Zero-Day-Angriff auf Cisco-E-Mail-Gateways: Chinesische Hackergruppe setzt Python-Backdoor ein

https://www.all-about-security.de/zero-day-angriff-auf-cisco-e-mail-gateways-chinesische-hackergruppe-setzt-python-backdoor-ein/

#ciscotalos #cisco #0day #zeroday #hackers #Email #gateway

ClamAV: Cisco Talos streicht veraltete Signaturen und halbiert Datenbankgröße

Aufräumaktion bei Open-Source-Virenscanner

https://www.all-about-security.de/clamav-cisco-talos-streicht-veraltete-signaturen-und-halbiert-datenbankgroesse/

#opensource #ciscotalos #ClamAV #virenscanner

Raport Cisco Talos: ransomware słabnie? Niekoniecznie, ale celuje teraz w urzędy

Trzeci kwartał 2025 roku przyniósł istotną zmianę na mapie cyberzagrożeń. Choć udział ataków ransomware spadł, cyberprzestępcy obrali nowy, wyraźny cel: sektor publiczny.

Według najnowszych danych Cisco Talos, to właśnie urzędy i instytucje samorządowe są teraz najbardziej narażone.

Najnowszy raport Cisco Talos „Incident Response Trends Q3 2025” rzuca światło na taktyki hakerów. Choć odsetek incydentów z użyciem ransomware spadł z 50% (w Q2) do 20% (w Q3), eksperci ostrzegają przed optymizmem. Zagrożenie nie znika, a jedynie ewoluuje i staje się bardziej precyzyjne.

Sektor publiczny na celowniku

Po raz pierwszy w historii analiz Talos (od 2021 r.), organizacje rządowe i samorządowe znalazły się na szczycie listy celów. Hakerzy, w tym grupy powiązane z Rosją (APT), celują w szkoły, szpitale i lokalne urzędy. Dlaczego? Często dysponują one ograniczonym budżetem na IT i przestarzałą infrastrukturą, co czyni je łatwym łupem.

Luki w aplikacjach to otwarta brama

Aż 60% wszystkich incydentów w minionym kwartale rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach. To gigantyczny skok (wcześniej było to poniżej 10%).

Głównym winowajcą okazały się ataki na lokalne serwery Microsoft SharePoint z wykorzystaniem łańcucha ataku ToolShell. Hakerzy działają błyskawicznie – pierwsze ataki odnotowano zaledwie dzień przed oficjalnym ostrzeżeniem Microsoftu o luce.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas (…) W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek” – komentuje Lexi DiScola z Cisco Talos.

MFA to za mało

Raport przynosi też niepokojące wieści dla firm polegających na uwierzytelnianiu wieloskładnikowym (MFA). Prawie jedna trzecia incydentów wiązała się z obejściem lub nadużyciem tego zabezpieczenia.

Przestępcy stosują technikę „MFA bombing” (zalewanie użytkownika powiadomieniami, aż ten dla świętego spokoju zaakceptuje logowanie) lub wykorzystują błędy w konfiguracji.

Jak się bronić?

Cisco Talos rekomenduje cztery kluczowe działania:

• Błyskawiczne wdrażanie poprawek bezpieczeństwa (szczególnie dla aplikacji wystawionych do sieci).
• Silną segmentację sieci (aby infekcja jednego serwera nie położyła całej firmy).
• Wzmocnienie zasad MFA i monitorowanie prób logowania.
• Pełną analizę logów bezpieczeństwa.

Raport Cisco: 85% polskich firm chce agentów AI. Tylko 5% jest na nie gotowych

#atakiHakerskie #ciscoTalos #cyberbezpieczenstwo #mfa #microsoftSharepoint #news #ransomware #raportBezpieczenstwa #sektorPubliczny #toolshell

Kliknąłeś w podejrzany link? Eksperci radzą, co robić krok po kroku, aby uniknąć katastrofy

Wiadomość od „kuriera”, „banku” lub „urzędu” – niemal każdy spotkał się z próbą phishingu. Wystarczy chwila nieuwagi, by kliknąć w link, który budzi podejrzenia.

Eksperci z zespołu Cisco Talos, jednej z największych na świecie organizacji badających zagrożenia, uspokajają. Podkreślają, że samo kliknięcie nie musi oznaczać katastrofy, o ile zareagujemy szybko, świadomie i bez paniki.

Pierwszą i najważniejszą zasadą jest opanowanie. Panika to zły doradca. Jeśli incydent zdarzył się na urządzeniu służbowym, absolutnie nie należy próbować rozwiązywać problemu samodzielnie. Trzeba niezwłocznie poinformować dział IT lub bezpieczeństwa. Jak podkreśla Amy Ciminnisi, analityk ds. zagrożeń w Cisco Talos, „zgłoszenie incydentu w pierwszych minutach po jego wystąpieniu może całkowicie zmienić jego przebieg”. Firmowe zespoły dysponują narzędziami, by przeanalizować logi, odizolować urządzenie i zminimalizować skutki ataku.

Eksperci Cisco Talos przygotowali cztery scenariusze reagowania w zależności od sytuacji. Jeśli tylko kliknąłeś w link, ale nie podałeś żadnych danych, natychmiast zamknij przeglądarkę. Sprawdź, czy nie pobrały się żadne pliki – jeśli tak, usuń je bez otwierania. Następnie wykonaj pełne skanowanie antywirusowe i obserwuj urządzenie pod kątem nietypowego działania.

Jeśli na stronie phishingowej podałeś swój login i hasło, sytuacja jest poważniejsza. Natychmiast zmień hasło do konta, którego dotyczył incydent. Co kluczowe, zrób to wszędzie tam, gdzie używałeś tej samej kombinacji loginu i hasła. Włącz uwierzytelnianie wieloskładnikowe (MFA) i wyloguj wszystkie pozostałe aktywne sesje. W przypadku podania danych finansowych (karta, konto), nie ma czasu do stracenia – należy natychmiast skontaktować się z bankiem i zablokować instrument płatniczy.

Najgorszy scenariusz to pobranie i otwarcie podejrzanego pliku, co jest częstym wektorem ataku ransomware. W takiej sytuacji pierwszym krokiem jest natychmiastowe odłączenie urządzenia od internetu, aby odciąć komunikację z serwerami atakujących. Następnie należy przeprowadzić pełne skanowanie antywirusowe w trybie offline. Jeśli to nie pomoże, konieczne może być przywrócenie systemu z kopii zapasowej.

Cisco integruje AI z Webex Contact Center. Nowe narzędzia mają zrewolucjonizować obsługę klienta

#bezpieczeństwoWSieci #CiscoTalos #coRobićPoKliknięciuWLink #cyberbezpieczeństwo #MFA #new #phishing #Porady #ransomware #złośliwyLink