Phishing pozostaje najpopularniejszą metodą cyberataków, choć w drugim kwartale 2025 r. jego udział spadł do 33 proc., wynika z najnowszego raportu Cisco Talos. Coraz rzadziej służy on jednak wyłudzaniu pieniędzy, a coraz częściej zdobywaniu danych logowania i tokenów MFA, które następnie są wykorzystywane w kolejnych kampaniach ataków.
Eksperci podkreślają, że przejęte dane dostępowe stały się dla cyberprzestępców pełnoprawnym towarem, równie cennym jak informacje firmowe czy możliwość prowadzenia wymuszeń finansowych.
Połowa wszystkich analizowanych incydentów w II kw. 2025 r. miała związek z ransomware. Na scenie pojawiły się nowe grupy, takie jak Qilin i Medusa, a aktywne pozostały gangi Chaos. Szczególne zagrożenie może stanowić Qilin, które stosuje nowe techniki – m.in. infrastrukturę Backblaze i narzędzie CyberDuck do wykradania danych.
Zespół Cisco Talos alarmuje, że aż w jednej trzeciej ataków ransomware wykorzystywany był przestarzały PowerShell 1.0, pozbawiony mechanizmów bezpieczeństwa obecnych w nowszych wersjach. W jednym z incydentów pozwoliło to hakerom na drastyczne obniżenie skuteczności ochrony antywirusowej. Eksperci apelują o wymuszenie użycia PowerShell od wersji 5.0 wzwyż.
Najczęściej atakowanym sektorem w drugim kwartale była edukacja – podczas gdy w poprzednim okresie nie odnotowano incydentów w tej branży. Poza nią, ofiarami cyberprzestępców były m.in. podmioty z sektora produkcji, budownictwa i administracji publicznej.
Ponad 40 proc. incydentów miało związek z niewłaściwie wdrożonym lub obchodzonym uwierzytelnianiem wieloskładnikowym. Cisco Talos zaleca nie tylko stosowanie MFA, ale także jego ciągłe monitorowanie – aby szybko wykrywać próby nadużyć, takie jak dodawanie nowych urządzeń czy omijanie zabezpieczeń.
