Σύμφωνα με πρόσφατη παγκόσμια έκθεση της Kaspersky, η δοκιμή πιθανών κωδικών πρόσβασης (password guessing) και η κατάχρηση έγκυρων λογαριασμών (valid account misuse) συγκαταλέγονται στις πιο αποτελεσματικές τακτικές που χρησιμοποίησαν οι κυβερνοεγκληματίες το 2025. Η τάση αυτή αντικατοπτρίζει μια στρατηγική μετατόπιση, καθώς οι δράστες αποφεύγουν όλο και περισσότερο τη χρήση κακόβουλου λογισμικού, το οποίο μπορεί να εντοπιστεί ευκολότερα και να ενεργοποιήσει τις λύσεις προστασίας τερματικών συσκευών. Αντίθετα, προτιμούν να εκμεταλλεύονται νόμιμα διαπιστευτήρια και υφιστάμενα δικαιώματα πρόσβασης, ώστε να παραμένουν απαρατήρητοι και να αποφεύγουν τον εντοπισμό.
Η έκθεση «Anatomy of a Cyber World» αποτελεί μια αναλυτική παγκόσμια μελέτη, βασισμένη σε δεδομένα που συλλέχθηκαν το 2025 από τις υπηρεσίες Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment και SOC Consulting της Kaspersky. Η μελέτη εξετάζει τις συχνότερες τεχνικές, τα εργαλεία και τα σενάρια εντοπισμού που αξιοποιούν οι κυβερνοεγκληματίες, ενώ παράλληλα αναδεικνύει τα ιδιαίτερα χαρακτηριστικά των περιστατικών ασφαλείας που εντοπίστηκαν κατά την περίοδο αναφοράς.
Σύμφωνα με τα ευρήματα της έκθεσης, σημαντικό ποσοστό των τεχνικών επίθεσης που εντοπίζονται και παρακολουθούνται συστηματικά σχετίζεται με τη διαχείριση λογαριασμών, διαπιστευτηρίων και ψηφιακών ταυτοτήτων. Με βάση την αξιολόγηση των ποσοστών μετατροπής* των διαφόρων Δεικτών Επίθεσης (Indicators of Attack - IoA), η ανάλυση αναδεικνύει τις ακόλουθες ως τις επικρατέστερες τακτικές που χρησιμοποιούν οι κυβερνοεγκληματίες:
Δοκιμή διαφορετικών κωδικών πρόσβασης (Password Guessing) – 34,8%
Η τεχνική αυτή βασίζεται στη συστηματική δοκιμή διαφορετικών κωδικών πρόσβασης μέχρι οι επιτιθέμενοι να αποκτήσουν επιτυχώς πρόσβαση σε έναν λογαριασμό. Καταγράφει το υψηλότερο ποσοστό μετατροπής, καθώς εμφανίζεται τόσο σε πραγματικές επιθέσεις όσο και σε εξουσιοδοτημένες αξιολογήσεις ασφαλείας, γεγονός που την καθιστά μια επίμονη απειλή στο σημερινό τοπίο της κυβερνοασφάλειας. Οι οργανισμοί που βασίζονται σε αδύναμους ή επαναχρησιμοποιούμενους κωδικούς πρόσβασης εξακολουθούν να διευκολύνουν την εφαρμογή αυτής της παλιάς αλλά αποτελεσματικής στρατηγικής.
Δημιουργία τοπικών λογαριασμών (Local Account Creation) – 34,7%
Μόλις αποκτήσουν πρόσβαση σε ένα σύστημα, οι επιτιθέμενοι δημιουργούν συχνά νέους τοπικούς λογαριασμούς, προκειμένου να διατηρήσουν την πρόσβασή τους ακόμη και αν το αρχικό σημείο εισόδου εντοπιστεί και εξουδετερωθεί. Η τεχνική αυτή παρατηρείται συχνά κατά τη διάρκεια ασκήσεων ασφαλείας και μπορεί να εντοπιστεί μόνο εφόσον υπάρχουν τα κατάλληλα δεδομένα τηλεμετρίας, τα οποία συχνά δεν είναι διαθέσιμα.
Κατάχρηση έγκυρων λογαριασμών (Valid Account Abuse) – 34,5%
Αντί να αναπτύσσουν κακόβουλο λογισμικό, οι επιτιθέμενοι συνδέονται σε συστήματα χρησιμοποιώντας κλεμμένα ή παραβιασμένα διαπιστευτήρια και ενσωματώνονται στην καθημερινή δραστηριότητα των χρηστών. Αυτό καθιστά τον εντοπισμό τους ιδιαίτερα δύσκολο, καθώς η ίδια η πρόσβαση φαίνεται απολύτως νόμιμη. Το υψηλό ποσοστό επιτυχίας της τεχνικής αυτής υπογραμμίζει γιατί τα παραβιασμένα διαπιστευτήρια εξακολουθούν να αποτελούν έναν από τους πιο επικίνδυνους φορείς κυβερνοεπιθέσεων.
