Raportul publicat de Ontinue, companie specializată în detecție extinsă gestionată prin inteligență artificială, evidențiază o creștere semnificativă a atacurilor care ocolesc autentificarea multi-factor în prima jumătate a anului. Fenomenul este predominant în mediile cloud și în ecosistemele Azure, dar are implicații practice pentru echipele IT din retail, producție și alte companii care se bazează pe furnizori terți.
Atacatorii folosesc tot mai des reutilizarea token-urilor de tip refresh: aproximativ 20% dintre incidentele aflate în curs au implicat exploatarea tokenurilor furate pentru a bypass-a MFA, chiar și după resetarea parolelor. Pe scurt, resetarea parolei nu mai oferă acea garanție simplă; cine deține refresh tokenul poate reveni rapid. În același timp, ransomware-ul rămâne o amenințare majoră, dar tacticile s-au orientat către compromiterea identităților în cloud și persistența în mediile Azure, adică nu doar acces, ci și menținerea prezenței.
Un alt aspect notabil este legat de vectorii de livrare: peste 70% din atașamentele care au trecut de gateway-urile de email securizate erau în formate neobișnuite precum SVG sau IMG, nu în formate Office clasice. Asta indică faptul că filtrele bazate pe modele vechi pot lăsa breșe. De asemenea, Ontinue raportat o creștere de 27% a malware-ului transmis prin USB față de sfârșitul lui 2024, semnalând că dispozitivele detașabile rămân o vulnerabilitate reală. Un studiu Honeywell din 2024 estima că 51% din aceste amenințări pe USB pot provoca perturbări majore în medii enterprise și industriale, conferind astfel relevanță practică cifrelor din raport.
Riscul asociat terților rămâne ridicat: aproape 30% din incidente au fost legate de compromiterea furnizorilor, inclusiv atacuri în lanțul de aprovizionare care au vizat retaileri și producători. Practic, securitatea organizației nu mai depinde doar de controalele interne, ci și de modul în care sunt gestionate riscurile externe.
Craig Jones, chief security officer la Ontinue, subliniază că actorii malițioși acționează cu agilitatea afacerilor moderne: pivotarea, rebranding-ul și retooling-ul se întâmplă în săptămâni, nu în luni. În prima jumătate a lui 2025, conform raportului, operatorii de ransomware au revenit după acțiuni de eliminare, serviciile PhaaS s-au extins la nivel global, iar actori sponsorizati de state au vizat sectorul privat cu o precizie crescută. Concluzia implicită este că securitatea nu poate fi tratată ca un proiect finalizat; trebuie să fie un proces continuu, alimentat de informații actualizate.
Raportul include și recomandări practice de apărare: implementarea MFA rezistentă la phishing, politici mai stricte pentru configurarea endpoint-urilor și un management solid al riscurilor furnizorilor. Sunt sugestii cunoscute, dar raportul pune accent pe aplicarea consecventă și pe adoptarea unor soluții care contracarează tehnicile moderne ale atacatorilor. Pe scurt, bunăvoința nu mai este suficientă; sunt necesare proceduri, politici și instrumente care să țină pasul cu amenințările.
Constatările privind tokenurile refresh, formatele SVG/IMG și creșterea malware-ului pe USB arată că amenințările actuale combină metode noi și „clasice”, atacuri sofisticate în cloud alături de tactici tradiționale cu medii detașabile. Concluzia este că organizațiile trebuie să-și regândească prioritățile: protecția identităților în cloud, întărirea configurărilor Azure, controale mai stricte pentru furnizori și o inspecție mai atentă a tipurilor de atașamente primite pe email. Elementele concrete, procentele menționate, referința la Azure, formatele SVG/IMG, cifra de 27% pentru USB, ar trebui folosite ca repere pentru decizii practice de securitate. Ce măsuri crezi că ar trebui să prioritizeze compania ta acum?
Fii primul care comentează