Mają nowe sposoby, by kraść pieniądze. Ten raport to dzwonek alarmowy

W pierwszym kwartale 2025 roku phishing stał się wiodącą metodą uzyskiwania początkowego dostępu do sieci ofiar, odpowiadając za połowę wszystkich analizowanych incydentów. Jest to znaczący wzrost w porównaniu do poprzedniego kwartału, kiedy phishing stanowił mniej niż 10 proc. ataków. Najczęściej stosowaną formą był vishing (voice phishing), czyli oszustwa telefoniczne, które odpowiadały za ponad 60 proc. wszystkich przypadków phishingu.

Cyberprzestępcy wykorzystywali ataki phishingowe przede wszystkim do zdobycia dostępu do kont użytkowników i głębszej penetracji sieci docelowej. W jednej z zaobserwowanych kampanii vishingowych napastnicy nakłaniali ofiary przez telefon do ustanowienia sesji zdalnego dostępu do ich stacji roboczych. Następnie wykorzystywali ten dostęp do instalowania złośliwych narzędzi i wyłączania zabezpieczeń punktów końcowych.

W niektórych przypadkach atakujący kradli legalne tokeny dostępu, co pozwalało im na utrzymanie trwałej obecności w zaatakowanych sieciach. Po uzyskaniu dostępu do prawidłowego konta użytkownika, przestępcy klonowali aktywny token dostępu i nadawali nowe dane uwierzytelniające dla połączeń wychodzących, a następnie próbowali rozszerzyć swoje uprawnienia.

Incydenty związane z ransomware i pre-ransomware stanowiły ponad 50 proc. wszystkich interwencji Cisco Talos w pierwszym kwartale 2025 roku, co oznacza znaczący wzrost z niecałych 30 proc. w poprzednim okresie. W ponad 60 proc. ataków ransomware kluczową rolę odegrała złożona kampania vishingowa, skierowana głównie przeciwko firmom z sektora przemysłowego i budowlanego.

Typowy atak rozpoczynał się od masowej kampanii spamowej, po której przestępcy kontaktowali się z ofiarami przez Microsoft Teams, nakłaniając je do uruchomienia Microsoft Quick Assist. Następnie instalowali narzędzia zbierające dane systemowe i tworzyli mechanizmy trwałej obecności w systemie. Początkowo używano ransomware BlackBasta, jednak po upublicznieniu tego faktu, przestępcy przeszli na wariant Cactus, oferujący większą kontrolę dzięki nowym parametrom wiersza poleceń.

W pierwszym kwartale 2025 roku Cisco Talos po raz pierwszy odnotował wzmożoną aktywność grupy Crytox wykorzystującej narzędzie HRSword, służące do wyłączania ochrony EDR (endpoint detection and response). Grupa Crytox szyfruje dyski lokalne i sieciowe, pozostawiając ofiarom notatkę z żądaniem okupu i pięciodniowym ultimatum. Afilianci grupy korzystają z komunikatora uTox do kontaktu z ofiarami.

Zespół Cisco Talos zareagował na incydent, w którym napastnicy wykorzystali publicznie dostępną aplikację, niechronioną mechanizmem MFA, aby uzyskać początkowy dostęp, a następnie przeprowadzili atak ransomware, szyfrując dwa hypervisory obsługujące wiele serwerów wirtualnych.

Aż 75 proc. incydentów związanych z ransomware w pierwszym kwartale 2025 roku dotyczyło fazy pre-ransomware – etapu, w którym atakujący uzyskali już dostęp do środowiska ofiary, ale nie zdążyli jeszcze uruchomić właściwego oprogramowania szyfrującego. Ten moment stanowi kluczowe "okno czasowe" na wykrycie i przerwanie ataku, zanim wyrządzi on realne szkody.

Zespół Cisco Talos zidentyfikował kilka czynników decydujących o skutecznym powstrzymaniu ataków w tej fazie. Prawidłowo skonfigurowane mechanizmy uwierzytelniania wieloskładnikowego (MFA) i kontroli dostępu są kluczowe – problemy z MFA wystąpiły w połowie wszystkich incydentów, głównie w formie braku MFA, błędnej konfiguracji lub jego obejścia.

Szybka reakcja zespołów odpowiedzialnych za reagowanie na incydenty ma fundamentalne znaczenie. W jednym z przypadków zespół Cisco Talos IR został natychmiast poinformowany po tym, jak użytkownicy organizacji otrzymali liczne wiadomości spamowe. Dzięki rozpoznaniu tej taktyki jako części znanej kampanii vishingowej, specjaliści mogli szybko zidentyfikować zagrożenie jako prawdopodobną fazę pre-ransomware i przekazać konkretne wskaźniki kompromitacji oraz zalecenia.

Ochrona punktów końcowych również odgrywa istotną rolę. Prawie 20 proc. incydentów dotyczyło organizacji, które nie miały zabezpieczeń zapobiegających odinstalowaniu rozwiązań EDR, co pozwalało atakującym na wyłączenie tych zabezpieczeń. Cisco Talos zdecydowanie zaleca zapewnienie ochrony rozwiązań punktów końcowych i dostosowanie ich konfiguracji poza ustawienia domyślne.

Edukacja użytkowników w zakresie phishingu i ataków socjotechnicznych jest niezbędna, ponieważ połowa incydentów analizowanych w pierwszym kwartale miała związek z socjotechniką. Jest to poważna luka w zabezpieczeniach, szczególnie w kontekście rosnącej liczby ataków phishingowych. Edukacja stanowi kluczowy element w wykrywaniu prób wyłudzenia, przeciwdziałaniu obchodzeniu MFA oraz wiedzy o tym, gdzie i jak zgłaszać podejrzane aktywności.

Cyberprzestępcy wykazują się elastycznością, modyfikując swoje techniki i taktyki w odpowiedzi na ujawniane informacje o sposobach ich działania. Można się spodziewać, że będą kontynuować tę strategię, wdrażając nowe narzędzia i rodziny ransomware. Skuteczne reagowanie i szybka identyfikacja aktywności pre-ransomware pozostają kluczowe dla ograniczenia skutków incydentów.