Az IBM közzétette a 2025-ös X-Force Threat Intelligence Index jelentését, amely szerint a kiberbűnözők tovább finomították taktikáikat: miközben a zsarolóvírusos támadások csökkentek, a háttérben robbanásszerűen megnőtt a lopott hitelesítő adatokkal történő visszaélések száma.
Az X-Force 2024-ben 84 százalékos növekedést észlelt az infostealer (információlopó) kártevőket tartalmazó e-mailek számában az előző évhez képest – ezek az eszközök kulcsszerepet játszanak az identitásalapú támadások felskálázásában. A jelentés a legfrissebb trendeket és támadási mintázatokat térképezi fel, valós incidensekből, a dark webről és más fenyegetési intelligenciát biztosító forrásokból dolgozva.
Főbb megállapítások
- A kritikus infrastruktúrát működtető szervezetek az összes X-Force által vizsgált támadás hetven százalékát tették ki, ezek közül több mint egynegyed ismert sérülékenységek kihasználásán alapult.
- Egyre többen választják az adatlopást (18 százalék) az adatok titkosítása (11 százalék) helyett – a fejlettebb detekciós rendszerek és a hatósági fellépések miatt a támadók gyorsabb kiutat keresnek.
- Az incidensek közel egyharmadában hitelesítő adatok kerültek illetéktelen kezekbe – a támadók többféle csatornán próbálnak belépni, adatokat kimenteni és azonnal pénzzé tenni.
„A kiberbűnözők ma már úgy jutnak be, hogy közben nem is törnek be – az összetett, hibridfelhős környezetek identitásrései nyitva hagynak számukra több kaput is. A vállalatoknak az ad-hoc védekezés helyett a proaktív megközelítésre kell áttérniük: korszerűsíteniük kell a hitelesítésmenedzsmentet, befoltozni az MFA-réseket, és valós idejű fenyegetésvadászattal kiszűrni a rejtett támadásokat még azelőtt, hogy azok kárt okoznának” – mondta Mark Hughes, az IBM globális kiberbiztonsági szolgáltatásokért felelős partnere.
Sérülékeny infrastruktúrák: régi technológiák, lassú frissítések
A kritikus infrastruktúrákat érintő incidensek negyedében a támadók ismert sebezhetőségeket használtak ki – a régi rendszerek és a lassú patchelési ciklusok továbbra is hatalmas kockázatot jelentenek.
A dark weben leggyakrabban emlegetett CVE-k közül négyet is komoly fenyegető szereplőkhöz – köztük nemzetállami aktorokhoz – kötnek, ami növeli a kémkedés, zsarolás és szolgáltatásmegszakítás kockázatát. Ezekhez a sérülékenységekhez kész exploitkódokat cserélgetnek a fórumokon, célba véve az energiahálózatokat, egészségügyi rendszereket és ipari irányítórendszereket. A pénzéhes és geopolitikai indíttatású támadók közti információcsere azt jelzi: elengedhetetlen a dark web aktív monitorozása és a gyors patchelés.
Automatizált hitelesítőadat-lopás: láncreakció indul
Tavaly jelentősen nőtt a phishing e-mailek száma, amelyek infostealer kártevőt juttattak a célgépekre. 2025 elején ez az emelkedés már 180 százalékos a 2023-as szinthez képest. A támadók mesterséges intelligenciát használnak tömeges, személyre szabott phishing kampányok gyártására.
Az adathalász kampányok és az infostealerek olcsóvá, skálázhatóvá és rendkívül jövedelmezővé tették az identitásalapú támadásokat. A stealerek gyors adatkiszipkázást tesznek lehetővé, minimális nyomot hagyva. A dark weben 2024-ben csupán az öt legnépszerűbb infostealer több mint nyolcmillió hirdetésben szerepelt – mindegyik akár százával tartalmazhat belépési adatokat.
A támadók ma már adversary-in-the-middle (AITM) phishing készleteket és egyedi támadási szolgáltatásokat is árulnak az MFA megkerülésére. A kompromittált fiókok és MFA-kijátszási technikák virágzó feketepiacot jeleznek, amely egyre csak bővül.
Zsarolóvírusos bandák új modellre váltanak
Noha a zsarolóvírusok 2024-ben az összes malware 28 százalékát tették ki, az összesített ransomware-incidens csökkenést mutatott. A támadók egyre inkább identitásalapú módszerekhez nyúlnak, hogy elkerüljék a figyelmet.
A nemzetközi fellépések hatására a zsarolóvírus-csoportok alacsonyabb kockázatú, elosztott modellekre váltanak. Olyan ismert szereplők, mint az ITG23 (Wizard Spider, Trickbot) és ITG26 (QakBot, Pikabot) leállították vagy átstrukturálták működésüket, új és gyorsan változó malware-fajtákat próbálgatva.
További trendek
- AI elleni fenyegetések fejlődése – Bár 2024-ben nem történt jelentős támadás AI-rendszerek ellen, a kutatók versenyt futnak az idővel, hogy megelőzzék a hibák kihasználását. Az IBM X-Force például távoli kódfuttatási hibát talált egy AI-ügynök keretrendszerben. 2025-ben nő az AI-ra szabott támadókészletek iránti kereslet – a teljes AI-ökoszisztéma védelme (adat, modell, használat, infrastruktúra) kulcsfontosságúvá válik.
- Ázsia és Észak-Amerika a leginkább célzott régiók – A támadások hatvan százaléka ebben a két térségben történt: Ázsiában 34 százalék, Észak-Amerikában 24 százalék volt az IBM X-Force által kezelt incidensek aránya.
- Gyártóipar a zsarolóvírusok-fókuszában – Negyedik éve a gyártócégek a leginkább támadottak. A szektor minimális leállási tűréshatára miatt továbbra is vonzó célpont a titkosítással történő zsarolás.
- Linux fenyegetések előretörése – A Red Hat Insights-szal közösen az IBM X-Force megállapította, hogy az RHEL-felhasználók több mint fele nem foltozott be legalább egy kritikus CVE-t, 18 százalékuk pedig ötöt vagy többet sem. Közben a legaktívabb ransomware-családok – például Akira, Clop, Lockbit, RansomHub – már Linuxra is fejlesztenek.
A 2025-ös jelentés világosan jelzi: az identitásalapú fenyegetések jelentik az új normát. A védekezés kulcsa az aktív monitoring, a hitelesítés megerősítése és a folyamatos sebezhetőségi menedzsment.
English summary
|
