#cisco-talos — Public Fediverse posts

Raport Cisco Talos: hakerzy rzadziej szukają luk, a częściej nas samych. AI napędza nową falę phishingu

Cyberprzestępcy idą na łatwiznę – i, co gorsza, to działa.

Zamiast męczyć się ze skomplikowanymi podatnościami technicznymi, coraz częściej wykorzystują sztuczną inteligencję, by w kilka minut stworzyć pułapkę, w którą złapie się żywy człowiek. Najnowszy raport Cisco Talos za pierwszy kwartał 2026 roku pokazuje, że haker rzadziej musi dziś umieć programować, a częściej musi po prostu potrafić napisać dobry prompt.

AI jako „stażysta” w służbie cyberzbrodni

Największą zmianą, jaką odnotowali eksperci, jest radykalne obniżenie progu wejścia do świata cyberprzestępczości. Dzięki narzędziom AI i platformom typu „no-code”, nawet amatorzy mogą generować wiarygodne strony phishingowe w czasie mierzonym w minutach. Cały proces – od stworzenia fałszywego panelu logowania do Outlooka, po automatyczne przesyłanie wykradzionych haseł do arkuszy Google – odbywa się bez napisania ani jednej linijki kodu. To sprawia, że ataki są masowe i wyglądają profesjonalnie jak nigdy wcześniej.

Powrót króla: phishing znów na szczycie

Efekt jest widoczny w liczbach. Po roku przerwy phishing powrócił na pierwsze miejsce jako główny sposób włamywania się do firm, odpowiadając za ponad jedną trzecią wszystkich incydentów. To potężna zmiana warty – jeszcze rok temu hakerzy skupiali się głównie na szukaniu luk w oprogramowaniu (jak słynny ToolShell). Dziś ten wskaźnik drastycznie spadł, bo prościej i taniej jest oszukać pracownika, niż łamać zabezpieczenia serwera. Marcin Klimowski z Cisco Polska mówi wprost: atakujący odchodzą od skomplikowanych technologii na rzecz skalowalnych ataków ukierunkowanych na ludzkie błędy.

MFA przestaje być tarczą niezniszczalną

Raport przynosi też zimny prysznic dla tych, którzy wierzyli, że dwuskładnikowe uwierzytelnianie (MFA) rozwiązuje wszystkie problemy. W aż 35% badanych przypadków hakerzy zdołali ominąć to zabezpieczenie. Robili to m.in. poprzez rejestrowanie własnych urządzeń zaraz po przejęciu hasła lub konfigurowanie poczty tak, by łączyła się bezpośrednio z serwerem, całkowicie omijając warstwę weryfikacji. To jasny sygnał, że samo posiadanie MFA to za mało – trzeba jeszcze pilnować, kto i co do tego systemu podpina.

Administracja i szpitale na celowniku

Kto powinien bać się najbardziej? Dane nie kłamią: administracja publiczna oraz ochrona zdrowia to sektory, w które hakerzy uderzają najchętniej (po 24% wszystkich ataków). Urzędy są celem numer jeden już trzeci kwartał z rzędu, co wynika głównie ze starszej infrastruktury i faktu, że nie mogą sobie pozwolić na przestoje. Co ciekawe, mimo tego naporu, odnotowano spadek skuteczności ransomware. Udział ataków szyfrujących dane spadł do 18%, co jest zasługą coraz sprawniejszej pracy zespołów Incident Response, które coraz częściej wyłapują intruza, zanim ten zdąży „zamknąć” system.

Wnioski dla nas są jasne: w erze AI błędy językowe czy podejrzane grafiki w mailach odchodzą do lamusa. Dziś największym zagrożeniem nie jest dziura w systemie, ale nasza własna pewność siebie i wiara w nieomylność zabezpieczeń, które hakerzy nauczyli się już obchodzić.

