Tendințele incidentelor cibernetice în 2025: Ce trebuie să știe întreprinderile

Peisajul securității cibernetice continuă să evolueze într-un ritm alarmant, pe măsură ce actorii rău intenționați exploatează tehnici din ce în ce mai sofisticate pentru a perturba organizațiile din toate sectoarele. De la intruziunile bazate pe inteligența artificială la intensificarea campaniilor statelor naționale, întreprinderile se confruntă cu provocări fără precedent în protejarea activelor lor digitale și menținerea rezilienței operaționale. Înțelegerea acestor amenințări emergente și punerea în aplicare a unor strategii defensive solide au devenit esențiale pentru supraviețuirea organizațiilor în ecosistemul digital interconectat de astăzi.

Inteligența artificială transformă metodele de atac cibernetic

Inteligența artificială a schimbat fundamental modul în care actorii amenințători desfășoară operațiuni cibernetice. Date recente arată că aproximativ șaisprezece la sută din incidentele cibernetice raportate implică în prezent atacatori care utilizează instrumente de inteligență artificială, în special modele de generare a imaginilor și a limbajului, pentru a executa campanii sofisticate de inginerie socială. Inteligența artificială generativă a crescut dramatic eficacitatea atacurilor prin crearea unor înșelătorii mai convingătoare și prin automatizarea pe scară largă a instrumentelor de intruziune.

Actorii amenințători utilizează tehnologia IA în mai multe moduri periculoase. Tehnologia Deepfake le permite infractorilor să creeze imitații audio și video realiste ale directorilor și personalului de asistență, pe care le folosesc pentru a autoriza transferuri bancare frauduloase, pentru a fura acreditările utilizatorilor și pentru a compromite conturi. Un incident deosebit de devastator a implicat atacatori care au folosit imagini disponibile publicului pentru a crea videoclipuri deepfake convingătoare ale directorului financiar și ale angajaților unei companii, reușind să păcălească victima să transfere peste 25 de milioane de dolari către infractori.

Phishing-ul vocal, sau "vishing", reprezintă un alt vector de amenințare potențat de IA. Atacatorii utilizează scenarii generate de inteligența artificială și clone vocale în campanii telefonice țintite, menite să convingă victimele să descarce sarcini utile malițioase, să stabilească sesiuni de asistență la distanță sau să își dezvăluie datele de autentificare. În plus, actorii amenințători utilizează instrumente generative de inteligență artificială pentru a produce e-mailuri și mesaje text de phishing extrem de personalizate, care includ detalii contextuale și modele de limbaj natural, crescând semnificativ probabilitatea ca victimele să facă clic pe linkuri malițioase și să își predea datele de identificare.

Atacurile ransomware devin din ce în ce mai agresive și mai costisitoare

Ransomware continuă să afecteze organizațiile din toate sectoarele industriale, rapoartele recente indicând o creștere de 12 % de la an la an a încălcărilor legate de ransomware. Atacatorii au adoptat tehnici de extorcare din ce în ce mai agresive și au implementat instrumente mai sofisticate pentru a maximiza presiunea asupra victimelor. Campaniile moderne de ransomware combină criptarea tradițională a datelor cu tactici perturbatoare, inclusiv hărțuirea angajaților și amenințări la adresa operațiunilor critice, ceea ce duce la prelungirea timpului de inactivitate și la costuri de recuperare substanțial mai mari.

Mai multe grupuri de ransomware notabile au dominat titlurile recente. Grupul de amenințare Scattered Spider a reapărut prin utilizarea unor tehnici avansate de inginerie socială pentru a obține accesul inițial la organizații din diverse industrii. Între timp, operațiunea ransomware LockBit a reapărut la începutul anului 2025 cu setul său de instrumente actualizat, LockBit 4.0, lansând campanii agresive de extorcare care vizează în special sectorul privat din Statele Unite.

