III kwartał 2025 roku przyniósł znaczącą zmianę w krajobrazie cyberzagrożeń. Według danych Cisco Talos ponad 60% incydentów rozpoczęło się od wykorzystania luk w aplikacjach publicznych, a sektor publiczny po raz pierwszy znalazł się na szczycie listy celów cyberprzestępców.
Zgodnie z najnowszymi danymi Cisco Talos, w Q3 2025 roku cyberincydenty z wykorzystaniem ransomware stanowiły około 20% wszystkich przypadków, podczas gdy w Q2 odsetek ten sięgał 50%. Choć oznacza to wyraźny spadek, eksperci podkreślają, że nie jest to trwały trend, ransomware nadal pozostaje jednym z najpoważniejszych i najbardziej uporczywych zagrożeń dla organizacji.
Administracja publiczna głównym celem ataków
Po raz pierwszy od rozpoczęcia analiz w 2021 roku, organizacje rządowe i samorządowe stały się najczęstszym celem cyberataków. Najbardziej narażone okazały się samorządy lokalne, które odpowiadają za kluczowe usługi publiczne. Celem stały się m.in. szkoły czy szpitale, które jednocześnie często zmagają się z ograniczonymi budżetami i przestarzałą infrastrukturą IT.
W III kwartale 2025 roku zarówno grupy cyberprzestępcze nastawione na zysk, jak i grupy APT (Advanced Persistent Threat) powiązane z Rosją, prowadziły skoordynowane kampanie wymierzone głównie w instytucje sektora publicznego.
Wykorzystywanie luk w aplikacjach publicznych
Ponad 60% wszystkich incydentów w III kwartale rozpoczęło się od wykorzystania luk w aplikacjach publicznie dostępnych, co stanowi gwałtowny wzrost w porównaniu z mniej niż 10% w poprzednim kwartale. Główną przyczyną tego skoku była fala ataków wymierzonych w serwery Microsoft SharePoint zainstalowane lokalnie, w których wykorzystano łańcuch ataku ToolShell.
Aktywność ToolShell w tym kwartale podkreśla znaczenie prawidłowej segmentacji sieci i szybkiego wdrażania poprawek. „Atakujący pokazali, jak szybko mogą poruszać się w źle odseparowanych środowiskach. W jednym z przypadków, po włamaniu z użyciem ToolShell, ransomware uruchomiono już po kilku tygodniach. To dobitnie pokazuje, jak ważna jest właściwa segmentacja sieci” – podkreśla Lexi DiScola, analityczka bezpieczeństwa informacji z Cisco Talos.
Fala ataków z wykorzystaniem ToolShell pokazuje, jak błyskawicznie cyberprzestępcy reagują na ujawnienie luk typu zero-day. Pierwsze przypadki ich wykorzystania odnotowano już dzień przed publikacją ostrzeżenia Microsoftu, a większość incydentów analizowanych przez Talos wystąpiła w ciągu zaledwie dziesięciu kolejnych dni.
„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas, by przetestować i wdrożyć poprawki. W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek. Szybkie aktualizacje i właściwa segmentacja to dziś jedne z kluczowych elementów skutecznej obrony” – dodaje Lexi DiScola.
Nowe techniki ataków
W analizowanym okresie Talos zidentyfikował trzy nowe odmiany ransomware: Warlock, Babuk i Kraken, obok dobrze znanych rodzin, takich jak Qilin i LockBit. Qilin, który pojawił się na początku roku, znacząco zwiększył skalę ataków i prawdopodobnie pozostanie jednym z kluczowych zagrożeń do końca 2025 roku. W jednym z przypadków cyberprzestępcy uruchomili ransomware już dwa dni po pierwotnym włamaniu. Aktywny pozostawał również LockBit, jedna z najbardziej znanych grup ransomware na świecie.
Wśród analizowanych incydentów Cisco Talos przypisał jeden z ataków grupie Storm-2603, działającej prawdopodobnie z terytorium Chin. Co istotne, grupa ta po raz pierwszy w historii kampanii ransomware wykorzystała legalne narzędzie bezpieczeństwa Velociraptor, przeznaczone do monitorowania i analizy systemów. Pozwoliło to atakującym na zbieranie danych, obserwację aktywności i utrzymanie kontroli nad zainfekowanymi systemami.
Nadużycia uwierzytelniania wieloskładnikowego (MFA)
Prawie jedna trzecia incydentów w III kwartale wiązała się z obejściem lub nadużyciem mechanizmów MFA. Cyberprzestępcy coraz częściej wykorzystują techniki takie jak „MFA bombing” (zalewanie użytkowników powtarzającymi się żądaniami logowania) lub luki w konfiguracji systemów uwierzytelniania. Wyniki te pokazują, że samo wdrożenie MFA nie wystarcza. Organizacje muszą aktywnie monitorować podejrzaną aktywność logowania i dbać o właściwe ustawienia swoich polityk bezpieczeństwa.