Koniec ślepej wiary w chmurę. Cisco buduje cyfrowe twierdze w Europie

Chinesische Hacker greifen mit drei neuen #Malware-Familien gezielt Telekommunikationsnetze an - Windows, Linux und Netzwerkgeräte sind betroffen. #CiscoTalos ist den Angreifern auf der Spur. https://winfuture.de/news,157319.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia

Raport Cisco Talos: ransomware słabnie? Niekoniecznie, ale celuje teraz w urzędy

Trzeci kwartał 2025 roku przyniósł istotną zmianę na mapie cyberzagrożeń. Choć udział ataków ransomware spadł, cyberprzestępcy obrali nowy, wyraźny cel: sektor publiczny.

Według najnowszych danych Cisco Talos, to właśnie urzędy i instytucje samorządowe są teraz najbardziej narażone.

Najnowszy raport Cisco Talos „Incident Response Trends Q3 2025” rzuca światło na taktyki hakerów. Choć odsetek incydentów z użyciem ransomware spadł z 50% (w Q2) do 20% (w Q3), eksperci ostrzegają przed optymizmem. Zagrożenie nie znika, a jedynie ewoluuje i staje się bardziej precyzyjne.

Sektor publiczny na celowniku

Po raz pierwszy w historii analiz Talos (od 2021 r.), organizacje rządowe i samorządowe znalazły się na szczycie listy celów. Hakerzy, w tym grupy powiązane z Rosją (APT), celują w szkoły, szpitale i lokalne urzędy. Dlaczego? Często dysponują one ograniczonym budżetem na IT i przestarzałą infrastrukturą, co czyni je łatwym łupem.

Luki w aplikacjach to otwarta brama

Aż 60% wszystkich incydentów w minionym kwartale rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach. To gigantyczny skok (wcześniej było to poniżej 10%).

Głównym winowajcą okazały się ataki na lokalne serwery Microsoft SharePoint z wykorzystaniem łańcucha ataku ToolShell. Hakerzy działają błyskawicznie – pierwsze ataki odnotowano zaledwie dzień przed oficjalnym ostrzeżeniem Microsoftu o luce.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas (…) W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek” – komentuje Lexi DiScola z Cisco Talos.

MFA to za mało

Raport przynosi też niepokojące wieści dla firm polegających na uwierzytelnianiu wieloskładnikowym (MFA). Prawie jedna trzecia incydentów wiązała się z obejściem lub nadużyciem tego zabezpieczenia.

Przestępcy stosują technikę „MFA bombing” (zalewanie użytkownika powiadomieniami, aż ten dla świętego spokoju zaakceptuje logowanie) lub wykorzystują błędy w konfiguracji.

Jak się bronić?

Cisco Talos rekomenduje cztery kluczowe działania:

• Błyskawiczne wdrażanie poprawek bezpieczeństwa (szczególnie dla aplikacji wystawionych do sieci).
• Silną segmentację sieci (aby infekcja jednego serwera nie położyła całej firmy).
• Wzmocnienie zasad MFA i monitorowanie prób logowania.
• Pełną analizę logów bezpieczeństwa.

Raport Cisco: 85% polskich firm chce agentów AI. Tylko 5% jest na nie gotowych

#atakiHakerskie #ciscoTalos #cyberbezpieczenstwo #mfa #microsoftSharepoint #news #ransomware #raportBezpieczenstwa #sektorPubliczny #toolshell

Kliknąłeś w podejrzany link? Eksperci radzą, co robić krok po kroku, aby uniknąć katastrofy

Wiadomość od „kuriera”, „banku” lub „urzędu” – niemal każdy spotkał się z próbą phishingu. Wystarczy chwila nieuwagi, by kliknąć w link, który budzi podejrzenia.

Eksperci z zespołu Cisco Talos, jednej z największych na świecie organizacji badających zagrożenia, uspokajają. Podkreślają, że samo kliknięcie nie musi oznaczać katastrofy, o ile zareagujemy szybko, świadomie i bez paniki.

Pierwszą i najważniejszą zasadą jest opanowanie. Panika to zły doradca. Jeśli incydent zdarzył się na urządzeniu służbowym, absolutnie nie należy próbować rozwiązywać problemu samodzielnie. Trzeba niezwłocznie poinformować dział IT lub bezpieczeństwa. Jak podkreśla Amy Ciminnisi, analityk ds. zagrożeń w Cisco Talos, „zgłoszenie incydentu w pierwszych minutach po jego wystąpieniu może całkowicie zmienić jego przebieg”. Firmowe zespoły dysponują narzędziami, by przeanalizować logi, odizolować urządzenie i zminimalizować skutki ataku.

