Zpět na domů

Kyberútoky 2025: 400k alertů MDR Kaspersky

Zpráva Kaspersky analyzuje 400 000 alertů MDR za 2025: snížení vysoce kritických incidentů na 3,8%, top vektory — veřejné apps a dodavatelé. Odhaleny RCE v SAP/Oracle, LOLBins jako PowerShell, problémy SOC-pokrytí 43%. Doporučení k patchování a monitorování.

400 000 alertů: anatomie kyberútoků 2025 Kaspersky
Advertisement 728x90

Kyberhrozby 2025: analýza 400 000 upozornění MDR od Kaspersky

Služby MDR, Incident Response a Compromise Assessment od Kaspersky zpracovaly data 200 000 firemních klientů. V roce 2025 bylo zaznamenáno 400 000 upozornění. Umělá inteligence automaticky uzavřela 95 000 (24 %), analytici SOC filtrovali 87 % ze zbývajících 300 000. K klientům se dostalo 21 000 incidentů.

Čas reakce: 42 minut pro vysoce kritické, 33 minut pro střední, 31 minut pro nízké. Ukazatel se zlepšil o 22 % oproti roku 2024 díky automatizaci.

Dynamika kriticity incidentů

Podíl vysoce kritických incidentů klesá šestý rok v řadě: z 14,3 % v roce 2021 na 3,8 % v roce 2025. MDR odhaloval až tři takové případy denně. 97 % incidentů má střední nebo nízkou kritičnost, převážně od automatizovaného škodlivého softwaru a oportunistických útoků.

Google AdInline article slot

Útoky řízené lidmi jsou procentuálně méně časté, ale zůstávají nejnebezpečnější. Úspěšné zastavení v raných fázích vysvětluje trend poklesu kriticity.

Nejvíce ohrožené odvětví

Top 3 odvětví podle podílu incidentů:

  • Veřejná správa — 19 %
  • Průmysl — 17 %
  • IT — 15 % (předstihlo finance)

V IT sektoru je podíl kritických incidentů 4,9 %, ve veřejné správě 4,3 % (nad průměrem). Růst útoků na IT souvisí s kompromitací dodavatelských řetězců: hackování servisních poskytovatelů a integrátorů pro přístup k klientům. Zaznamenány případy řetězené kompromitace více organizací.

Google AdInline article slot

Počáteční vektory přístupu

Podle Incident Response:

  • Zneužití veřejných aplikací — 43,7 %
  • Kompromitované přihlašovací údaje — 25,4 %
  • Důvěryhodné vztahy (dodavatelé) — 15,5 %

Phishing vypadl z top 3 v roce 2023, nyní se používá v řetězcích. Útoky přes dodavatele jsou trendem od roku 2023: hackování špatně chráněných firem s dálkovým přístupem k klientům, provoz vypadá legitimně.

Důsledky úspěšných útoků

Šifrování dat — 39 % škodlivých incidentů. Dále: upevnění pro dopad (12 %), exfiltrace přes web (7 %).

Google AdInline article slot

Rozdíly podle času odhalení:

  • Po škoda: šifrování, mazání dat, zastavení služeb.
  • Před škodou: upevnění, kompromitace Active Directory.

Doba přetrvávání závisí na zralosti monitoringu, ne na vektoru.

Zneužívané zranitelnosti

50 % zranitelností v Incident Response je RCE, často bez autentizace. Top:

  • CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) — nahrávání souborů bez autorizace
  • CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) — nebezpečná deserializace, RCE
  • CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) — ovládnutí služby bez autentizace
  • CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) — obcházení autentizace

Třetina zranitelností pochází z roku 2021, ProxyLogon v Exchange je aktuální po čtyřech letech. Hacky přes známé díry s patchemi.

Nástroje útočníků

LOLBins ve vysoce kritických incidentech MDR:

| Nástroj | Podíl |

|---------|-------|

| powershell.exe | 14,4 % |

| rundll32.exe | 5,9 % |

| mshta.exe | 3,8 % |

| comsvcs.dll | 3,0 % |

| msedge.exe | 2,7 % |

mshta.exe vzrostl kvůli falešným CAPTCHA. Specializované: Mimikatz (14,3 %), PowerShell (8,1 %), PsExec/AnyDesk (7,5 %). Případ: DLL Hijacking přes MPDefender.exe.

Problémy SOC

Pokrytí zdrojů pravidly — průměrně 43 %, při 50+ zdrojích — 30 %. Problémy:

  • Zhoršování pokrytí kvůli chybějící kontrole.
  • Dodavatelská pravidla bez úpravy — falešné poplachy.
  • Nevyvážený sběr bez detekce (síť, DB, web).

Nové techniky 2025

T1568 Dynamic Resolution v top 10 podle konverze (23 %): DGA, Fast Flux DNS. Případ: zneužití rezervace URL v HTTP.sys pro skrytý C2, provoz jako Exchange.

Co je důležité

  • Vysoce kritické incidenty — 3,8 %, ale MDR je zastavuje před škodou.
  • Top vektory: veřejné appky (43,7 %), účty (25,4 %), dodavatelé (15,5 %).
  • Zranitelnosti: 50 % RCE, třetina z roku 2021, patche existují.
  • SOC pokrývá 43 % dat, degradace je klíčové riziko.
  • IT sektor v top 3 (15 %), útoky přes dodavatelské řetězce.

— Editorial Team

Advertisement 728x90

Číst dál