În mod interesant, răspunsurile organizațiilor la atacurile ransomware par să se schimbe. Cercetări recente din industrie indică faptul că aproximativ șaizeci și trei la sută dintre organizațiile intervievate au refuzat să plătească răscumpărări în ultimul an, ceea ce reprezintă o creștere de la cincizeci și nouă la sută în 2024. Această tendință sugerează o rezistență din ce în ce mai mare la cererile de extorcare ale infractorilor, deși evidențiază, de asemenea, necesitatea unor capacități robuste de backup și recuperare care să permită organizațiilor să restabilească operațiunile fără a capitula în fața atacatorilor.

Amenințările statelor naționale se intensifică pe fondul tensiunilor geopolitice

Actorii care reprezintă amenințări ale statelor naționale și-au intensificat în mod semnificativ operațiunile cibernetice, vizând infrastructura de telecomunicații, sistemele critice și furnizorii de servicii strategice terțiari. Aceste campanii sofisticate utilizează de obicei tehnici de spionaj cibernetic și tactici avansate de înșelăciune pentru a fura datele de identificare ale utilizatorilor și a obține acces neautorizat la rețele și date sensibile.

Grupurile de actori amenințători cu sediul în China și-au intensificat în mod dramatic activitățile în ultimul an, anumite industrii vizate înregistrând o creștere de două sute până la trei sute la sută a atacurilor în comparație cu anul precedent. Două campanii de intruziune foarte mediatizate au captat atenția la nivel mondial: Salt Typhoon și Volt Typhoon. Operațiunea Salt Typhoon s-a infiltrat cu succes în rețele majore de telecomunicații în cadrul unei campanii de spionaj cibernetic de mare anvergură, în timp ce Volt Typhoon a implicat prepoziționarea de coduri malițioase în cadrul sistemelor de infrastructură critică, stârnind îngrijorări serioase cu privire la posibila escaladare în vătămări fizice sau perturbări pe scară largă.

Actorii afiliați statelor naționale au exploatat, de asemenea, tactici de inginerie socială dincolo de intruziunile tehnice. Actorii de amenințare afiliați Coreei de Nord s-au infiltrat în companii americane prin fabricarea de documente și crearea de profiluri de candidat convingătoare pentru a obține un loc de muncă în funcții de suport IT, poziții pe care le-au exploatat ulterior pentru a obține acreditările utilizatorilor și a executa tranzacții financiare frauduloase. Actorii legați de Iran au adoptat în special instrumente generative de inteligență artificială, iar un grup ar fi amplificat informațiile divulgate prin intermediul chatboților cu inteligență artificială în urma unei campanii de hacking și divulgare care a vizat datele sensibile ale jurnaliștilor în iulie 2025.

Atacurile terților asupra lanțului de aprovizionare prezintă riscuri din ce în ce mai mari

Atacurile din partea terților au loc atunci când actorii amenințători compromit partenerii din lanțul de aprovizionare, vânzătorii sau furnizorii de software și profită de acest acces pentru a se infiltra în rețelele organizațiilor vizate. Aceste atacuri se propagă frecvent în cascadă prin sisteme interconectate, afectând mai multe entități din aval și clienți care depind de software-ul sau serviciile compromise. Datele recente privind informațiile referitoare la amenințări evidențiază o creștere a criminalității informatice motivate financiar care vizează furnizorii de software ca puncte de intrare inițiale în ecosisteme corporative mai largi.

Prin încălcarea furnizorilor terți, atacatorii pot ocoli apărarea perimetrală tradițională și pot obține acces privilegiat la medii de afaceri sensibile. Acești actori amenințători exploatează frecvent mediile găzduite, cum ar fi platformele cloud și ecosistemele software-as-a-service, deplasându-se lateral printre instanțele clienților, culegând acreditările și exfiltrând date de proprietate la scară largă. Această tactică permite un impact pe scară largă, în special atunci când furnizorii deservesc mai mulți clienți din industrii diferite.

Compromiterea lanțului de aprovizionare al terților a devenit unul dintre cei mai costisitori și persistenți vectori de amenințare cibernetică cu care se confruntă organizațiile în prezent. Date recente indică faptul că aceste încălcări generează un cost mediu de aproape cinci milioane de dolari și necesită perioade mai lungi pentru a fi identificate și limitate decât orice altă formă de intruziune cibernetică. Complexitatea relațiilor cu furnizorii și perioadele lungi de așteptare contribuie la întârzierea eforturilor de răspuns și la creșterea expunerii organizațiilor afectate.