Παραποίηση λογαριασμών (Account Manipulation) – 32%
Οι δράστες τροποποιούν υπάρχοντες λογαριασμούς προκειμένου να διευρύνουν την πρόσβασή τους, για παράδειγμα ενεργοποιώντας ανενεργούς λογαριασμούς, αλλάζοντας τη συμμετοχή χρηστών σε ομάδες ή αποκτώντας αυξημένα δικαιώματα πρόσβασης. Η πρακτική αυτή επιβεβαιώνει μια ευρύτερη τάση: αντί να εισάγουν νέα εργαλεία, οι δράστες αξιοποιούν και επεκτείνουν τις δυνατότητες που ήδη υπάρχουν στο περιβάλλον του οργανισμού.
Ανακάλυψη υπηρεσιών δικτύου (Network Service Discovery) – 31,2%
Πριν προχωρήσουν σε βαθύτερη διείσδυση σε ένα δίκτυο, οι επιτιθέμενοι αναζητούν συνήθως διαθέσιμες υπηρεσίες και συστήματα στα οποία μπορούν να αποκτήσουν πρόσβαση. Το στάδιο αυτό λειτουργεί ως προάγγελος επόμενων ενεργειών, όπως η πλευρική κίνηση (lateral movement) και η περαιτέρω εκμετάλλευση συστημάτων. Η έγκαιρη ανίχνευσή του προσφέρει στις ομάδες ασφαλείας πολύτιμο χρόνο για να αναλάβουν δράση.
Η έκθεση κατατάσσει τις τεχνικές των επιτιθέμενων με βάση το πόσο συχνά οι παρατηρούμενες ενέργειεςκατέληξαν σε επιβεβαιωμένα περιστατικά κακόβουλης δραστηριότητας. Σύμφωνα με τους ειδικούς της Kaspersky, παρότι το πλαίσιο MITRE ATT&CK περιλαμβάνει ένα ευρύ φάσμα τεχνικών που χρησιμοποιούν οι κυβερνοεγκληματίες, η αποτελεσματική ανίχνευση προϋποθέτει την ιεράρχηση των συμπεριφορών που έχουν τη μεγαλύτερη πιθανότητα να υποδηλώνουν κακόβουλη πρόθεση, χωρίς να αυξάνεται υπερβολικά ο αριθμός των ψευδώς θετικών ευρημάτων.
«Οι κυβερνοεγκληματίες δεν χρειάζονται πάντοτε εξελιγμένο κακόβουλο λογισμικό για να επιτύχουν τους στόχους τους. Σε πολλές περιπτώσεις, τα νόμιμα εργαλεία διαχείρισης συστημάτων και οι παραβιασμένοι λογαριασμοί εξακολουθούν να αποτελούν τον ταχύτερο και αποτελεσματικότερο τρόπο διείσδυσης στο εσωτερικό ενός οργανισμού, χωρίς να γίνονται αντιληπτοί. Η διαχρονικότητα αυτών των τεχνικών αποδεικνύει ότι είναι απαραίτητο οι οργανισμοί να έχουν μια ολοκληρωμένη εικόνα της συμπεριφοράς των επιτιθέμενων. Εξίσου σημαντική είναι και η δυνατότητα συσχέτισης ύποπτων δραστηριοτήτων σε διαφορετικά στάδια μιας επίθεσης. Για την αντιμετώπιση αυτών των προκλήσεων, οι επιχειρήσεις μπορούν να ενισχύσουν την ασφάλειά τους με λύσεις όπως οι Kaspersky Managed Detection and Response και Incident Response, οι οποίες καλύπτουν ολόκληρο τον κύκλο διαχείρισης περιστατικών — από την ανίχνευση απειλών έως τη συνεχή προστασία και την αποκατάσταση», σχολιάζει ο Sergey Soldatov, επικεφαλής του Security Operations Center (SOC) της Kaspersky.
Για περισσότερες πληροφορίες σχετικά με τις μεθόδους και τις τεχνικές των επιτιθέμενων, τα χαρακτηριστικά των καταγεγραμμένων περιστατικών, καθώς και την κατανομή τους ανά γεωγραφική περιοχή και κλάδο δραστηριότητας, μπορείτε να διαβάσετε εδώ ολόκληρη την έκθεση.
*Ο δείκτης επιτυχούς επιβεβαίωσης απειλών δείχνει πόσες από τις ειδοποιήσεις που δημιουργούνται για μια συγκεκριμένη τεχνική του MITRE ATT&CK καταλήγουν τελικά να χαρακτηριστούν ως πραγματικά περιστατικά κακόβουλης δραστηριότητας.
