Poverljivi odnosi i eksploatacije u javno dostupnim aplikacijama glavni su vektori napada

Iako su glavni inicijalni vektori napada u 2025. ostali slični kao u 2024. godini, njihov kombinovani udeo porastao je na preko 80%. Javno dostupne aplikacije čine 43,7%, dok su poverljivi odnosi porasli sa 12,7% na 15,5%. Validni korisnički nalozi (valid accounts) čine 25,4%. Ovi uvidi potiču iz najnovijeg globalnog izveštaja kompanije Kaspersky Security Services.

Izveštaj „Anatomija sajber sveta“ predstavlja detaljnu globalnu analizu zasnovanu na podacima o incidentima prikupljenim tokom 2025. godine iz servisa Kaspersky Managed Detection and Response (MDR), Kaspersky Incident Response, Kaspersky Compromise Assessment i Kaspersky SOC Consulting. Izveštaj ističe najčešće taktike, tehnike i alate napadača, kao i specifičnosti detektovanih incidenata i njihovu raspodelu po regionima i industrijama.

Prema podacima iz Kaspersky Incident Response, tri vodeća inicijalna vektora napada ostala su relativno stabilna tokom poslednjih sedam godina i nisu se značajno promenila. Validni nalozi i eksploatacije ranjivosti u javno dostupnim aplikacijama dosledno predstavljaju najčešće ulazne tačke. Treće mesto se povremeno menjalo: zlonamerne imejl poruke, nekada čest inicijalni vektor, zamenili su poverljivi odnosi, koji su se prvi put pojavili 2021. godine i ušli u TOP-3 tokom 2023. godine. Do 2025. godine raspodela glavnih vektora izgledala je ovako:

Ovi vektori napada često su međusobno povezani unutar istog lanca napada. Na primer, organizacije kompromitovane putem poverljivih odnosa često su prethodno kompromitovane eksploatacijom ranjivosti u javno dostupnim aplikacijama. Nedavni slučajevi pokazuju da napadači ciljaju pružaoce usluga ili IT integratore kako bi zatim pristupili njihovim klijentima. Problem dodatno otežava činjenica da mnogi manji pružaoci usluga nemaju adekvatnu ekspertizu i resurse u oblasti sajber bezbednosti. Kako oni često upravljaju računovodstvenim softverom ili veb-sajtovima, kompromitacija takvih kompanija može dovesti do kompromitacije sistema njihovih klijenata putem zloupotrebe daljinskog pristupa.

Kada se analiziraju istraženi napadi prema trajanju i uticaju, podaci pokazuju da je većina (50,9%) bila brze prirode (rapid attacks), obično kraća od jednog dana, i najčešće je rezultirala enkripcijom fajlova. Značajan deo (33%) činili su dugotrajni napadi, sa prosečnim trajanjem od 108 sati, tokom kojih su napadači, pored enkripcije podataka, instalirali mehanizme postojanosti, kompromitovali Active Directory i izazvali curenje podataka. Preostalih 16,1% pokazalo je hibridni obrazac (hybrid pattern): u početku su delovali kao brzi napadi, ali su uključivali značajno kašnjenje između inicijalne kompromitacije i naknadnih zlonamernih aktivnosti, produžavajući ukupno trajanje na gotovo 19 dana.