Recomandări esențiale pentru reziliența cibernetică

Menținerea unui program de securitate cibernetică cuprinzător, bazat pe riscuri, rămâne cea mai eficientă apărare împotriva amenințărilor cibernetice în continuă evoluție. Organizațiile ar trebui să acorde prioritate pregătirii pentru răspunsul la incidente prin desfășurarea de exerciții de masă la care să participe directori-cheie, reprezentanți ai consiliului de administrație și șefi de departamente pentru a valida rolurile, procedurile de escaladare și cadrele decizionale. Aceste exerciții ar trebui să includă amenințări emergente, cum ar fi utilizarea malițioasă a IA generativă, pentru a se asigura că echipele sunt pregătite pentru scenarii realiste.

Gestionarea politicilor necesită o atenție permanentă. Organizațiile trebuie să revizuiască și să actualizeze în mod regulat planurile de răspuns la incidente, procedurile de continuitate a activității și procesele de aprobare a comunicării pentru a se asigura că acestea reflectă amenințările actuale și respectă cerințele de notificare rapidă, cum ar fi cerința de notificare inițială în 24 de ore a Directivei NIS2 a Uniunii Europene și regula de divulgare în patru zile lucrătoare a SEC pentru incidente importante. Politicile actualizate ar trebui distribuite părților interesate corespunzătoare și ar trebui să abordeze toleranța la risc pentru tehnologiile emergente, cum ar fi AI generativă.

Reducerea riscurilor legate de terți necesită un control riguros al furnizorilor și garanții contractuale. Organizațiile ar trebui să efectueze analize de criticitate pentru a identifica furnizorii și componentele a căror compromitere ar cauza cel mai mare impact operațional. Principalele măsuri de protecție includ solicitarea de atestare de către furnizori a practicilor de dezvoltare de software securizat, punerea în aplicare a unor protecții contractuale solide, cu cerințe de notificare promptă a incidentelor și drepturi de audit, efectuarea de evaluări periodice ale practicilor de securitate ale furnizorilor și testarea eforturilor de răspuns prin exerciții de masă care implică scenarii ale furnizorilor terți.

Procesele de gestionare a vulnerabilităților trebuie să fie prompte și sistematice, având în vedere frecvența patch-urilor de securitate și a exploatărilor. Organizațiile ar trebui să mențină procese documentate pentru a identifica, evalua, prioritiza, remedia și urmări vulnerabilitățile, atribuind în același timp o responsabilitate clară și termene limită pentru activitățile de remediere. Implementarea instrumentelor de monitorizare continuă și de gestionare proactivă a patch-urilor, care produc jurnale verificabile, permite organizațiilor să abordeze vulnerabilitățile înainte ca actorii amenințători să le poată exploata.

În cele din urmă, implicarea în grupurile industriale și informarea cu privire la actualizările în materie de reglementare și de aplicare a legii consolidează poziția de securitate a organizației. În ciuda incertitudinii juridice recente privind schimbul de informații privind securitatea cibernetică, ca urmare a expirării anumitor dispoziții legale, schimbul de informații coordonat și în timp util rămâne vital. Organizațiile ar trebui să se alăture grupurilor de securitate cibernetică specifice sectorului pentru a rămâne informate cu privire la amenințările specifice sectorului și la cele mai bune practici, monitorizând în același timp actualizările agențiilor guvernamentale și abonându-se la buletinele de informații privind amenințările emise de autoritățile de aplicare a legii.

Deși eliminarea completă a riscului cibernetic rămâne imposibilă, prioritizarea pregătirii de răspuns la incidente și a respectării reglementărilor consolidează rezistența tehnică și poziționează organizațiile mai favorabil, atât din punct de vedere operațional, cât și juridic, atunci când acestea devin inevitabil ținte ale atacurilor cibernetice.

Sursă: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know