Actorii malware continuă să prioritizeze exploatarea vulnerabilităților software în detrimentul manipulării utilizatorilor, conform noilor date de la echipa de intelligence pentru amenințări Talos a, deși ambele tactici rămân arme puternice în arsenalul infractorilor cibernetici.
În raportul trimestrial pentru T4 2025 publicat joi, Talos a constatat că exploatarea aplicațiilor publice a reprezentat aproape 40 la sută din toate angajamentele de răspuns la incidente—o scădere de la 62 la sută în T3, dar totuși metoda dominantă de acces inițial. Scăderea a urmat unui val de atacuri ToolShell care vizau servere SharePoint și care determinaseră rate mai ridicate de exploatare în trimestrul precedent.
Vulnerabilități critice exploatate rapid
Activitatea de exploatare din acest trimestru s-a concentrat pe vulnerabilitățile din Oracle E-Business Suite (CVE-2025-61882) și React Server Components, cunoscute sub numele de React2Shell (CVE-2025-55182). În ambele cazuri, actorii de amenințare au acționat rapid după dezvăluirea publică a defectelor.
„Activitatea de exploatare a avut loc aproximativ în momentul în care vulnerabilitatea a devenit publică, demonstrând viteza actorilor în a profita de aceste oportunități”, au scris cercetătorii Talos. Un atacator a exploatat vulnerabilitatea Oracle într-o aparentă „campanie la scară largă care viza șantajarea directorilor executivi”.
Talos a observat de asemenea implanturi asociate anterior cu grupuri de amenințări persistente avansate, inclusiv implantul BadCandy care vizează dispozitivele Cisco IOS XE.
Atacuri de phishing vizează organizații tribale
Phishing-ul s-a clasat pe locul al doilea printre metodele de acces inițial, Talos documentând o campanie neobișnuită care vizează organizații tribale ale amerindienilor—o comunitate de victime care apare rareori în rapoartele de informații despre amenințări.
Atacatorii au folosit conturi de e-mail și site-uri web compromise pentru a distribui momeli de phishing cu tema instruirii privind hărțuirea sexuală. Odată intrați în sistem, au exploatat credențialele furate pentru a propaga ulterior atacuri de phishing atât intern, cât și extern. Talos a îndemnat organizațiile tribale să „fie deosebit de vigilente cu privire la această amenințare, examinând cu atenție toate e-mailurile și notificările MFA”.
Ransomware-ul în declin, Qilin rămâne dominant
Incidentele de tip ransomware au scăzut la 13 la sută din intervenții în T4, de la 20 la sută în T3 și aproape 50 la sută în prima jumătate a anului 2025. De remarcat că Talos nu a răspuns la nicio variantă de ransomware nevăzută anterior.
Gruparea de ransomware Qilin „rămâne dominantă și a fost observată în majoritatea atacurilor ransomware”, continuând o tendință din ultimele trimestre. Talos a întâlnit, de asemenea, ransomware-ul DragonForce, pe care cercetătorii au spus că nu l-au mai văzut „de peste un an”.
Agențiile guvernamentale au rămas sectorul cel mai vizat, urmat de telecomunicații, educație și sănătate. Talos a recomandat organizațiilor să aplice în mod regulat patch-uri pentru sisteme, să activeze jurnalizarea robustă, să practice răspunsul rapid și să implementeze politici puternice de autentificare cu mai mulți factori.
Surse:
https://www.cybersecuritydive.com/news/cisco-threat-report-exploitation-phishing/810977/
https://www.theregister.com/2026/01/29/faster_patching_please_cry_infoseccers/