Eksperci Cisco Talos przygotowali cztery scenariusze reagowania w zależności od sytuacji. Jeśli tylko kliknąłeś w link, ale nie podałeś żadnych danych, natychmiast zamknij przeglądarkę. Sprawdź, czy nie pobrały się żadne pliki – jeśli tak, usuń je bez otwierania. Następnie wykonaj pełne skanowanie antywirusowe i obserwuj urządzenie pod kątem nietypowego działania.

Jeśli na stronie phishingowej podałeś swój login i hasło, sytuacja jest poważniejsza. Natychmiast zmień hasło do konta, którego dotyczył incydent. Co kluczowe, zrób to wszędzie tam, gdzie używałeś tej samej kombinacji loginu i hasła. Włącz uwierzytelnianie wieloskładnikowe (MFA) i wyloguj wszystkie pozostałe aktywne sesje. W przypadku podania danych finansowych (karta, konto), nie ma czasu do stracenia – należy natychmiast skontaktować się z bankiem i zablokować instrument płatniczy.

Najgorszy scenariusz to pobranie i otwarcie podejrzanego pliku, co jest częstym wektorem ataku ransomware. W takiej sytuacji pierwszym krokiem jest natychmiastowe odłączenie urządzenia od internetu, aby odciąć komunikację z serwerami atakujących. Następnie należy przeprowadzić pełne skanowanie antywirusowe w trybie offline. Jeśli to nie pomoże, konieczne może być przywrócenie systemu z kopii zapasowej.

Cisco integruje AI z Webex Contact Center. Nowe narzędzia mają zrewolucjonizować obsługę klienta

#bezpieczeństwoWSieci #CiscoTalos #coRobićPoKliknięciuWLink #cyberbezpieczeństwo #MFA #new #phishing #Porady #ransomware #złośliwyLink

NK’s Famous Chollima Use BeaverTail and OtterCookie Malware in Job Scam https://hackread.com/nk-famous-chollima-beavertail-ottercookie-malware/ #Cybersecurity #FmousChollima #CyberAttacks #CyberAttack #OtterCookie #BeaverTail #CiscoTalos #NorthKorea #Security #SriLanka #Malware #Chessfi #Crypto #Cisco

Russian state-sponsored espionage group Static Tundra compromises unpatched end-of-life network devices https://blog.talosintelligence.com/static-tundra/

#cybersecurity #threats #ciscotalos

#ClamAV 1.5.0 RC has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #ClamWin) https://clamav.net/

New Malvertising Attack Spreads Crypto Stealing PS1Bot Malware – Source:hackread.com https://ciso2ciso.com/new-malvertising-attack-spreads-crypto-stealing-ps1bot-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #CryptoWallet #CiscoTalos #Hackread #security #malware #Crypto #PS1Bot

New Malvertising Attack Spreads Crypto Stealing PS1Bot Malware https://hackread.com/malvertising-attack-crypto-stealing-ps1bot-malware/ #Cybersecurity #CryptoWallet #CiscoTalos #Security #Malware #Crypto #PS1Bot

Malicious AI Models Are Behind a New Wave of Cybercrime, Cisco Talos https://hackread.com/malicious-ai-models-wave-of-cybercrime-cisco-talos/ #ArtificialIntelligence #Cybersecurity #Vulnerability #CyberAttack #HuggingFace #CyberCrime #CiscoTalos #Security #ChatGPT #LLM #AI

Malicious AI Models Are Behind a New Wave of Cybercrime, Cisco Talos – Source:hackread.com https://ciso2ciso.com/malicious-ai-models-are-behind-a-new-wave-of-cybercrime-cisco-talos-sourcehackread-com/ #1CyberSecurityNewsPost #artificialintelligence #CyberSecurityNews #cybersecurity #Vulnerability #CyberAttack #HuggingFace #CiscoTalos #CyberCrime #Hackread #security #Chatgpt #LLM #AI

