Киберинцидентите през 2025

Обобщение на инцидентите в киберсигурността през 2025 г. от полските ни колеги

2025 беше период на промени в тактиките на групите за киберпрестъпления. Пейзажът на заплахите в Европа и по-конкретно в Полша еволюира към по-прецизни, целенасочени операции, като едновременно с това организациите повишиха своята устойчивост към традиционните методи за изнудване чрез откуп.

По-долу представяме най-важните данни и тенденции, обобщаващи изминалата година.

Ситуацията в Европейския съюз

Съгласно данните, събрани в доклада ENISA Threat Landscape 2025, както и пазарните анализи от края на годината, структурата на инцидентите в ЕС изглежда така:

• доминиране на DDoS атаките: те представляват 77% от всички докладвани събития и са основният инструмент на хакерските групи. Въпреки огромния им мащаб реално прекъсване на услуги е отчетено само в 2% от случаите (Източник: ENISA 2025),
• ransomware като основна заплаха: цели 81,1% от киберинцидентите са свързани с ransomware. В рамките на годината са идентифицирани над 100 активни варианта (Източник: ENISA 2025),
• доминиране на професионалистите: пазарът на киберпрестъпници е доминиран от две големи групи – Akira (34% от атаките) и Qilin (10%). В края на 2025 г. по-малките хакерски екипи започват да се обединяват с по-големи структури. За компаниите това означава сблъсък с по-добре организиран противник, разполагащ с бюджет за пробив на защитите и допускащ по-рядко технически грешки, което затруднява възстановяването на данни.

Рентабилност на атаките през 2025 г.

Данните от последното тримесечие на годината потвърждават следните тенденции в борбата срещу изнудванията:

• делът на плащащите откуп запазва низходящата си тенденция, като достига рекордно ниско ниво от 21% през Q4 2025 (Източник: Coveware Q4 2025),
• спад на средния размер на откупа: след понижение на средната платена сума с 66% през третото тримесечие (до ниво от 376 941 USD), данните от Q4 2025 потвърждават, че киберпрестъпниците все по-често се насочват към по-малки организации, при които сумите са по-ниски, но по-лесни за събиране (Източник: Coveware Q3 2025; Coveware Q4 2025),
• ексфилтрация (кражба) на данни: през 2025 г. самото криптиране на файлове престана да бъде достатъчно за престъпниците. Стандарт се превърна т.нар. двойно изнудване, което се основава на прецизна последователност от действия:

1. кражба: първо хакерите тихо копират чувствителни данни от компанията на свои сървъри,
2. криптиране: едва след като обезпечат „плячката“, блокират системите на жертвата,
3. шантаж: поставят ултиматум: „Ако не платите откупа за декриптиране, ще публикуваме откраднатите ви данни в Интернет“.

Това представлява съществена промяна в modus operandi на киберпрестъпниците през годините, тъй като първоначално основно се наблюдаваше само криптиране. Именно поради това ексфилтрацията е толкова опасна – тя превръща един по-скоро технически проблем (възстановяване на данни) в правно-репутационен проблем (изтичане на данни, водещо до отговорност по GDPR и загуба на доверие от страна на клиентите).

Ситуацията в Полша и векторите на атака

Полша остава значима цел в региона, което се потвърждава от данните на CERT Polska за 2024 г., като тази тенденция се запазва през цялата 2025 г.:

• оперативен мащаб: средно по 300 инцидента дневно, което означава над 100 000 обработени събития годишно (Източник: CERT Polska 2024);
• структура на инцидентите: фишинг и компютърни измами представляват 94,7% от всички сигнали. През Q4 2025 се засилват атаките с използване на фалшиви CAPTCHA верификации и кампании, представящи се за органи на реда;
• вектори на проникване: най-ефективният метод остава компрометирането на акаунти за отдалечен достъп (VPN), както и експлоатирането на известни уязвимости в периферни устройства, които не са получили актуализации по сигурността (Източник: Coveware Q4 2025; ENISA 2025).

Държавни заплахи и нови тактики

2025 донесе и засилване на дейността на т.нар. групи APT (Advanced Persistent Threats), свързани с Русия и Китай. За разлика от типичните киберпрестъпници, които атакуват с цел бърза печалба, тези групи действат тихо и дългосрочно, като могат да се укриват в системите на жертвата в продължение на месеци с цел кражба на държавни или икономически тайни. Докладът на CERT-EU показва, че 44% от наблюдаваните инциденти са били с шпионски характер (Източник: CERT-EU 2025).

Нова и обезпокоителна тенденция, която се утвърждава в края на 2025 г., е активното вербуване на служители (insiders) от групи като Medusa. За предоставяне на идентификационни данни за достъп до корпоративната мрежа се предлагат комисиони, достигащи 15% от стойността на откупа (Източник: Coveware Q3 2025; Coveware Q4 2025). Най-застрашените сектори са публичната администрация, енергетиката (над 4 000 инцидента годишно) и здравеопазването (Източник: CERT Polska; Eurelectric / EnergiCERT).

С надеждата за по-спокойна предстояща година, насърчаваме провеждането на вътрешен одит на сигурността. Контролният списък по-долу се базира на най-често използваните методи за атака през 2025 г. и ключовите препоръки на агенциите ENISA и CERT Polska.

Контролен списък за ИТ сигурност за 2026 г.

Управление на достъпа и идентификационните данни

✓ внедряване на задължително многофакторно удостоверяване (MFA) на всички VPN точки за достъп и в системите за електронна поща с цел противодействие на компрометирането на акаунти за отдалечен достъп;
✓ провеждане на строг одит на локалните и техническите акаунти, включително премахване на неактивни акаунти на бивши служители и външни изпълнители;
✓ осигуряване на постоянен мониторинг за необичайни влизания, с особен фокус върху нощните часове и нестандартни географски локации.

Периферна инфраструктура и уязвимости

✓ въвеждане на приоритетен режим за инсталиране на корекции (patching) за периферни устройства като защитни стени и пощенски шлюзове;
✓ проверка на конфигурацията на мрежовите устройства за уязвимости, експлоатирани от напреднали ransomware групи като Akira;
✓ деактивиране на всички неизползвани портове и услуги, изложени директно към публичния Интернет.

Осъзнатост на персонала и социално инженерство

✓ организиране на обучения за повишаване на осведомеността относно нови техники за манипулация, като „callback phishing“ и фалшиви CAPTCHA скриптове;
✓ въвеждане на процедури за многоканална верификация при промени във финансовите данни на контрагенти с цел предотвратяване на измами;
✓ обучение на служителите относно заплахите от типа „insider threat“, включително методите за вербуване, използвани от киберпрестъпни групи.

Защита на данните и непрекъсваемост на дейността

✓ тестване на процесите за възстановяване на системи от офлайн резервни копия, което е ключов фактор за ограничаване на мотивацията за плащане на откупи;
✓ прилагане на инструменти за мониторинг на изтичането на данни (DLP), позволяващи откриване и спиране на кражба на файлове, преди те да попаднат в ръцете на киберпрестъпници;
✓ актуализиране на плановете за непрекъсваемост на дейността (BCP) със сценарии, предполагащи дългосрочно управление на инциденти, продължаващи дори няколко месеца.