2025 Cyber Incident Trends: Amit a vállalkozásoknak tudniuk kell

A kiberbiztonsági környezet továbbra is riasztó ütemben fejlődik, mivel a rosszindulatú szereplők egyre kifinomultabb technikákat alkalmaznak a szervezetek megzavarására minden ágazatban. A mesterséges intelligencia által támogatott behatolásoktól kezdve a nemzetállamok által indított intenzívebb kampányokig a vállalkozásoknak példátlan kihívásokkal kell szembenézniük digitális eszközeik védelme és a működési ellenálló képesség fenntartása terén. Ezeknek az újonnan megjelenő fenyegetéseknek a megértése és a robusztus védelmi stratégiák végrehajtása kritikus fontosságúvá vált a szervezetek túlélése szempontjából a mai összekapcsolt digitális ökoszisztémában.

A mesterséges intelligencia átalakítja a kibertámadási módszereket

A mesterséges intelligencia alapvetően megváltoztatta a fenyegető szereplők kiberműveleteinek módját. A legfrissebb adatokból kiderül, hogy a bejelentett kiberincidensek mintegy tizenhat százalékában a támadók ma már mesterséges intelligencia eszközöket, különösen kép- és nyelvgeneráló modelleket használnak kifinomult social engineering kampányok végrehajtására. A generatív mesterséges intelligencia drámaian megnövelte a támadások hatékonyságát azáltal, hogy meggyőzőbb megtévesztéseket hoz létre, és lehetővé teszi a behatolási eszközök széles körű automatizálását.

A fenyegető szereplők számos veszélyes módon alkalmazzák a mesterséges intelligencia technológiát. A Deepfake technológia lehetővé teszi a bűnözők számára, hogy a vezetők és a támogató személyzet valósághű hang- és képi megszemélyesítését hozzák létre, amelyet csalárd átutalások engedélyezésére, felhasználói hitelesítő adatok ellopására és számlák kompromittálására használnak. Az egyik különösen pusztító incidens során a támadók nyilvánosan elérhető felvételeket használtak arra, hogy meggyőző deepfake videókat készítsenek egy vállalat pénzügyi igazgatójáról és alkalmazottairól, és sikeresen megtévesztették az áldozatot, hogy több mint huszonöt millió dollárt utaljon át a bűnözőknek.

A hangalapú adathalászat vagy "vishing" egy másik, mesterséges intelligenciával feljavított fenyegetési vektort jelent. A támadók mesterséges intelligencia által generált szkripteket és hangklónokat használnak fel célzott telefonos kampányokban, amelyek célja, hogy rávegyék az áldozatokat rosszindulatú hasznos terhelések letöltésére, távoli támogatási munkamenetek létrehozására vagy bejelentkezési adatok felfedésére. Emellett a fenyegető szereplők generatív mesterséges intelligencia eszközöket használnak arra, hogy rendkívül testre szabott adathalász e-maileket és szöveges üzeneteket készítsenek, amelyek kontextuális részleteket és természetes nyelvi mintákat tartalmaznak, jelentősen növelve annak valószínűségét, hogy az áldozatok rosszindulatú linkekre kattintanak és átadják hitelesítő adataikat.

A zsarolóvírus-támadások egyre agresszívebbek és költségesebbek lesznek

A zsarolóvírusok továbbra is minden iparági szektorban sújtják a szervezeteket, a legutóbbi jelentések szerint a zsarolóvírusokkal kapcsolatos támadások száma tizenkét százalékkal nőtt az előző évhez képest. A támadók egyre agresszívebb zsarolási technikákat alkalmaznak, és egyre kifinomultabb eszközöket vetnek be az áldozatokra gyakorolt nyomás maximalizálása érdekében. A modern zsarolóvírus-kampányok a hagyományos adattitkosítást olyan bomlasztó taktikákkal kombinálják, mint az alkalmazottak zaklatása és a kritikus műveletek fenyegetése, ami meghosszabbodott állásidőt és lényegesen magasabb helyreállítási költségeket eredményez.

A közelmúltban több figyelemre méltó zsarolóvíruscsoport uralta a címlapokat. A Scattered Spider fenyegető csoport újra felbukkant, fejlett social engineering technikákat alkalmazva, hogy kezdeti hozzáférést szerezzen a különböző iparágak szervezeteihez. Eközben a LockBit zsarolóvírus művelet 2025 elején újra megjelent a LockBit 4.0 frissített eszközkészletével, és agresszív zsarolási kampányokat indított, amelyek különösen a magánszektort célozták meg az Egyesült Államokban.