#ClamAV 1.0.9 (old #LTS) has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #LongTermSupport / #ClamWin) https://clamav.net/

#ClamAV 1.4.3 #LTS has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #ClamWin) https://clamav.net/

New PathWiper Malware Strikes Ukraine’s Critical Infrastructure https://hackread.com/pathwiper-malware-hit-ukraines-critical-infrastructure/ #Cybersecurity #CyberAttacks #CyberAttack #CiscoTalos #PathWiper #Security #Malware #Ukraine #Russia #Wiper #APT

Fake ChatGPT and InVideo AI Downloads Deliver Ransomware https://hackread.com/fake-chatgpt-invideo-ai-downloads-deliver-ransomware/ #ArtificialIntelligence #CiscoTalos #Security #Malware #Fraud #Scam #AI

Fake ChatGPT and InVideo AI Downloads Deliver Ransomware – Source:hackread.com https://ciso2ciso.com/fake-chatgpt-and-invideo-ai-downloads-deliver-ransomware-sourcehackread-com/ #1CyberSecurityNewsPost #artificialintelligence #CyberSecurityNews #CiscoTalos #Hackread #security #malware #Fraud #Scam #AI

Chinese Hackers Exploit Cityworks 0-Day to Hit US Local Governments https://hackread.com/chinese-hackers-exploit-cityworks-0day-us-local-agencies/ #Cybersecurity #Vulnerability #CyberAttacks #CyberAttack #CiscoTalos #Cityworks #Security #security #Malware #China #0day

Chinese Hackers Exploit Cityworks 0-Day to Hit US Local Governments – Source:hackread.com https://ciso2ciso.com/chinese-hackers-exploit-cityworks-0-day-to-hit-us-local-governments-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #Vulnerability #CyberAttacks #CyberAttack #CiscoTalos #Cityworks #Hackread #security #malware #China #0day

🚨 Chinese hackers exploiting a Cityworks zero-day (CVE-2025-0994) to hit US local agencies, including municipal systems and public services, warns #CiscoTalos.

Read: https://hackread.com/chinese-hackers-exploit-cityworks-0day-us-local-agencies/

#CyberSecurity #Infosec #CVE2025 #Cityworks #ZeroDay #RCE #China

Prowadzisz lub chcesz prowadzić sklep internetowy? Te proste zasady pomogą Ci zabezpieczyć dane i finanse przed oszustami

Mówiąc o oszustwach internetowych w e-commerce, najczęściej na myśl przychodzą zagrożenia czekające na kupujących. Wielu użytkowników sieci spotkało się z próbami wyłudzenia danych lub pieniędzy poprzez fałszywe transakcje – jest to temat często podejmowany przez media. Ale czy świadomość zagrożeń dotyczących sprzedawców jest równie wysoka?

Ataki na sprzedających są trudne do zweryfikowania i zatrzymania. Platformy sprzedażowe, analitycy cyberbezpieczeństwa i organy ścigania często polegają na zgłoszeniach samych poszkodowanych, co sprawia, że skala tego zjawiska może być większa, niż się wydaje. Tymczasem coraz częściej to właśnie sprzedawcy stają się celem oszustów. Dlaczego? Według Cisco Talos na ten stan rzeczy wpływają 3 istotne czynniki:

• Sprzedawcy często dysponują znacznymi środkami na koncie – regularnie otrzymują wpłaty za sprzedawane produkty, co czyni ich atrakcyjnym celem.
• Oszust może śledzić publiczne ogłoszenia – obserwuje, gdy sprzedający oferują drogie przedmioty i śledzi moment ich zakupu, co pozwala mu przewidzieć wpływ większej sumy na konto sprzedawcy.
• Sprzedawcy są przyzwyczajeni do „oficjalnych” komunikatów o weryfikacji konta – wiele platform wysyła powiadomienia o konieczności potwierdzenia tożsamości. Oszuści mogą to wykorzystać, podszywając się pod platformę i wyłudzić dane dostępowe.

Nowy atak ransomware Interlock – celem duże firmy i ich dane

Jak nie dać się oszukać?

