Phishing na fali w I kwartale 2025

Przeczytaj także: Cyberataki: kradzież tożsamości to bułka z masłem?

Eksperci Cisco Talos zwracają uwagę, że w I kwartale 2025 r. phishing odpowiadał za 50% analizowanych incydentów, co oznacza gwałtowny wzrost względem poprzedniego kwartału (kiedy wynosił poniżej 10%). Najczęstszą formą phishingu był vishing (voice phishing). Oszustwa telefoniczne, na których opiera się ta taktyka, stanowiły ponad 60% wszystkich przypadków phishingu. Ataki miały na celu nie tylko wyłudzenie danych, ale przede wszystkim przejęcie kont użytkowników i utrzymanie obecności w sieci ofiary.

Przejęcie dostępu nadal kluczowe

Atakujący wykorzystywali phishing głównie w celu uzyskania dostępu do kont użytkowników, wniknięcia głębiej w docelową sieć i rozszerzenia swojej obecności, co kontrastowało z innymi celami phishingu, które widzieliśmy w przeszłości, takimi jak wyłudzanie poufnych informacji lub przelewów pieniężnych. Na przykład w jednej z zaobserwowanych kampanii vishingowych, atakujący oszukiwali użytkowników przez telefon, aby ci ustanowili sesje zdalnego dostępu do swojej stacji roboczej, a następnie wykorzystywali ten dostęp do instalowania narzędzi, ustanawiania trwałej obecności i wyłączania zabezpieczeń punktów końcowych.

W niektórych przypadkach cyberprzestępcy wykorzystywali ataki phishingowe do kradzieży legalnych tokenów dostępu użytkowników, co pozwalało im na utrzymanie trwałego dostępu do zaatakowanych sieci. W innych przypadkach, po uzyskaniu dostępu do prawidłowego konta użytkownika, atakujący klonowali aktywny token dostępu i nadawali nowe dane uwierzytelniające dla połączeń wychodzących. Następnie próbowali rozszerzyć swoje uprawnienia, uruchamiając polecenia zbierające informacje o systemie oraz tworząc zaplanowane zadanie, które przy każdym logowaniu użytkownika uruchamiało złośliwy plik JavaScript.

Vishing + ransomware = nowy schemat ataku

Incydenty związane z ransomware i pre-ransomware odpowiadały za ponad 50 procent wszystkich interwencji Cisco Talos, w porównaniu z poprzednim kwartałem, kiedy stanowiły niecałe 30%. W ponad 60% ataków ransomware kluczową rolę odegrała złożona kampania vishingowa, wymierzona w firmy z sektora przemysłowego i budowlanego. Ataki rozpoczynały się od masowego spamu, po czym przestępcy kontaktowali się z ofiarami przez Microsoft Teams, przekonując ich do uruchomienia Microsoft Quick Assist. Następnie instalowano narzędzia zbierające dane systemowe i ustanawiano mechanizmy trwałej obecności.

Początkowo używano ransomware BlackBasta, ale gdy fakt ten został upubliczniony, przestępcy przeszli na Cactus, którego nowa wersja oferowała większą kontrolę poprzez nowe parametry wiersza poleceń.

Nowy duży gracz ransomware: Crytox z narzędziem HRSword

W I kwartale Cisco Talos po raz pierwszy odnotował wzmożoną aktywność grupy Crytox z wykorzystaniem narzędzia HRSword, służącego do wyłączania ochrony EDR (endpoint detection and response). Crytox szyfruje dyski lokalne i sieciowe, zostawiając ofiarom notkę z żądaniem okupu i pięciodniowym ultimatum. Wiadomo również, że afilianci grupy korzystają z komunikatora uTox do kontaktu z ofiarami. Talos zareagował na incydent, w którym napastnicy wykorzystali publicznie dostępną aplikację, niechronioną mechanizmem MFA, aby uzyskać początkowy dostęp, a następnie przeprowadzili atak ransomware, szyfrując dwa hypervisory obsługujące wiele serwerów wirtualnych.

Mechanizmy skutecznej ochrony

75% incydentów związanych z ransomware w I kwartale 2025 roku dotyczyło tzw. fazy pre-ransomware – czyli etapu, w którym atakujący uzyskali już dostęp do środowiska ofiary, ale nie zdążyli jeszcze uruchomić właściwego oprogramowania szyfrującego. Ten moment stanowi kluczowe „okno czasowe”, w którym możliwe jest wykrycie i przerwanie ataku, zanim wyrządzi on realne szkody.

Zespół Cisco Talos odnotował kilka czynników, które miały decydujące znaczenie dla skutecznego powstrzymania ataków w tej fazie:

• Wdrożenie prawidłowo skonfigurowanego MFA i innych mechanizmów kontroli dostępu: problemy związane z MFA wystąpiły w połowie wszystkich incydentów, m.in. w formie braku MFA, błędnej konfiguracji oraz jego obejścia.
• Szybka reakcja zespołów IR: natychmiastowe wykrycie ataku jest kluczowe. W jednym z przypadków zespół Cisco Talos IR został bezpośrednio poinformowany po tym, jak użytkownicy organizacji doświadczyli zalewu wiadomości spamowych. Ponieważ ta technika działania była zgodna z kampanią vishingową, którą wcześniej specjaliści obserwowali u innych organizacji, zespół był w stanie szybko zidentyfikować zagrożenie jako prawdopodobną fazę pre-ransomware, przekazać konkretne wskaźniki kompromitacji (IOC) oraz zalecenia umożliwiające skuteczne przeciwdziałanie dalszemu rozwojowi ataku.
• Ochrona punktów końcowych: Prawie 20 procent incydentów dotyczyło organizacji, które nie miały zabezpieczeń zapobiegających odinstalowaniu rozwiązań EDR, umożliwiając aktorom wyłączenie tych zabezpieczeń. Talos zdecydowanie zaleca zapewnienie ochrony rozwiązań punktów końcowych i dostosowanie ich konfiguracji poza ustawienia domyślne.
• Edukacja użytkowników w zakresie phishingu i ataków socjotechnicznych: połowa incydentów analizowanych w I kwartale miała związek z socjotechniką. To poważna luka w zabezpieczeniach – zwłaszcza w kontekście rosnącej liczby ataków phishingowych, w których cyberprzestępcy skutecznie manipulowali ofiarami, by uzyskać dostęp do ich środowisk. Szczególnie efektywną metodą okazał się vishing, czyli oszustwa telefoniczne. Edukacja użytkowników to kluczowy element w wykrywaniu prób wyłudzenia, przeciwdziałaniu obchodzeniu MFA oraz wiedzy, gdzie i jak zgłaszać podejrzane aktywności.

Wnioski i prognozy

Cyberprzestępcy wykazują się elastycznością – modyfikują swoje techniki i taktyki w odpowiedzi na ujawniane informacje o sposobach ich działania. Można się spodziewać, że będą kontynuować tę taktykę, wdrażając nowe narzędzia i rodziny ransomware. Skuteczne reagowanie i szybka identyfikacja aktywności pre-ransomware pozostają kluczowe dla ograniczenia skutków incydentów.