Σύνοψη
- Η δοκιμή πιθανών κωδικών πρόσβασης αποτελεί την πιο αποτελεσματική τακτική με ποσοστό μετατροπής 34,8%.
- Οι επιτιθέμενοι αποφεύγουν τη χρήση κακόβουλου λογισμικού για να μην ενεργοποιήσουν τις λύσεις προστασίας τερματικών συσκευών.
- Η δημιουργία τοπικών λογαριασμών (34,7%) και η κατάχρηση έγκυρων λογαριασμών (34,5%) ακολουθούν σε συχνότητα.
- Οι κυβερνοεγκληματίες εκμεταλλεύονται νόμιμα διαπιστευτήρια και δικαιώματα πρόσβασης για να παραμένουν απαρατήρητοι.
Η κατάχρηση διαπιστευτηρίων παραμένει το ισχυρότερο όπλο των κυβερνοεγκληματιών, παρά τα αυστηρά μέτρα ασφαλείας, σύμφωνα με την παγκόσμια έκθεση της Kaspersky. Οι δράστες αποφεύγουν όλο και περισσότερο τη χρήση κακόβουλου λογισμικού, το οποίο μπορεί να εντοπιστεί ευκολότερα και να ενεργοποιήσει τις λύσεις προστασίας τερματικών συσκευών. Αντίθετα, προτιμούν να εκμεταλλεύονται νόμιμα διαπιστευτήρια και υφιστάμενα δικαιώματα πρόσβασης. Αυτή η προσέγγιση τους επιτρέπει να παραμένουν απαρατήρητοι και να αποφεύγουν τον εντοπισμό.
Η έκθεση «Anatomy of a Cyber World» αποτελεί μια αναλυτική παγκόσμια μελέτη, η οποία βασίζεται σε δεδομένα που συλλέχθηκαν το 2025 από τις υπηρεσίες Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment και SOC Consulting της Kaspersky. Η μελέτη εξετάζει τις συχνότερες τεχνικές, τα εργαλεία και τα σενάρια εντοπισμού που αξιοποιούν οι κυβερνοεγκληματίες. Παράλληλα, αναδεικνύει τα ιδιαίτερα χαρακτηριστικά των περιστατικών ασφαλείας που εντοπίστηκαν κατά την περίοδο αναφοράς. Σύμφωνα με τα ευρήματα, σημαντικό ποσοστό των τεχνικών επίθεσης που εντοπίζονται και παρακολουθούνται συστηματικά σχετίζεται άμεσα με τη διαχείριση λογαριασμών, διαπιστευτηρίων και ψηφιακών ταυτοτήτων.
Ποιες ήταν οι επικρατέστερες τακτικές κυβερνοεπιθέσεων το 2025;
Οι πιο αποτελεσματικές τακτικές των κυβερνοεγκληματιών το 2025 βασίστηκαν στη διαχείριση λογαριασμών και ψηφιακών ταυτοτήτων, εγκαταλείποντας τις εύκολα ανιχνεύσιμες επιθέσεις malware. Το υψηλότερο ποσοστό μετατροπής κατέγραψε η δοκιμή κωδικών πρόσβασης (34,8%), ακολουθούμενη από τη δημιουργία τοπικών λογαριασμών (34,7%) και την κατάχρηση έγκυρων λογαριασμών (34,5%).
Με βάση την αξιολόγηση των ποσοστών μετατροπής των διαφόρων Δεικτών Επίθεσης (Indicators of Attack - IoA), η ανάλυση κατατάσσει τις επικρατέστερες τακτικές:
- Δοκιμή διαφορετικών κωδικών πρόσβασης (Password Guessing) – 34,8%: Η τεχνική αυτή βασίζεται στη συστηματική δοκιμή διαφορετικών κωδικών πρόσβασης μέχρι οι επιτιθέμενοι να αποκτήσουν επιτυχώς πρόσβαση σε έναν λογαριασμό. Καταγράφει το υψηλότερο ποσοστό μετατροπής και εμφανίζεται τόσο σε πραγματικές επιθέσεις όσο και σε εξουσιοδοτημένες αξιολογήσεις ασφαλείας. Το γεγονός αυτό την καθιστά μια επίμονη απειλή στο σημερινό τοπίο της κυβερνοασφάλειας. Οι οργανισμοί που βασίζονται σε αδύναμους ή επαναχρησιμοποιούμενους κωδικούς πρόσβασης εξακολουθούν να διευκολύνουν την εφαρμογή αυτής της παλιάς αλλά αποτελεσματικής στρατηγικής.
- Δημιουργία τοπικών λογαριασμών (Local Account Creation) – 34,7%: Μόλις αποκτήσουν πρόσβαση σε ένα σύστημα, οι επιτιθέμενοι δημιουργούν συχνά νέους τοπικούς λογαριασμούς. Στόχος τους είναι να διατηρήσουν την πρόσβασή τους ακόμη και αν το αρχικό σημείο εισόδου εντοπιστεί και εξουδετερωθεί. Η τεχνική αυτή παρατηρείται συχνά κατά τη διάρκεια ασκήσεων ασφαλείας. Μπορεί να εντοπιστεί μόνο εφόσον υπάρχουν τα κατάλληλα δεδομένα τηλεμετρίας, τα οποία συχνά δεν είναι διαθέσιμα.
