Powrót do strony głównej

Cyberataki 2025: 400k alertów MDR Kaspersky

Raport Kaspersky analizuje 400 000 alertów MDR za 2025: spadek wysokokrytycznych incydentów do 3,8%, top wektory — publiczne apps i podwykonawcy. Wykryto RCE w SAP/Oracle, LOLBins jak PowerShell, problemy SOC-pokrycia 43%. Rekomendacje dotyczące łatania i monitoringu.

400 000 alertów: anatomia cyberataków 2025 Kaspersky
Advertisement 728x90

# Cyberzagrożenia 2025: analiza 400 000 alertów MDR od Kaspersky

Usługi MDR, Incident Response i Compromise Assessment Kaspersky przetworzyły dane 200 000 klientów korporacyjnych. W 2025 roku zarejestrowano 400 000 alertów. Sztuczna inteligencja automatycznie zamknęła 95 000 (24%), analitycy SOC odfiltrowali 87% z pozostałych 300 000. Do klientów dotarło 21 000 incydentów.

Czas reakcji: 42 minuty dla krytycznych, 33 minuty dla średnich, 31 minuta dla niskich. Wskaźnik poprawił się o 22% w porównaniu z 2024 rokiem dzięki automatyzacji.

Dynamika krytyczności incydentów

Udział incydentów krytycznych spada szósty rok z rzędu: z 14,3% w 2021 do 3,8% w 2025. MDR wykrywał do trzech takich przypadków dziennie. 97% incydentów to średnia i niska krytyczność, głównie od zautomatyzowanego złośliwego oprogramowania i oportunistycznych ataków.

Google AdInline article slot

Ataki sterowane przez człowieka rzadziej procentowo, ale pozostają najbardziej niebezpieczne. Skuteczne zatrzymywanie na wczesnych etapach wyjaśnia trend spadkowy krytyczności.

Najbardziej narażone branże

Top-3 branże pod względem udziału incydentów:

  • Sektor publiczny — 19%
  • Przemysł — 17%
  • IT — 15% (wyprzedził finanse)

W sektorze IT udział incydentów krytycznych — 4,9%, w sektorze publicznym — 4,3% (powyżej średniej). Wzrost ataków na IT wiąże się z kompromitacją łańcuchów dostaw: hakowanie dostawców usług i integratorów w celu dostępu do klientów. Zarejestrowano przypadki sekwencyjnej kompromitacji kilku organizacji.

Google AdInline article slot

Początkowe wektory dostępu

Według Incident Response:

  • Wykorzystanie publicznych aplikacji — 43,7%
  • Sfałszowane dane logowania — 25,4%
  • Relacje zaufane (podwykonawcy) — 15,5%

Phishing wypadł z top-3 w 2023 roku, teraz używany w łańcuchach. Ataki przez podwykonawców to trend od 2023: hakowanie słabo chronionych firm z zdalnym dostępem do klientów, ruch wygląda na legalny.

Skutki udanych ataków

Szyfrowanie danych — 39% incydentów z szkodami. Dalej: umocowanie w celu wpływu (12%), exfiltracja przez web (7%).

Google AdInline article slot

Różnice w czasie wykrycia:

  • Po szkodach: szyfrowanie, niszczenie danych, zatrzymanie usług.
  • Przed szkodami: umocowanie, kompromitacja Active Directory.

Czas pobytu zależy od dojrzałości monitoringu, a nie wektora.

Wykorzystywane luki

50% luk w Incident Response to RCE, często bez uwierzytelniania. Top:

  • CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) — ładowanie plików bez autoryzacji
  • CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) — niebezpieczna deserializacja, RCE
  • CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) — przejęcie usługi bez uwierzytelniania
  • CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) — obejście uwierzytelniania

1/3 luk z 2021 roku, ProxyLogon w Exchange aktualny po czterech latach. Włamania przez znane dziury z łatami.

Narzędzia atakujących

LOLBins w krytycznych incydentach MDR:

| Narzędzie | Udział |

|-----------|--------|

| powershell.exe | 14,4% |

| rundll32.exe | 5,9% |

| mshta.exe | 3,8% |

| comsvcs.dll | 3,0% |

| msedge.exe | 2,7% |

mshta.exe wzrósł przez fałszywe CAPTCHA. Specjalistyczne: Mimikatz (14,3%), PowerShell (8,1%), PsExec/AnyDesk (7,5%). Przypadek: DLL Hijacking przez MPDefender.exe.

Problemy SOC

Pokrycie źródeł regułami — 43% średnio, przy 50+ źródłach — 30%. Problemy:

  • Degradacja pokrycia z braku kontroli.
  • Reguły vendorów bez adaptacji — fałszywe alarmy.
  • Nierównomierny zbiór bez detekcji (sieć, BD, web).

Nowe techniki 2025

T1568 Dynamic Resolution w top-10 po konwersji (23%): DGA, Fast Flux DNS. Przypadek: nadużycie rezerwacji URL w HTTP.sys do ukrytego C2, ruch jak Exchange.

Co najważniejsze

  • Incydenty krytyczne — 3,8%, ale MDR zatrzymuje przed szkodami.
  • Top wektory: publiczne aplikacje (43,7%), konta (25,4%), podwykonawcy (15,5%).
  • Luki: 50% RCE, 1/3 z 2021, łatki dostępne.
  • SOC pokrywa 43% danych, degradacja to kluczowe ryzyko.
  • Sektor IT w top-3 (15%), ataki przez łańcuchy dostaw.

— Editorial Team

Advertisement 728x90

Czytaj dalej