Eksperci ds. cyberbezpieczeństwa z Cisco Talos przeanalizowali najnowsze metody stosowane przez oszustów i podpowiadają, jak skutecznie się przed nimi chronić. Oto najczęściej spotykane zagrożenia, które czyhają na sprzedawców w Internecie:

Oszustwo przez wiadomości prywatne

Wygląda jak zwykłe zapytanie o produkt, ale to pułapka. Oszust może podszywać się pod zainteresowanego kupującego, a w rzeczywistości próbować wyłudzić dane bankowe lub informacje o karcie kredytowej. Jak się zabezpieczyć?

Nigdy nie należy podawać wrażliwych danych w wiadomościach prywatnych. Jeśli coś wydaje się podejrzane – warto zgłosić użytkownika do administratora platformy.

Przejęcie konta sprzedawcy

Posługując się skradzionymi lub pozyskanymi na drodze phishingu danymi logowania oszuści mogą przejąć konto sprzedawcy i manipulować ofertami czy zmieniać ustawienia wypłat, a nawet kontaktować się z klientami. Jak się zabezpieczyć?

Eksperci Cisco Talos nieprzerwanie przypominają o konieczności implementacji uwierzytelniania wieloskładnikowego (MFA). Posiadając to zabezpieczenie, nawet w sytuacji utraty hasła, oszust nie będzie w stanie zalogować się bez dodatkowego kodu weryfikacyjnego.

Fałszywa weryfikacja konta

„Twoje konto wymaga natychmiastowej weryfikacji” – po otrzymaniu wiadomości o tej treści należy zachować wzmożoną czujność. Oszuści często podszywają się pod działy obsługi klienta platform sprzedażowych i wysyłają fałszywe linki do rzekomej „weryfikacji”. W rzeczywistości przekierowują na stronę kontrolowaną przez przestępców, gdzie dane logowania i informacje finansowe mogą ulec kompromitacji. Jak się zabezpieczyć?

Zawsze należy weryfikować takie wiadomości, kontaktując się bezpośrednio z oficjalnym działem wsparcia platformy inną metodą niż informacja jaką otrzymaliśmy. Dane kontaktowe są dostępne zawsze na oficjalnej stronie danej platformy.

Oszustwo na zmianę adresu dostawy

Zdarza się, że po finalizacji sprzedaży klient prosi o zmianę adresu dostawy. Choć taka sytuacja nie jest niczym niezwykłym, bywa również wykorzystywana przez oszustów. Liczą oni na to, że sprzedawca prześle towar na ich adres zamiast do rzeczywistego nabywcy. Jak się zabezpieczyć?

Zmiany adresu dostawy powinniśmy dokonywać wyłącznie przez oficjalną platformę sprzedażową. Można również skontaktować się z obsługą, by potwierdzić, czy wszystko jest w porządku.

Omijanie platformy płatniczej

Portale społecznościowe, takie jak Reddit czy Facebook Marketplace, stały się popularnym miejscem sprzedaży. W niektórych krajach oszuści często próbują nakłonić kupujących do skorzystania z opcji płatności „przyjaciele i rodzina” w systemach takich jak PayPal, Zelle czy Venmo. Tego typu przelew traktowany jest jak darowizna – nie obejmuje ochrony kupujących. Jeśli sprzedawca okaże się oszustem, pieniądze przepadną, bez możliwości odzyskania ich przez platformę płatniczą. Jak się zabezpieczyć?

Choć w Polsce opcja płatności „przyjaciele i rodzina” nie jest jeszcze powszechnie dostępna warto pamiętać, że tylko portale z pełną ochroną transakcji są bezpieczne dla obu stron. Wszelkie próby omijania tradycyjnego procesu sprzedaży powinny być dla nas alarmujące.

Sprzedaż online może być bezpieczna, jeśli wiemy, na co zwrócić szczególną uwagę. Choć internetowe transakcje oferują ogromne możliwości, to niestety również stanowią pole do działania oszustów, którzy potrafią skutecznie manipulować sprzedawcami. Aby uniknąć nieprzyjemnych sytuacji – warto stosować tych kilka zasad, aby chronić swoje dane i finanse.

