Prema nedavnom globalnom izveštaju kompanije Kaspersky, pogađanje lozinki i zloupotreba važećih korisničkih naloga svrstavaju se među najefikasnije taktike koje su sajber kriminalci koriste u prethodnoj godini. Ovaj trend odražava strateški zaokret, jer napadači sve više odustaju od upotrebe upadljivog malvera koji aktivira zaštitu krajnjih uređaja, dajući prednost korišćenju legitimnog pristupa kako bi izbegli otkrivanje.
„Anatomija sajber sveta“ (Anatomy of a Cyber World) predstavlja detaljan globalni izveštaj zasnovan na podacima prikupljenim kroz Kaspersky usluge Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment i SOC Consulting tokom 2025. godine. Izveštaj obuhvata najčešće tehnike koje koriste napadači, alate i scenarije detekcije, kao i specifičnosti otkrivenih incidenata.
Prema izveštaju, značajan deo najčešće uočenih tehnika napada odnosi se na upravljanje akreditivima i digitalnim identitetima. Analiza, koja ispituje stope uspešnosti različitih indikatora napada (Indicators of Attack – IoA), ukazuje na sledeće rasprostranjene zlonamerne taktike:
Pogađanje lozinki – 34,8% Ova tehnika podrazumeva da napadači sistematski isprobavaju različite lozinke dok ne uspeju da pristupe nalogu. Nalazi se na vrhu liste po stopi uspešnsoti zbog toga što se javlja i u stvarnim napadima i tokom ovlašćenih bezbednosnih procena, što je čini trajnom pretnjom u današnjem sajber okruženju. Organizacije koje se oslanjaju na slabe ili ponovo korišćene lozinke i dalje omogućavaju uspeh ove stare, ali i dalje veoma efikasne metode.
Kreiranje lokalnih korisničkih naloga – 34,7% Nakon što ostvare pristup sistemu, napadači često kreiraju nove lokalne naloge kako bi zadržali pristup čak i ako njihov prvobitni upad bude otkriven i uklonjen. Ova tehnika se često uočava tokom bezbednosnih vežbi i može biti otkrivena, ali samo ukoliko su dostupni odgovarajući telemetrijski podaci, što često nije slučaj.
Zloupotreba važećih korisničkih naloga – 34,5% Umesto da koriste malver, napadači se prijavljuju pomoću ukradenih ili kompromitovanih akreditiva i stapaju se sa uobičajenim korisničkim aktivnostima. To značajno otežava detekciju, jer sam pristup deluje legitimno. Visoka stopa potvrđivanja pokazuje zašto kompromitovani akreditivi i dalje predstavljaju jedan od najopasnijih vektora napada.
Manipulacija korisničkim nalozima – 32% Napadači menjaju postojeće korisničke naloge kako bi učvrstili pristup sistemu, na primer aktiviranjem deaktiviranih naloga, izmenom članstva u grupama ili povećanjem privilegija. Ovakvo ponašanje potvrđuje širi obrazac delovanja — umesto uvođenja novih alata, napadači produbljuju kontrolu koristeći resurse koji već postoje u okruženju.
Otkrivanje mrežnih servisa – 31,2% Pre nego što se dublje infiltriraju u mrežu, napadači obično pretražuju dostupne servise i sisteme kojima mogu da pristupe. Ovaj korak izviđanja često je pouzdan pokazatelj narednih aktivnosti, poput lateralnog kretanja kroz mrežu i daljeg iskorišćavanja ranjivosti. Njegovo rano otkrivanje bezbednosnim timovima pruža dragoceno vreme za reagovanje i sprečavanje daljeg napredovanja napada.
Izveštaj rangira tehnike napadača prema tome koliko često je uočena aktivnost na kraju dovela do potvrđenih zlonamernih incidenata. Prema stručnjacima kompanije Kaspersky, iako MITRE ATT&CK katalogizuje veliki broj tehnika koje koriste napadači, efikasna detekcija zahteva davanje prioriteta ponašanjima sa najvećom verovatnoćom zlonamerne namere, uz izbegavanje prevelikog broja lažno pozitivnih rezultata.
„Akteri pretnji ne moraju uvek da koriste sofisticirani malver da bi ostvarili svoje ciljeve. U mnogim slučajevima, legitimni administrativni alati i kompromitovani nalozi ostaju najbrži i najefikasniji način za kretanje unutar organizacije uz izbegavanje detekcije. Kontinuirana popularnost ovih tehnika pokazuje da su organizacijama potrebni dubok uvid u ponašanje napadača i sposobnost korelacije sumnjivih aktivnosti kroz različite faze napada. Da bi odgovorile na ove izazove, kompanije mogu unaprediti svoju bezbednost našim rešenjima: Kaspersky Managed Detection and Response i Incident Response, koja pokrivaju čitav ciklus upravljanja incidentima — od otkrivanja pretnji do kontinuirane zaštite i sanacije posledica“, komentariše Rade Furtula, Presales manager kompanije Kaspersky za Zapadni Balkan.
Da biste saznali više o taktikama i tehnikama napadača, karakteristikama otkrivenih incidenata i njihovoj raspodeli po regionima i industrijskim sektorima, pročitajte čitav izveštaj.
