A Sophos kiadta a 2025-ös Éves Fenyegetettségi Jelentését ( Threat Report), amely kiemeli a 2024-ben a kis és középvállalkozásokat érő legnagyobb fenyegetéseket. A Sophos Incident Response (IR) és a Sophos Managed Detection and Response (MDR) esetei alapján a támadók leggyakrabban hálózati éleszközökön például tűzfalakon, routereken és VPN-eken keresztül jutottak be a hálózatokba. Ezek az eszközök az elsődleges veszélyeztetett pontot jelentették az esetek közel 30 százalékában.
A VPN-nel rendelkező tűzfalak különösen sebezhetők. A VPN-ek voltak a leggyakoribb veszélyeztetett pontok az MDR és IR esetekben, az összes incidens több mint 25%-át, valamint a zsarolóvírusos és adatlopási események 25%-át is ezek tették ki.
Sean Gallagher, a Sophos vezető fenyegetéskutatója szerint:
„Az elmúlt néhány évben a támadók kifejezetten intenzíven célozták meg a hálózati éleszközöket. A helyzetet tovább súlyosbítja az egyre nagyobb számban előforduló, már életciklusuk végén járó (EOL – End of Life) eszközök jelenléte – ezt a problémát nevezi a Sophos digitális hulladéknak. Mivel ezek az eszközök közvetlenül ki vannak téve az internet felé, és gyakran alacsony prioritást élveznek a frissítések szempontjából, rendkívül hatékony eszközei a hálózatokba való betörésnek.
Ugyanakkor az éleszközök célba vétele része annak a nagyobb változásnak, amelyet jelenleg is tapasztalunk: a támadóknak már nincs szükségük egyedi kártevők telepítésére. Ehelyett a vállalkozások saját rendszereit használják ki, ami növeli a mozgékonyságukat, és lehetővé teszi számukra, hogy olyan helyeken rejtőzzenek el, ahol a biztonsági vezetők nem keresnek.”
A jelentés további kulcsfontosságú megállapításai a következők:
– A zsarolóvírus továbbra is a legnagyobb fenyegetés: A zsarolóvírusos támadások tették ki az incidenskezelési (IR) esetek több mint 90%-át a közepes méretű szervezeteknél, és az esetek 70%-át a kisvállalkozásoknál.
– Az MFA már nem elegendő: A támadók képesek megkerülni a többfaktoros hitelesítést (MFA) úgynevezett adversary-in-the-middle típusú támadásokkal, ahol hitelesítési tokeneket lopnak el. Ilyenkor egy adathalász platform segítségével utánozzák a bejelentkezési folyamatot, és megszerzik a hitelesítő adatokat, miközben az áldozat megpróbál belépni.
– A támadók kedvelik a kereskedelmi távvezérlő eszközöket: A leggyakrabban visszaélt, legitim és megbízható eszközök a kereskedelmi távvezérlési megoldások voltak, amelyek az IR/MDR esetek 34%-ában szerepeltek.
– A támadók fejlesztik a social engineering taktikáikat: Előtérbe kerül a QR-kódokkal való visszaélés (quishing) és az SMS-alapú csalás (vishing). Emellett megjelent az email bombing is – ez a módszer során egy-két órán belül több ezer spam e-mailt küldenek el az áldozatnak.