Wyciek danych po ataku cybernetycznym na EuroCert – Ministerstwo Cyfryzacji ma zalecenia

#Bezpieczeństwo #CiscoTalos #eCommerce #news #oszustwa

Cisco Details ‘Salt Typhoon’ Network Hopping, Credential Theft Tactics – Source: www.securityweek.com https://ciso2ciso.com/cisco-details-salt-typhoon-network-hopping-credential-theft-tactics-source-www-securityweek-com/ #rssfeedpostgeneratorecho #CyberSecurityNews #vulnerabilities #securityweekcom #CVE-2018-0171 #securityweek #NationState #SaltTyphoon #CiscoTalos #China #Cisco

Cisco Details ‘Salt Typhoon’ Network Hopping, Credential Theft Tactics https://www.securityweek.com/cisco-details-salt-typhoon-network-hopping-credential-theft-tactics/ #Vulnerabilities #Nation-State #CVE20180171 #SaltTyphoon #CiscoTalos #China #Cisco

Cisco Details ‘Salt Typhoon’ Network Hopping, Credential Theft Tactics https://www.securityweek.com/cisco-details-salt-typhoon-network-hopping-credential-theft-tactics/ #Vulnerabilities #Nation-State #CVE20180171 #SaltTyphoon #CiscoTalos #China #Cisco

Cyberprzestępcy zmieniają strategię – oto największe zagrożenia końcówki 2024 roku

Końcówka 2024 roku przyniosła zmianę w taktyce hakerów. Zamiast przejmować konta użytkowników, cyberprzestępcy coraz częściej atakowali luki w aplikacjach internetowych, instalując web shelle i uzyskując trwały dostęp do systemów. Z raportu Cisco Talos wynika, że to właśnie ten trend zdominował IV kwartał. Co jeszcze działo się w świecie cyberzagrożeń?

Web shell na topie – podatne aplikacje na celowniku

Jeszcze niedawno cyberprzestępcy skupiali się na przejmowaniu legalnych kont użytkowników. Teraz ich uwaga przesunęła się w stronę podatnych aplikacji internetowych. W 35% incydentów w IV kwartale wykorzystywano web shelle – czyli złośliwe interfejsy, które pozwalają na zdalne sterowanie zaatakowanym serwerem. To ogromny wzrost w porównaniu do wcześniejszych 10%.

Hakerzy nie ograniczali się do nowych metod – łączyli web shelle z klasycznymi technikami, co jeszcze bardziej utrudniało wykrycie ataków. Wniosek? Firmy muszą szczególnie uważać na niezałatane systemy i stale monitorować aktywność aplikacji.

Ransomware w odwrocie? Niekoniecznie

Dobra wiadomość: aktywność ransomware w IV kwartale nieco spadła. Zła? W okresie okołoświątecznym zagrożenie znów się nasiliło, głównie za sprawą grupy BlackBasta. Cyberprzestępcy doskonale wiedzą, że koniec roku to czas mniejszej czujności w firmach – i potrafią to wykorzystać.

Choć ogólnie liczba ataków ransomware spadła z 40% do 30% wszystkich incydentów, nie można jeszcze mówić o odwrocie. Nowe zagrożenia, takie jak Interlock ransomware, oraz aktywność BlackBasta i RansomHub wskazują, że 2025 rok może przynieść kolejną falę ataków.

Co ciekawe, analiza Cisco Talos wykazała, że hakerzy potrafią czekać – średni czas ich obecności w systemie przed uruchomieniem szyfratora wynosił od 17 do 44 dni. W jednym z przypadków RansomHub działał w ukryciu przez ponad miesiąc, najpierw skanując sieć i kradnąc dane, zanim uderzył.

3 największe zagrożenia IV kwartału 2024

• Przejęcia kont – MFA nie zawsze pomaga

W 75% przypadków ransomware atakujący zdobywali dostęp do systemów poprzez przejęte konta użytkowników. Brak uwierzytelniania wieloskładnikowego (MFA) lub jego błędna konfiguracja były głównymi przyczynami sukcesu hakerów.

Co gorsza, cyberprzestępcy nauczyli się obchodzić MFA, stosując techniki socjotechniczne. W jednym z przypadków operatorzy BlackBasta podszyli się pod dział IT, by wyłudzić dane logowania.

