Zespół Cisco Talos Incident Response opublikował raport za pierwszy kwartał 2025 roku, wskazując na gwałtowny wzrost ataków phishingowych i rosnącą aktywność cyberprzestępczą ukierunkowaną na kradzież tożsamości oraz trwały dostęp do sieci ofiar.
Phishing odpowiadał za aż 50 proc. analizowanych przypadków początkowego dostępu – to pięciokrotny wzrost względem poprzedniego kwartału. Na czoło wysunął się vishing, czyli phishing głosowy. Oszuści telefonicznie nakłaniali ofiary do ustanawiania sesji zdalnych lub udostępniania danych, umożliwiając przestępcom instalację narzędzi, wyłączanie zabezpieczeń i eskalację uprawnień.
Branża przemysłowa stała się najczęstszym celem cyberataków, odpowiadając za 25 proc. wszystkich incydentów.
Ponad połowa interwencji Cisco Talos miała związek z atakami ransomware lub ich wczesną fazą – tzw. pre-ransomware. W wielu przypadkach atak poprzedzała kampania vishingowa z wykorzystaniem komunikatorów korporacyjnych (np. Microsoft Teams) i narzędzi, takich jak Microsoft Quick Assist. Początkowo używano BlackBasty, a po jej dekonspiracji – ransomware Cactus.
Nowością w 1. kw. 2025 była aktywność grupy Crytox, która wykorzystuje narzędzie HRSword do wyłączania ochrony EDR i szyfrowania serwerów. Cyberprzestępcy kontaktują się z ofiarami przez komunikator uTox i żądają okupu w ciągu pięciu dni.
Cisco Talos podkreśla znaczenie właściwego wdrożenia uwierzytelniania wieloskładnikowego MFA (Multi-Factor Authentication) – błędna konfiguracja tego mechanizmu pojawiła się w połowie incydentów. Aż 75 proc. przypadków ransomware zostało zatrzymanych w fazie pre-ransomware dzięki szybkiemu rozpoznaniu zagrożeń, odpowiednim zabezpieczeniom punktów końcowych i edukacji użytkowników.
Eksperci Talos zwracają uwagę, że połowa ataków opierała się na socjotechnice. Edukacja pracowników pozostaje jednym z najskuteczniejszych sposobów ograniczenia skutków działań cyberprzestępców, szczególnie w kontekście rosnącej popularności vishingu.