Érdekes, hogy a váltságdíjvírus-támadásokra adott szervezeti válaszok a jelek szerint változnak. A legfrissebb iparági kutatás szerint a megkérdezett szervezetek körülbelül hatvanhárom százaléka utasította el a váltságdíj kifizetését az elmúlt évben, ami a 2024-es ötvenkilenc százalékos arányhoz képest növekedést jelent. Ez a tendencia a bűnözők zsarolási követeléseivel szembeni növekvő ellenállásra utal, ugyanakkor rávilágít a robusztus biztonsági mentési és helyreállítási képességek szükségességére is, amelyek lehetővé teszik a szervezetek számára a működés helyreállítását anélkül, hogy kapitulálnának a támadók előtt.

A nemzetállami fenyegetések fokozódnak a geopolitikai feszültségek közepette

A nemzetállami fenyegetések szereplői jelentősen fokozták kiberműveleteiket, célba véve a távközlési infrastruktúrát, a kritikus rendszereket és a stratégiai harmadik fél szolgáltatókat. Ezek a kifinomult kampányok általában kiberkémkedési technikákat és fejlett megtévesztési taktikákat alkalmaznak a felhasználói hitelesítő adatok ellopására és az érzékeny hálózatokhoz és adatokhoz való jogosulatlan hozzáférés megszerzésére.

A kínai székhelyű fenyegető csoportok az elmúlt évben drámai mértékben fokozták tevékenységüket, és egyes célzott iparágakban a támadások száma kétszáz-háromszáz százalékkal nőtt az előző évhez képest. Két nagy horderejű behatolási kampány keltette fel a világ figyelmét: Salt Typhoon és Volt Typhoon. A Salt Typhoon művelet egy széles körű kiberkémkedési kampány keretében sikeresen behatolt jelentős távközlési hálózatokba, míg a Volt Typhoon során rosszindulatú kódot helyeztek el kritikus infrastrukturális rendszerekben, ami komoly aggodalmakat keltett a fizikai károkozás vagy széles körű zavarok lehetséges eszkalációjával kapcsolatban.

A nemzetállamokhoz kapcsolódó szereplők a technikai behatolásokon túlmenően társadalmi mérnöki taktikákat is alkalmaztak. Az Észak-Koreával kapcsolatban álló fenyegető szereplők amerikai vállalatokba szivárogtak be úgy, hogy dokumentációt hamisítottak és meggyőző jelöltprofilokat hoztak létre, hogy informatikai támogatói munkakörökben kapjanak állást, amelyeket később a felhasználói hitelesítő adatok megszerzésére és csalárd pénzügyi tranzakciók végrehajtására használtak fel. Az Iránhoz kötődő szereplők különösen a generatív mesterséges intelligencia eszközeit alkalmazták, az egyik csoport a jelentések szerint 2025 júliusában egy újságírók érzékeny adatait célzó hack-and-leak kampányt követően mesterséges intelligencia chatbotokon keresztül erősítette fel a kiszivárgott információkat.

A harmadik fél által elkövetett ellátási lánc elleni támadások növekvő kockázatot jelentenek

Harmadik féltől származó támadások akkor fordulnak elő, amikor a fenyegető szereplők kompromittálják az ellátási lánc partnereit, beszállítóit vagy szoftverszolgáltatóit, és ezt a hozzáférést kihasználva beszivárognak a célszervezetek hálózataiba. Ezek a támadások gyakran az összekapcsolt rendszereken keresztül kaszkádszerűen terjednek, és több olyan továbbfelhasználó szervezetet és ügyfelet érintenek, akik a veszélyeztetett szoftvertől vagy szolgáltatástól függenek. A fenyegetésekkel kapcsolatos legújabb adatok rávilágítanak a pénzügyi motivációjú kiberbűnözés növekedésére, amely a szoftverszolgáltatókat veszi célba, mint a szélesebb vállalati ökoszisztémák kezdeti belépési pontjait.

A harmadik fél beszállítóinak behatolásával a támadók megkerülhetik a hagyományos védelmi rendszereket, és kiváltságos hozzáférést szerezhetnek az érzékeny üzleti környezetekhez. Ezek a fenyegető szereplők gyakran kihasználják az olyan hosztolt környezeteket, mint a felhőplatformok és a szoftver-az-a-szolgáltatás ökoszisztémák, amelyekben oldalirányban mozognak az ügyfélpéldányokon keresztül, hitelesítő adatokat gyűjtenek, és méretarányosan kiszivárogtatják a védett adatokat. Ez a taktika széles körű hatást tesz lehetővé, különösen akkor, ha a gyártók több ügyfelet szolgálnak ki különböző iparágakban.

A harmadik fél által elkövetett ellátási lánccal kapcsolatos kompromittálások a szervezeteknek napjainkban a legköltségesebb és legkitartóbb kiberfenyegetési vektorok közé tartoznak. A legfrissebb adatok szerint ezek a jogsértések átlagosan közel ötmillió dolláros költséggel járnak, és a kibernetikai behatolás bármely más formájánál hosszabb időt vesznek igénybe az azonosítás és a megfékezés. A beszállítói kapcsolatok összetettsége és a meghosszabbított tartózkodási idő hozzájárul a késedelmes válaszadási erőfeszítésekhez és az érintett szervezetek fokozott kitettségéhez.

