2025 Trendi kibernetskih incidentov: Kaj morajo podjetja vedeti

Področje kibernetske varnosti se še naprej razvija z zaskrbljujočo hitrostjo, saj zlonamerni akterji uporabljajo vse bolj izpopolnjene tehnike, da bi onemogočili delovanje organizacij v vseh sektorjih. Od vdorov, ki jih poganja umetna inteligenca, do okrepljenih kampanj nacionalnih držav se podjetja soočajo z izzivi brez primere pri zaščiti svojih digitalnih sredstev in ohranjanju operativne odpornosti. Razumevanje teh nastajajočih groženj in izvajanje zanesljivih obrambnih strategij je postalo ključnega pomena za preživetje organizacij v današnjem povezanem digitalnem ekosistemu.

Umetna inteligenca spreminja metode kibernetskih napadov

Umetna inteligenca je temeljito spremenila način, kako akterji groženj izvajajo kibernetske operacije. Nedavni podatki razkrivajo, da približno šestnajst odstotkov prijavljenih kibernetskih incidentov zdaj vključuje napadalce, ki za izvajanje zapletenih kampanj socialnega inženiringa uporabljajo orodja umetne inteligence, zlasti modele za ustvarjanje slik in jezikov. Generativna umetna inteligenca je z ustvarjanjem prepričljivejših prevar in omogočanjem obsežne avtomatizacije orodij za vdore močno povečala učinkovitost napadov.

Grožnje uporabljajo tehnologijo umetne inteligence na več nevarnih načinov. Tehnologija Deepfake kriminalcem omogoča ustvarjanje realističnih zvočnih in video upodobitev vodilnih delavcev in podpornega osebja, ki jih uporabljajo za odobritev goljufivih bančnih nakazil, krajo uporabniških poverilnic in ogrožanje računov. V enem od še posebej uničujočih incidentov so napadalci z uporabo javno dostopnih posnetkov ustvarili prepričljive deepfake videoposnetke finančnega direktorja in zaposlenih v podjetju ter žrtev uspešno prevarali, da je kriminalcem nakazala več kot petindvajset milijonov dolarjev.

Glasovno ribarjenje (angl. voice phishing,"vishing" ) je še en vektor grožnje, ki ga je okrepila umetna inteligenca. Napadalci v ciljno usmerjenih telefonskih kampanjah uporabljajo skripte in glasovne klone, ki jih ustvarja umetna inteligenca, da bi žrtve prepričali v prenos zlonamernih bremen, vzpostavitev seje oddaljene podpore ali razkritje prijavnih podatkov. Poleg tega akterji groženj uporabljajo generativna orodja umetne inteligence za izdelavo zelo prilagojenih lažnih elektronskih sporočil in besedilnih sporočil, ki vključujejo kontekstualne podrobnosti in vzorce naravnega jezika, kar znatno poveča verjetnost, da bodo žrtve kliknile zlonamerne povezave in izdale svoje poverilnice.

Napadi z izsiljevalsko programsko opremo postajajo vse agresivnejši in dražji

Ransomware še naprej nadleguje organizacije v vseh industrijskih sektorjih, pri čemer nedavna poročila kažejo na dvanajstodstotno povečanje števila kršitev, povezanih z izsiljevalsko programsko opremo, v primerjavi z letom poprej. Napadalci uporabljajo vse bolj agresivne tehnike izsiljevanja in vse bolj izpopolnjena orodja, da bi povečali pritisk na žrtve. Sodobne kampanje izsiljevalske programske opreme združujejo tradicionalno šifriranje podatkov z motečimi taktikami, vključno z nadlegovanjem zaposlenih in grožnjami kritičnim operacijam, kar povzroča daljše izpade in bistveno višje stroške obnove.

V zadnjem času se je na naslovnicah pojavilo več pomembnih skupin izsiljevalske programske opreme. Skupina groženj Scattered Spider se je ponovno pojavila z uporabo naprednih tehnik socialnega inženiringa za pridobitev začetnega dostopa do organizacij v različnih panogah. Medtem se je v začetku leta 2025 ponovno pojavila izsiljevalska programska oprema LockBit s posodobljenim naborom orodij LockBit 4.0 in začela agresivne izsiljevalske kampanje, usmerjene zlasti v zasebni sektor v Združenih državah Amerike.

