Raport Cisco Talos: ransomware słabnie? Niekoniecznie, ale celuje teraz w urzędy

Trzeci kwartał 2025 roku przyniósł istotną zmianę na mapie cyberzagrożeń. Choć udział ataków ransomware spadł, cyberprzestępcy obrali nowy, wyraźny cel: sektor publiczny.

Według najnowszych danych Cisco Talos, to właśnie urzędy i instytucje samorządowe są teraz najbardziej narażone.

Najnowszy raport Cisco Talos „Incident Response Trends Q3 2025” rzuca światło na taktyki hakerów. Choć odsetek incydentów z użyciem ransomware spadł z 50% (w Q2) do 20% (w Q3), eksperci ostrzegają przed optymizmem. Zagrożenie nie znika, a jedynie ewoluuje i staje się bardziej precyzyjne.

Sektor publiczny na celowniku

Po raz pierwszy w historii analiz Talos (od 2021 r.), organizacje rządowe i samorządowe znalazły się na szczycie listy celów. Hakerzy, w tym grupy powiązane z Rosją (APT), celują w szkoły, szpitale i lokalne urzędy. Dlaczego? Często dysponują one ograniczonym budżetem na IT i przestarzałą infrastrukturą, co czyni je łatwym łupem.

Luki w aplikacjach to otwarta brama

Aż 60% wszystkich incydentów w minionym kwartale rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach. To gigantyczny skok (wcześniej było to poniżej 10%).

Głównym winowajcą okazały się ataki na lokalne serwery Microsoft SharePoint z wykorzystaniem łańcucha ataku ToolShell. Hakerzy działają błyskawicznie – pierwsze ataki odnotowano zaledwie dzień przed oficjalnym ostrzeżeniem Microsoftu o luce.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas (…) W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek” – komentuje Lexi DiScola z Cisco Talos.

MFA to za mało

Raport przynosi też niepokojące wieści dla firm polegających na uwierzytelnianiu wieloskładnikowym (MFA). Prawie jedna trzecia incydentów wiązała się z obejściem lub nadużyciem tego zabezpieczenia.

Przestępcy stosują technikę „MFA bombing” (zalewanie użytkownika powiadomieniami, aż ten dla świętego spokoju zaakceptuje logowanie) lub wykorzystują błędy w konfiguracji.

Jak się bronić?

Cisco Talos rekomenduje cztery kluczowe działania:

• Błyskawiczne wdrażanie poprawek bezpieczeństwa (szczególnie dla aplikacji wystawionych do sieci).
• Silną segmentację sieci (aby infekcja jednego serwera nie położyła całej firmy).
• Wzmocnienie zasad MFA i monitorowanie prób logowania.
• Pełną analizę logów bezpieczeństwa.

Raport Cisco: 85% polskich firm chce agentów AI. Tylko 5% jest na nie gotowych

#atakiHakerskie #ciscoTalos #cyberbezpieczenstwo #mfa #microsoftSharepoint #news #ransomware #raportBezpieczenstwa #sektorPubliczny #toolshell

Chinese Threat Actors Exploit ToolShell SharePoint Flaw Weeks After Microsoft's July Patch
https://thehackernews.com/2025/10/chinese-threat-actors-exploit-toolshell.html

#Infosec #Security #Cybersecurity #CeptBiro #Chinese #ThreatActors #Exploit #ToolShell #SharePointFlaw

A single SharePoint flaw unleashed a global cyber takeover—hackers are seizing control even before patches hit. How safe is your system? Dive into the details of the ToolShell vulnerability.

https://thedefendopsdiaries.com/the-toolshell-vulnerability-how-a-single-flaw-in-sharepoint-enabled-global-cyberattacks/

#toolshell
#sharepoint
#zeroday
#cyberattacks
#cve202553770

🚨 New immediate detection live in Network Scanner 👉 #ToolShell (CVE-2025-53770) 🚨

The latest update helps you confirm protection against ToolShell (CVE-2025-53770, CVSS 9.8) on SharePoint servers:

✅ Run instant, single-CVE scans on your SharePoint servers
✅ Verify if your patches actually worked
✅ Get clear, evidence-backed results for faster reporting and remediation

Act on it right now with these resources 👇

🔴 CVE details: https://pentest-tools.com/vulnerabilities-exploits/microsoft-sharepoint-server-remote-code-execution_27461

👉 Use our Network Scanner for targeted detection: https://pentest-tools.com/network-vulnerability-scanning/network-security-scanner-online

#vulnerabilityassessment #offensivesecurity #ethicalhacking

https://www.helpnetsecurity.com/2025/08/13/croatian-research-institute-confirms-ransomware-attack-via-toolshell-vulnerabilities/

#Ransomware #ToolShell #EU #Cybersecurity

🚨 Ransomware gangs are piggybacking on ToolShell SharePoint exploits.

🧪 Unit 42 ID’d 4L4MD4R ransomware, delivered via PowerShell loader post-fail exploit.
☢️ Targets: US NNSA, EU govs
⚙️ Exploits: CVE-2025-53770/53771
👥 Actors: Linen Typhoon, Violet Typhoon, Storm-2603

How are you securing your SharePoint stack?

#infosec #SharePoint #Ransomware #Unit42 #ToolShell #ZeroDay #Microsoft #CISA

The Good, the Bad and the Ugly in Cybersecurity – Week 30

Authorities release a free ransomware decryptor, Lumma infostealer regroups post-takedown, and ToolShell zero-day spurs urgent patching.

The Good | Authorities Dismantle XSS.is Cybercrime Forum & Release Free Phobos/8Base Decryptor

After a 12-year long run, XSS[.]is (formerly DaMaGeLaB) faced major disruptions this week with the arrest of its suspected administrator as part of a joint operation led by French and Ukrainian authorities. The Russian-speaking cybercrime forum had been active […]

https://whalers.ir/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-30/9885/