Kybernetické útoky se ve třetím čtvrtletí soustředily na veřejnou správu a zanedbané aktualizace

Téměř 40 % všech případů souviselo s kampaní ToolShell cílící na SharePoint servery bez nejnovější bezpečnostní aktualizace. Z pohledu jednotlivých sektorů se pozornost hackerů nově soustředila na veřejnou správu, která trpí dlouhodobým podfinancováním IT a používáním zastaralé techniky. Podle expertů Cisco poslední bezpečnostní report poukázal na význam okamžitého nasazování bezpečnostních záplat.

„Příležitost dělá zloděje. Ovšem kdo dělá příležitost? Mohou to být nejen koncoví uživatelé, ale i samotní správci IT,“ uvedl kyberbezpečnostní expert Cisco Milan Habrcetl zprávu agentury Cisco Talos. Ta se ve svých reportech opírá o data ze systémů Cisco nasazených po celém světě. Má tak k dispozici jednu z jednu z největších a nejkomplexnějších databází o internetovém provozu a incidentech. „Ve třetím čtvrtletí hrály prim útoky zneužívající nedostatečně aktualizovanou infrastrukturu. Přitom většině ztrát by se podařilo zabránit, kdyby firmy instalovaly příslušnou bezpečnostní záplatu v den jejího vydání,“ dodal.

Když server nesdílí data s kolegy, ale s hackery

S příchodem třetího kvartálu se změnil nejčastější způsob, jak se útočníci dostávali dovnitř sítí svých obětí. Dříve dominantní phishing vystřídalo zneužívání veřejně přístupných aplikací. To narostlo z méně než 10 % na více než 60 %. Téměř 40 % všech útoků souviselo s kampaní ToolShell zaměřenou na servery SharePoint. Útočníci využili toho, že oběti ignorovaly varování k nainstalování opravné aktualizace, která by většině útoků dokázala zabránit. „Téměř všechny útoky ToolShell proběhly až v deseti dnech po vydání opravné aktualizace. To je varování pro všechny organizace, že časové okno pro nasazení bezpečnostních záplat je extrémně úzké,“ upozornil Habrcetl.

Obliba phishingu zůstává, vydírání je sofistikovanější

Phishingové útoky, kdy útočníci využívají kompromitované interní e-mailové účty, se objevily v jedné třetině všech případů. Dříve byla tato taktika využívána hlavně pro počáteční přístup. Nyní se však objevuje i tam, kde bylo k průniku využito jiných metod, například zneužití platných účtů. S tím, jak se zlepšuje obrana proti phishingu, budou útočníci hledat nové způsoby, jak zvýšit důvěryhodnost svých emailů. Obranou může být silnějších autentizace, zlepšení analýzy e-mailových vzorců a školení uživatelů v oblasti bezpečnosti.

Incidenty s ransomwarem tvořily ve sledovaném čtvrtletí přibližně 20 % útoků, což je pokles z 50 % v minulém čtvrtletí. „To neznamená, že by ransomware přestal být hrozbou. Naopak je sofistikovanější. Viděli jsme například první zneužití kyberbezpečnostního open-source nástroje Velociraptor k útoku místo ochrany,“ upozornil Habrcetl.

Veřejná správa poprvé na prvním místě

Poprvé od zveřejňování kyberbezpečnostních analýz Cisco Talos v roce 2021 se nejčastěji napadeným sektorem stala veřejná správa. Útoky se zaměřovaly převážně na místní samosprávy, které dohlížejí na školské okrsky, nemocnice nebo krajské kliniky. „Organizace ve veřejném sektoru jsou atraktivním cílem, protože často trpí nedostatečným financováním a používají zastaralé vybavení,“ dodal Habrcetl.

Tři základní doporučení pro vyšší kybernetickou bezpečnost

Nedílnou součástí analýzy Cisco Talos je seznam tipů k posílení kybernetické bezpečnosti. Jaká doporučení vydali experti na základě nejčastějších útoků třetího čtvrtletí roku 2025? Vylepšit vícefaktorové ověřování, sbírat důkazy a aktualizovat.

1. Soustřeďte se na technicky neproveditelné cestování

Téměř třetina incidentů souvisela se zneužitím vícefaktorového ověřování, včetně bombardování nebo obcházení MFA. Vedle nástrojů na analýzu chování k identifikaci přihlašování podezřelých zařízení by měly organizace implementovat zásady MFA při detekování technicky neproveditelných cestovních scénářů. „V tomto čtvrtletí jsme se setkali s četnými případy technicky neproveditelného cestování. Jde o situaci, kdy se uživatel přihlásí například z Prahy a o chvíli později třeba z Pekingu,“ vysvětlil Habrcetl.

2. Soustřeďte se na důkazy

Nedostatečné protokolování nebo dokonce smazání logů útočníkem bránilo vyšetřování v jedné třetině případů. Proto je více než užitečné implementovat SIEM řešení pro centralizované protokolování. Pokud útočník smaže protokoly na napadených zařízeních, aby zahladil stopy, SIEM bude stále obsahovat záznamy použitelné pro forenzní vyšetřování. „Porozumění úplnému kontextu útoku je totiž zásadní nejen pro jeho nápravu, ale i pro následné posílení obrany,“ upozornil Habrcetl.

3. Soustřeďte se na aktualizace

Zranitelná či neopatchovaná infrastruktura byla zneužita v přibližně 15 % případů. Cíle zahrnovaly neopatchované vývojové servery a servery SharePoint, které zůstaly zranitelné i několik týdnů po vydání bezpečnostních aktualizací ToolShell. Další velkou skupinou v centru zájmu hackerů byly organizace ve veřejném sektoru s podfinancovaným a neaktuálním IT. „Aktivita ToolShell ukázala, že stačil jediný server bez poslední aktualizace, aby útočníci získali přístup do podnikové sítě. Proto je důležitá kombinace rychlého patchování a preventivní segmentace,“ uzavřel Habrcetl.