Zanimivo je, da se odzivi organizacij na napade z izsiljevalsko programsko opremo spreminjajo. Nedavna raziskava v panogi kaže, da je približno triinšestdeset odstotkov anketiranih organizacij v zadnjem letu zavrnilo plačilo odkupnine, kar je več kot leta 2024, ko jih je bilo devetinpetdeset odstotkov. Ta trend kaže na vse večji odpor proti zahtevam kriminalnih izsiljevalcev, čeprav poudarja tudi potrebo po zanesljivih zmogljivostih varnostnega kopiranja in obnovitve, ki organizacijam omogočajo obnovitev delovanja, ne da bi se vdale napadalcem.

Grožnje nacionalnih držav se krepijo ob geopolitičnih napetostih

Nacionalno-državni akterji so močno okrepili svoje kibernetske operacije, katerih tarča so telekomunikacijska infrastruktura, kritični sistemi in strateški tretji ponudniki storitev. Te prefinjene kampanje običajno uporabljajo tehnike kibernetskega vohunjenja in napredne taktike zavajanja, da bi ukradli uporabniške poverilnice ter pridobili nepooblaščen dostop do občutljivih omrežij in podatkov.

Skupine nevarnih akterjev s sedežem na Kitajskem so v zadnjem letu močno okrepile svoje dejavnosti, pri čemer so nekatere ciljne panoge v primerjavi s prejšnjim letom doživele dvesto do tristoodstotni porast napadov. Svetovno pozornost sta pritegnili dve odmevni kampanji vdorov: Salt Tajfun in Volt Tajfun. Operacija Salt Typhoon je v okviru obsežne kibernetske vohunske kampanje uspešno prodrla v velika telekomunikacijska omrežja, operacija Volt Typhoon pa je vključevala predhodno namestitev zlonamerne kode v sisteme kritične infrastrukture, kar je vzbudilo resne pomisleke glede morebitne eskalacije v fizično škodo ali obsežne motnje.

Z nacionalno državo povezani akterji so poleg tehničnih vdorov uporabljali tudi taktike socialnega inženiringa. S Severno Korejo povezani akterji so se v ameriška podjetja infiltrirali s ponarejanjem dokumentacije in ustvarjanjem prepričljivih profilov kandidatov, da bi si zagotovili zaposlitev na delovnih mestih za podporo IT, ki so jih nato izkoristili za pridobivanje poverilnic uporabnikov in izvajanje goljufivih finančnih transakcij. Z Iranom povezani akterji so zlasti uporabili generativna orodja umetne inteligence, pri čemer naj bi ena od skupin po kampanji vdora in uhajanja, katere cilj so bili občutljivi podatki novinarjev, julija 2025 razširila razkrite informacije prek klepetalnih robotov z umetno inteligenco.

Napadi na dobavno verigo tretjih oseb predstavljajo vse večje tveganje

Napadi tretjih oseb se zgodijo, ko akterji groženj ogrozijo partnerje v dobavni verigi, prodajalce ali ponudnike programske opreme in izkoristijo ta dostop za vdor v omrežja ciljnih organizacij. Ti napadi se pogosto kaskadno razširijo po medsebojno povezanih sistemih in vplivajo na številne subjekte in stranke, ki so odvisni od kompromitirane programske opreme ali storitev. Nedavni podatki o grožnjah opozarjajo na porast finančno motiviranega kibernetskega kriminala, katerega tarča so ponudniki programske opreme kot začetne vstopne točke v širše korporativne ekosisteme.

Z vdorom v dobavitelje tretjih oseb lahko napadalci obidejo tradicionalne obodne obrambe in pridobijo privilegiran dostop do občutljivih poslovnih okolij. Ti akterji pogosto izkoriščajo gostovana okolja, kot so platforme v oblaku in ekosistemi programske opreme kot storitve, ter se premikajo po stranskih instancah, zbirajo poverilnice in v velikem obsegu iznašajo lastniške podatke. Ta taktika omogoča obsežen vpliv, zlasti kadar prodajalci služijo več strankam v različnih panogah.