Alapvető ajánlások a kibertér-ellenállóképességhez

Az átfogó, kockázatalapú kiberbiztonsági program fenntartása továbbra is a leghatékonyabb védekezés a fejlődő kiberfenyegetésekkel szemben. A szervezeteknek prioritásként kell kezelniük az incidensekre való felkészültséget azáltal, hogy a kulcsfontosságú vezetők, az igazgatótanács képviselői és az osztályvezetők bevonásával táblás gyakorlatokat tartanak a szerepek, az eszkalációs eljárások és a döntéshozatali keretek érvényesítésére. Ezeknek a gyakorlatoknak tartalmazniuk kell az olyan újonnan megjelenő fenyegetéseket, mint például a generatív mesterséges intelligencia rosszindulatú használata, hogy a csapatok felkészüljenek a reális forgatókönyvekre.

A szabályzatkezelés folyamatos figyelmet igényel. A szervezeteknek rendszeresen felül kell vizsgálniuk és frissíteniük kell az incidensekre adott válaszadási terveket, az üzletmenet-folytonossági eljárásokat és a kommunikációs jóváhagyási folyamatokat, hogy azok tükrözzék az aktuális fenyegetéseket, és megfeleljenek a gyors bejelentési követelményeknek, mint például az Európai Unió NIS2 irányelvének huszonnégy órás kezdeti bejelentési követelménye és a SEC négy munkanapos közzétételi szabálya a lényeges incidensekre. A frissített irányelveket a megfelelő érdekelt felek között kell terjeszteni, és foglalkozniuk kell az olyan újonnan megjelenő technológiákra vonatkozó kockázattűréssel, mint a generatív mesterséges intelligencia.

A harmadik felek kockázatainak mérséklése erőteljes beszállítói átvilágítást és szerződéses biztosítékokat igényel. A szervezeteknek kritikussági elemzéseket kell végezniük, hogy azonosítsák azokat a beszállítókat és komponenseket, amelyek kompromittálódása a legnagyobb működési hatást okozná. A legfontosabb védelmi intézkedések közé tartozik a biztonságos szoftverfejlesztési gyakorlatokról szóló beszállítói tanúsítványok megkövetelése, az azonnali incidens-értesítési követelményekkel és ellenőrzési jogokkal kapcsolatos erős szerződéses védelem bevezetése, a beszállítói biztonsági gyakorlatok rendszeres értékelése, valamint a válaszadási erőfeszítések tesztelése harmadik fél beszállítói forgatókönyveket tartalmazó gyakorlatokon keresztül.

A sebezhetőségkezelési folyamatoknak gyorsnak és szisztematikusnak kell lenniük, tekintettel a biztonsági javítások és az exploit-fejlesztések gyakoriságára. A szervezeteknek dokumentált folyamatokat kell fenntartaniuk a sebezhetőségek azonosítására, értékelésére, rangsorolására, orvoslására és nyomon követésére, miközben egyértelmű felelősséget és határidőket kell kijelölniük a javítási tevékenységekhez. A folyamatos felügyelet és a proaktív javításkezelési eszközök bevezetése, amelyek ellenőrizhető naplókat készítenek, lehetővé teszi a szervezetek számára, hogy a sebezhetőségeket még azelőtt kezeljék, mielőtt a fenyegető szereplők kihasználhatnák azokat.

Végül, az iparági csoportokkal való együttműködés és a szabályozási és bűnüldözési frissítésekről való tájékozódás erősíti a szervezet biztonsági helyzetét. A kiberbiztonsági információmegosztás körüli, egyes törvényi rendelkezések lejárta után a közelmúltban kialakult jogi bizonytalanság ellenére az időben történő és összehangolt információmegosztás továbbra is létfontosságú. A szervezeteknek csatlakozniuk kell az ágazatspecifikus kiberbiztonsági csoportokhoz, hogy tájékozottak maradjanak az ágazatspecifikus fenyegetésekről és a legjobb gyakorlatokról, miközben figyelemmel kísérik a kormányzati szervek frissítéseit és feliratkoznak a bűnüldözési fenyegetésekről szóló hírlevelekre.

Bár a kiberkockázat teljes kiküszöbölése továbbra is lehetetlen, az incidensekre való felkészültség és a jogszabályi megfelelés előtérbe helyezése növeli a technikai ellenálló képességet, és kedvezőbb helyzetbe hozza a szervezeteket mind működési, mind jogi szempontból, amikor elkerülhetetlenül kibertámadások célpontjává válnak.

Forrás: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know