• Luki w aplikacjach publicznych

W 40% przypadków atakujący uzyskali dostęp do systemów dzięki podatnym aplikacjom publicznym. W poprzednich kwartałach dominowało przejmowanie kont – teraz to właśnie luki w oprogramowaniu stały się głównym wektorem ataków.

Dla firm oznacza to jedno: regularne aktualizacje systemów i skuteczne zarządzanie podatnościami to podstawa bezpieczeństwa.

• Masowe ataki password spraying

Grudzień 2024 przyniósł falę ataków password spraying – czyli prób odgadnięcia haseł poprzez zautomatyzowane logowanie do różnych kont. W jednym z przypadków Cisco Talos wykryło aż 13 milionów prób logowania w ciągu 24 godzin!

Efekt? Masowe blokowanie kont i niedostępność usług VPN. To pokazuje, jak ważne jest stosowanie silnych haseł i ograniczanie liczby nieudanych prób logowania.

Eksperci Cisco ujawniają poważne luki w zabezpieczeniach modelu AI DeepSeek R1

Kto był na celowniku hakerów?

Sektor edukacyjny po raz kolejny okazał się najbardziej narażony – odpowiadał za 30% wszystkich ataków ransomware. Dlaczego? Placówki edukacyjne mają często ograniczone zasoby IT i dużą liczbę użytkowników, co ułatwia ataki socjotechniczne.

Jak bronić się przed atakami? Cisco Talos radzi:

• Włącz MFA – ale zadbaj o jego poprawną konfigurację. Hakerzy coraz częściej obchodzą źle wdrożone uwierzytelnianie.
• Aktualizuj systemy – aż 15% incydentów wynikało z przestarzałego oprogramowania.
• Segmentuj sieć – w 40% ataków z web shellem winna była słaba segmentacja.
• Korzystaj z EDR – 25% incydentów mogło zostać powstrzymanych, gdyby organizacje miały odpowiednie narzędzia wykrywające zagrożenia.

Cyberprzestępcy nie próżnują – i nie zapowiada się, by 2025 rok przyniósł spokój. Najważniejsza lekcja z IV kwartału? Cyberbezpieczeństwo to proces, który wymaga ciągłego dostosowywania się do nowych zagrożeń.

Badanie Cisco: CEO dostrzegają potencjał AI, ale brak kompetencji może hamować strategiczne decyzje i rozwój

#atakiHakerów #CiscoTalos #cyberbezpieczeństwo #news #zagrożeniaWSieci

Cisco Talos ostrzega przed nową kampanią cyberprzestępczą wymierzoną w polskich użytkowników

Badacze z Cisco Talos odkryli nową kampanię cyberprzestępczą, aktywną od lipca 2024 roku na terenie Polski oraz Niemiec. Cyberprzestępcy podszywają się pod zaufane instytucje i firmy, które działają w sektorach finansowym, produkcyjnym i logistycznym, wykorzystując phishingowe wiadomości e-mail, które wyglądają jak autentyczne potwierdzenia zamówień lub przelewów finansowych. Te pozornie nieszkodliwe wiadomości skrywają jednak złośliwe załączniki, prowadzące do infekcji urządzeń.

Diagram przedstawiający schemat ataku. Źródło: Cisco Talos

Analiza przeprowadzona przez Cisco Talos wykazuje, że główną motywacją stojącą za działaniami atakujących są korzyści finansowe. Istnieje prawdopodobieństwo, że ataki zostały starannie zaplanowane, a ich skala może wykraczać poza pierwotnie zaatakowane regiony, co sugerują również odnotowane przypadki wiadomości w języku angielskim.

Pierwszym krokiem w ataku jest wysyłka phishingowych wiadomości e-mail, które wzbudzają zaufanie ofiar dzięki dopracowanemu wyglądowi i treści. Wiadomości te są pisane w języku polskim oraz niemieckim, co wyraźnie wskazuje na geograficzny cel kampanii. W załącznikach tych wiadomości znajdowały się pliki o rozszerzeniu „.tgz”, będące skompresowanymi archiwami TAR, które ukrywają złośliwe oprogramowanie. Kompresja przy użyciu GZIP ma na celu ominięcie systemów bezpieczeństwa stosowanych w poczcie e-mail.