Kompromitiranje dobavne verige tretjih oseb je postalo eden najdražjih in najbolj trdovratnih vektorjev kibernetskih groženj, s katerimi se danes soočajo organizacije. Nedavni podatki kažejo, da te kršitve v povprečju stanejo skoraj pet milijonov dolarjev, za njihovo odkrivanje in preprečevanje pa je potrebno daljše obdobje kot za katero koli drugo obliko kibernetskega vdora. Zapletenost odnosov s ponudniki in daljši časi mirovanja prispevajo k zapoznelim prizadevanjem za odzivanje in večji izpostavljenosti prizadetih organizacij.

Bistvena priporočila za kibernetsko odpornost

Vzdrževanje celovitega programa kibernetske varnosti, ki temelji na tveganjih, ostaja najučinkovitejša obramba pred razvijajočimi se kibernetskimi grožnjami. Organizacije bi morale dati prednost pripravljenosti na odzivanje na incidente z izvajanjem namiznih vaj, ki vključujejo ključne vodstvene delavce, predstavnike upravnega odbora in vodje oddelkov, da se potrdijo vloge, postopki eskalacije in okviri odločanja. Te vaje bi morale vključevati nove grožnje, kot je zlonamerna uporaba generativne umetne inteligence, da se zagotovi pripravljenost ekip na realistične scenarije.

Upravljanje politik zahteva stalno pozornost. Organizacije morajo redno pregledovati in posodabljati načrte odzivanja na incidente, postopke neprekinjenega poslovanja in postopke odobritve komunikacije, da zagotovijo, da odražajo trenutne grožnje in so skladni z zahtevami za hitro obveščanje, kot sta zahteva Evropske unije po štiriindvajseturnem začetnem obveščanju iz direktive NIS2 in pravilo SEC o razkritju bistvenih incidentov v štirih delovnih dneh. Posodobljene politike je treba posredovati ustreznim zainteresiranim stranem in v njih obravnavati dopustno tveganje za nastajajoče tehnologije, kot je generativna umetna inteligenca.

Zmanjševanje tveganj tretjih oseb zahteva temeljito skrbno preverjanje prodajalcev in pogodbene zaščitne ukrepe. Organizacije bi morale izvajati analize kritičnosti, da bi opredelile prodajalce in komponente, katerih ogrožanje bi povzročilo največji operativni učinek. Ključni zaščitni ukrepi vključujejo zahtevo po potrdilih prodajalcev o varnih praksah razvoja programske opreme, izvajanje močne pogodbene zaščite z zahtevami po takojšnjem obveščanju o incidentih in revizijskih pravicah, izvajanje rednih ocen varnostnih praks prodajalcev ter testiranje odzivnih prizadevanj z namiznimi vajami, ki vključujejo scenarije tretjih dobaviteljev.

Postopki upravljanja ranljivosti morajo biti hitri in sistematični glede na pogostost varnostnih popravkov in razvoja izkoriščanj. Organizacije morajo vzdrževati dokumentirane postopke za prepoznavanje, ocenjevanje, določanje prednostnih nalog, odpravljanje in spremljanje ranljivosti, pri čemer morajo jasno določiti lastništvo in roke za dejavnosti odpravljanja ranljivosti. Izvajanje neprekinjenega spremljanja in proaktivnih orodij za upravljanje popravkov, ki ustvarjajo dnevnike, ki jih je mogoče revidirati, organizacijam omogoča odpravljanje ranljivosti, preden jih lahko akterji groženj izkoristijo.

Sodelovanje z industrijskimi skupinami in obveščanje o posodobitvah na področju predpisov in kazenskega pregona krepita varnostno držo organizacije. Kljub nedavni pravni negotovosti v zvezi z izmenjavo informacij o kibernetski varnosti po izteku veljavnosti nekaterih zakonskih določb je pravočasna in usklajena izmenjava informacij še vedno ključnega pomena. Organizacije bi se morale pridružiti panožnim skupinam za kibernetsko varnost, da bi bile obveščene o grožnjah in najboljših praksah v posameznih sektorjih, hkrati pa bi morale spremljati posodobitve vladnih agencij in se naročiti na obveščevalne biltene o grožnjah organov pregona.

Čeprav je popolno odpravljanje kibernetskega tveganja nemogoče, dajanje prednosti pripravljenosti na odzivanje na incidente in skladnosti z zakonodajo krepi tehnično odpornost in zagotavlja ugodnejši položaj organizacij z operativnega in pravnega vidika, ko neizogibno postanejo tarče kibernetskih napadov.

Vir: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know