W małych firmach aż 70% interwencji zespołów reagowania na incydenty stanowią ataki ransomware – wynika z analiz firmy Sophos. Cyberprzestępcy coraz częściej wykorzystują luki w urządzeniach sieciowych i przełamują powszechnie stosowane zabezpieczenia, jak uwierzytelnianie wieloskładnikowe. Klasyczne kampanie phishingowe ustępują miejsca nowym technikom, takim jak email bombing, vishing (oszustwa telefoniczne) czy quishing, czyli oszustwa z wykorzystaniem kodów QR.
Analizy przeprowadzone przez zespół reagowania Sophos MDR (Managed Detection and Response) wykazały, że ransomware i próby kradzieży danych stanowiły 30% wszystkich wykrytych incydentów cyberbezpieczeństwa w sektorze MŚP. Złośliwe oprogramowanie szyfrujące dane było też powodem aż 7 na 10 interwencji zespołów reagowania. Małe firmy są głównym celem przestępców i coraz częściej padają ofiarami zaawansowanych ataków. Wiele z nich posiada też przestarzałą lub niewłaściwie skonfigurowaną infrastrukturę IT, co znacząco ułatwia przestępcom przeprowadzenie skutecznego ataku.
Firmowe skrzynki na celowniku hakerów
Firmowa poczta e-mail coraz częściej staje się furtką do większych incydentów naruszenia bezpieczeństwa. Cyberprzestępcy za pośrednictwem wiadomości elektronicznych rozsyłają złośliwe oprogramowanie, wyłudzają dane logowania oraz stosują sztuczki socjotechniczne, na przykład podszywają się pod współpracowników lub partnerów biznesowych. Do przejmowania kont e-mailowych stosują przede wszystkim phishing, z pomocą którego nie tylko pozyskują dane logowania, ale mogą również przechwytywać kody autoryzacyjne w czasie rzeczywistym, podszywając się pod prawdziwe serwisy.
– Coraz częściej mamy do czynienia z atakami typu „adversary-in-the-middle”, w których cyberprzestępca umiejscawia się pomiędzy użytkownikiem a prawdziwą stroną logowania i w czasie rzeczywistym kradnie zarówno hasło, jak i jednorazowy kod autoryzacji logowania. To oznacza, że nawet konta zabezpieczone uwierzytelnianiem wieloskładnikowym mogą zostać skutecznie przejęte, jeśli użytkownik zostanie zmanipulowany do działania w fałszywym środowisku logowania. Dlatego firmy powinny przechodzić z uwierzytelniania wieloskładnikowego na potwierdzanie tożsamości za pomocą kluczy dostępu – podkreśla Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Autorzy raportu Sophos zwracają też uwagę, że klasyczne kampanie phishingowe ustępują miejsca nowym technikom, takim jak email bombing (masowe wysyłanie tysięcy wiadomości w krótkim czasie), vishing (wyłudzanie danych przez rozmowę telefoniczną) czy quishing, czyli oszustwa za pomocą kodów QR. W połączeniu ze wzrostem aktywności tzw. access brokerów, którzy sprzedają dostęp do zainfekowanych systemów innym grupom przestępczym, metody manipulacji socjotechnicznych stają się coraz bardziej złożone.
VPN i firewalle furtką do sieci
Urządzenia infrastruktury brzegowej, takie jak firewalle oraz VPN, odpowiadają za 25% przypadków naruszenia bezpieczeństwa w przedsiębiorstwach (w incydentach, które udało się jednoznacznie potwierdzić na podstawie danych telemetrycznych z monitoringu aktywności sieciowej i systemowej). Eksperci podkreślają jednak, że rzeczywista skala tego zjawiska może być znacznie większa, ponieważ nie wszystkie przypadki są możliwe do precyzyjnego prześledzenia.
– W ciągu ostatnich kilku lat cyberprzestępcy biorą na cel urządzenia brzegowe. Problem pogłębia rosnąca liczba przestarzałych urządzeń, które wciąż pozostają w użyciu, mimo braku wsparcia producentów. Są one połączone z internetem, jednak często znajdują się na końcu listy priorytetów do zaktualizowania, o ile odpowiednie łatki w ogóle są dostępne. Wykorzystanie obecnych w nich luk jest więc niezwykle skuteczną metodą włamania do sieci. Atakowanie urządzeń brzegowych jest częścią szerszego trendu, który obserwujemy – przestępcy nie muszą już używać niestandardowego złośliwego oprogramowania. Zamiast tego wykorzystują własne systemy firm, zwiększając swoją zwinność i ukrywając się tam, gdzie specjaliści ds. bezpieczeństwa nie patrzą – zauważa Sean Gallagher, główny analityk zagrożeń w Sophos.
Jak się chronić?
Dostosowanie ochrony do zagrożeń nie zawsze wymaga dużych nakładów finansowych – często kluczowa jest zmiana podejścia. Sam login i hasło to dziś za mało, by skutecznie chronić dostęp do zasobów. Zamiast polegać na pojedynczych zabezpieczeniach, warto wdrożyć wielowarstwową strategię. Pomocna w tym celu może być migracja z tradycyjnych haseł na cyfrowe klucze dostępu, które są odporne na przechwycenie przez phishing. Tam, gdzie nie jest to jeszcze możliwe, zaleca się stosowanie uwierzytelniania wieloskładnikowego. Szczególną uwagę warto poświęcić również aktualizowaniu urządzeń brzegowych – pozostawione bez łatania luk w zabezpieczeniach mogą stać się łatwym punktem wejścia do firmowych systemów.
O raporcie
Opublikowany przez firmę Sophos raport „Annual Threat Report: Cybercrime on Main Street 2025” skupia się na najczęściej występujących cyberzagrożeniach, z jakimi mierzyły się małe i średnie przedsiębiorstwa w 2024 roku. Opracowanie powstało na podstawie danych telemetrycznych pochodzących z rozwiązań Sophos, a także udokumentowanych przypadków z interwencji zespołów Sophos Incident Response (IR) oraz Sophos Managed Detection and Response (MDR). Pełna analiza dostępna jest pod adresem: https://news.sophos.com/en-us/2025/04/16/the-sophos-annual-threat-report-cybercrime-on-main-street-2025/