Gdy odbiorca otwiera załącznik, uruchamiany jest plik wykonywalny .NET, pełniący rolę tzw. „loadera”. Ten niewielki program, po uruchomieniu, łączy się z serwerem kontrolowanym przez atakujących, skąd pobiera właściwe złośliwe oprogramowanie – w tym przypadku jest to PureCrypter. Cechą charakterystyczną tego złośliwego narzędzia jest fakt, że działa wyłącznie w pamięci operacyjnej urządzenia ofiary, co znacząco utrudnia jego wykrycie przez tradycyjne programy antywirusowe.

PureCrypter odgrywa kluczową rolę w tym ataku, ponieważ odpowiada za uruchamianie kolejnego etapu złośliwego kodu, którym jest zaawansowany backdoor nazwany przez Cisco Talos – TorNet. TorNet umożliwia cyberprzestępcom pełną kontrolę nad zainfekowanym urządzeniem, pozwalając im na przesyłanie, uruchamianie i modyfikowanie kolejnych plików. Dodatkowo, TorNet integruje się z anonimową siecią TOR, co utrudnia jego wykrycie i śledzenie działań przestępców.

Przykład wiadomości e-mail – pułapki. Źródło: Cisco Talos

Złośliwe oprogramowanie PureCrypter zostało zaprojektowane tak, aby działało w ukryciu. Po uruchomieniu na komputerze ofiary, wykorzystuje różnorodne techniki utrudniające wykrywanie i analizę. Oprogramowanie to przeprowadza m.in. testy sprawdzające obecność środowisk sandboxowych czy oprogramowania do analizy złośliwego kodu. W przypadku wykrycia takich mechanizmów, PureCrypter może zmodyfikować swoje działanie lub całkowicie zakończyć proces, aby uniknąć zidentyfikowania.

Po przejściu testów unikania wykrycia, PureCrypter uruchamia złośliwy kod, który zrzuca do pamięci urządzenia ofiary. Następnie kod ten instaluje backdoor TorNet, który otwiera szerokie możliwości dalszych działań przestępców. Dzięki wbudowanym funkcjom, TorNet pozwala na dynamiczne uruchamianie dodatkowego złośliwego kodu oraz kontrolowanie zainfekowanego systemu w czasie rzeczywistym.

Aby zwiększyć trwałość infekcji, PureCrypter modyfikuje kluczowe ustawienia systemowe, takie jak rejestr Windows, i tworzy zadania w Harmonogramie Zadań, które regularnie uruchamiają złośliwy loader. Zastosowano również technikę uruchamiania zaplanowanego zadania w systemie Windows, nawet przy niskim poziomie naładowania baterii w urządzeniu ofiary, aby zapewnić nieprzerwaną infekcję.

Atak, który zespół Cisco Talos odkrył, jest kolejnym dowodem na coraz bardziej zaawansowane metody działania cyberprzestępców. Kampania ta pokazuje, jak ważne jest zachowanie ostrożności w kontaktach e-mailowych, szczególnie w przypadku wiadomości dotyczących finansów. Warto pamiętać, aby nigdy nie otwierać podejrzanych załączników i zawsze dokładnie weryfikować nadawcę wiadomości. Działania takie mogą pomóc w uniknięciu poważnych konsekwencji związanych z atakiem tego typu.

Cisco Talos apeluje o zwiększenie czujności, aby ograniczyć skutki tej kampanii oraz przeciwdziałać kolejnym próbom ataków. Regularne aktualizacje systemów oraz korzystanie z zaawansowanych narzędzi ochrony mogą znacząco podnieść poziom bezpieczeństwa w sieci.

#atak #Cisco #CiscoTalos #cyberbezpieczeństwo #news #phishing

#ClamAV 1.4.2 #LTS has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #ClamWin) https://clamav.net/

#ClamAV 1.0.8 (old #LTS) has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #LongTermSupport / #ClamWin) https://clamav.net/