- Κατάχρηση έγκυρων λογαριασμών (Valid Account Abuse) – 34,5%: Αντί να αναπτύσσουν κακόβουλο λογισμικό, οι επιτιθέμενοι συνδέονται σε συστήματα χρησιμοποιώντας κλεμμένα ή παραβιασμένα διαπιστευτήρια. Με αυτόν τον τρόπο ενσωματώνονται στην καθημερινή δραστηριότητα των χρηστών. Αυτό καθιστά τον εντοπισμό τους ιδιαίτερα δύσκολο, καθώς η ίδια η πρόσβαση φαίνεται απολύτως νόμιμη. Το υψηλό ποσοστό επιτυχίας της τεχνικής αυτής υπογραμμίζει γιατί τα παραβιασμένα διαπιστευτήρια εξακολουθούν να αποτελούν έναν από τους πιο επικίνδυνους φορείς κυβερνοεπιθέσεων.
- Παραποίηση λογαριασμών (Account Manipulation) – 32%: Οι δράστες τροποποιούν υπάρχοντες λογαριασμούς προκειμένου να διευρύνουν την πρόσβασή τους. Αυτό επιτυγχάνεται ενεργοποιώντας ανενεργούς λογαριασμούς, αλλάζοντας τη συμμετοχή χρηστών σε ομάδες ή αποκτώντας αυξημένα δικαιώματα πρόσβασης. Η πρακτική αυτή επιβεβαιώνει μια ευρύτερη τάση, όπου αντί να εισάγουν νέα εργαλεία, οι δράστες αξιοποιούν και επεκτείνουν τις δυνατότητες που ήδη υπάρχουν στο περιβάλλον του οργανισμού.
- Ανακάλυψη υπηρεσιών δικτύου (Network Service Discovery) – 31,2%: Πριν προχωρήσουν σε βαθύτερη διείσδυση σε ένα δίκτυο, οι επιτιθέμενοι αναζητούν συνήθως διαθέσιμες υπηρεσίες και συστήματα στα οποία μπορούν να αποκτήσουν πρόσβαση. Το στάδιο αυτό λειτουργεί ως προάγγελος επόμενων ενεργειών, όπως η πλευρική κίνηση (lateral movement) και η περαιτέρω εκμετάλλευση συστημάτων. Η έγκαιρη ανίχνευσή του προσφέρει στις ομάδες ασφαλείας πολύτιμο χρόνο για να αναλάβουν δράση.
Πρόληψη και αντιμετώπιση στο σύγχρονο τοπίο
Η έκθεση κατατάσσει τις τεχνικές των επιτιθέμενων με βάση το πόσο συχνά οι παρατηρούμενες ενέργειες κατέληξαν σε επιβεβαιωμένα περιστατικά κακόβουλης δραστηριότητας. Παρότι το πλαίσιο MITRE ATT&CK περιλαμβάνει ένα ευρύ φάσμα τεχνικών που χρησιμοποιούν οι κυβερνοεγκληματίες, οι ειδικοί της Kaspersky τονίζουν ότι η αποτελεσματική ανίχνευση προϋποθέτει την ιεράρχηση των συμπεριφορών που έχουν τη μεγαλύτερη πιθανότητα να υποδηλώνουν κακόβουλη πρόθεση. Αυτό πρέπει να γίνεται χωρίς να αυξάνεται υπερβολικά ο αριθμός των ψευδώς θετικών ευρημάτων.
Ο Sergey Soldatov, επικεφαλής του Security Operations Center (SOC) της Kaspersky, υπογραμμίζει πως οι κυβερνοεγκληματίες δεν χρειάζονται πάντοτε εξελιγμένο κακόβουλο λογισμικό για να επιτύχουν τους στόχους τους. Σύμφωνα με τον ίδιο, τα νόμιμα εργαλεία διαχείρισης συστημάτων και οι παραβιασμένοι λογαριασμοί εξακολουθούν να αποτελούν τον ταχύτερο και αποτελεσματικότερο τρόπο διείσδυσης στο εσωτερικό ενός οργανισμού, χωρίς να γίνονται αντιληπτοί. Η διαχρονικότητα αυτών των τεχνικών αποδεικνύει ότι είναι απαραίτητο οι οργανισμοί να έχουν μια ολοκληρωμένη εικόνα της συμπεριφοράς των επιτιθέμενων. Εξίσου σημαντική είναι και η δυνατότητα συσχέτισης ύποπτων δραστηριοτήτων σε διαφορετικά στάδια μιας επίθεσης.
Για την αντιμετώπιση αυτών των προκλήσεων, οι επιχειρήσεις μπορούν να ενισχύσουν την ασφάλειά τους με λύσεις όπως οι Kaspersky Managed Detection and Response και Incident Response. Οι λύσεις αυτές καλύπτουν ολόκληρο τον κύκλο διαχείρισης περιστατικών, από την ανίχνευση απειλών έως τη συνεχή προστασία και την αποκατάσταση.
