advanced Persistent Threat) powiązane z Rosją, prowadziły skoordynowane kampanie wymierzone głównie w instytucje sektora publicznego.

Wykorzystywanie luk w aplikacjach publicznych

Ponad 60% wszystkich incydentów w III kwartale rozpoczęło się od wykorzystania luk w aplikacjach publicznie dostępnych, co stanowi gwałtowny wzrost w porównaniu z mniej niż 10% w poprzednim kwartale. Główną przyczyną tego skoku była fala ataków wymierzonych w serwery Microsoft SharePoint zainstalowane lokalnie, w których wykorzystano łańcuch ataku ToolShell.

Aktywność ToolShell w tym kwartale podkreśla znaczenie prawidłowej segmentacji sieci i szybkiego wdrażania poprawek. „Atakujący pokazali, jak szybko mogą poruszać się w źle odseparowanych środowiskach. W jednym z przypadków, po włamaniu z użyciem ToolShell, ransomware uruchomiono już po kilku tygodniach. To dobitnie pokazuje, jak ważna jest właściwa segmentacja sieci”podkreśla Lexi DiScola, analityczka bezpieczeństwa informacji z Cisco Talos.

Fala ataków z wykorzystaniem ToolShell pokazuje, jak błyskawicznie cyberprzestępcy reagują na ujawnienie luk typu zero-day. Pierwsze przypadki ich wykorzystania odnotowano już dzień przed publikacją ostrzeżenia Microsoftu, a większość incydentów analizowanych przez Talos wystąpiła w ciągu zaledwie dziesięciu kolejnych dni.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas, by przetestować i wdrożyć poprawki. W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek. Szybkie aktualizacje i właściwa segmentacja to dziś jedne z kluczowych elementów skutecznej obrony”dodaje Lexi DiScola.

Nowe techniki ataków

W analizowanym okresie Talos zidentyfikował trzy nowe odmiany ransomware: Warlock, Babuk i Kraken, obok dobrze znanych rodzin, takich jak Qilin i LockBit. Qilin, który pojawił się na początku roku, znacząco zwiększył skalę ataków i prawdopodobnie pozostanie jednym z kluczowych zagrożeń do końca 2025 roku. W jednym z przypadków cyberprzestępcy uruchomili ransomware już dwa dni po pierwotnym włamaniu. Aktywny pozostawał również LockBit, jedna z najbardziej znanych grup ransomware na świecie.

Wśród analizowanych incydentów Cisco Talos przypisał jeden z ataków grupie Storm-2603, działającej prawdopodobnie z terytorium Chin. Co istotne, grupa ta po raz pierwszy w historii kampanii ransomware wykorzystała legalne narzędzie bezpieczeństwa Velociraptor, przeznaczone do monitorowania i analizy systemów. Pozwoliło to atakującym na zbieranie danych, obserwację aktywności i utrzymanie kontroli nad zainfekowanymi systemami.

Nadużycia uwierzytelniania wieloskładnikowego (MFA)

Prawie jedna trzecia incydentów w III kwartale wiązała się z obejściem lub nadużyciem mechanizmów MFA. Cyberprzestępcy coraz częściej wykorzystują techniki takie jak „MFA bombing” (zalewanie użytkowników powtarzającymi się żądaniami logowania) lub luki w konfiguracji systemów uwierzytelniania. Wyniki te pokazują, że samo wdrożenie MFA nie wystarcza. Organizacje muszą aktywnie monitorować podejrzaną aktywność logowania i dbać o właściwe ustawienia swoich polityk bezpieczeństwa.

Autor/Źródło:
  • Cisco

    Cisco Systems, Inc. – amerykańska korporacja technologiczna założona w 1984 roku w San Francisco, z siedzibą główną w San Jose (Kalifornia). Specjalizuje się w produkcji sprzętu sieciowego, oprogramowania i usług teleinformatycznych, będąc jednym z globalnych liderów w dziedzinie infrastruktury internetowej.

    Oferta Cisco obejmuje m.in. routery, przełączniki, systemy bezpieczeństwa sieciowego, rozwiązania chmurowe, wideokonferencyjne oraz narzędzia do zarządzania sieciami i centrami danych. Firma rozwija także technologie związane z Internetem Rzeczy (IoT), sztuczną inteligencją i cyberbezpieczeństwem. Cisco działa globalnie, obsługując przedsiębiorstwa, instytucje publiczne i operatorów telekomunikacyjnych, a jej akcje notowane są na giełdzie NASDAQ.

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie