A hatékonyság számít új mérceként
A támadók gondolkodásában jelentős eltolódás tapasztalható. Nem egyértelmű, de lehetséges, hogy az úgynevezett MOE, vagyis a hatékonyság mértéke ma mindennél fontosabb nekik: ez az arány az erőfeszítés és az eredmény között. Már nem biztos, hogy megéri egy drága, ritka nulladik napi sebezhetőséggel támadást indítani, amikor egy ellopott belépési token, egy könnyen kihasználható API-integráció vagy akár MI-vel automatizált feltörés olcsóbban és gyorsabban célt ér.
A legnagyobb veszélyt mostantól azok az ellenfelek jelentik, akik képesek az intelligens technológiát úgy ötvözni a támadási módszereikkel, hogy a céljukat a lehető legrövidebb idő alatt elérjék.
A fenyegetések nyolc legfontosabb trendje
2026-ra nyolc fő trend kristályosodik ki:
1. Az MI már nem csak támogató szerepben van, hanem automatizálja a támadóműveleteket. Valós idejű hálózatelemzés, deepfake-gyártás és sebezhetőségek feltérképezése egyszerűen elérhető már akár kezdő támadók számára is.
2. Egyre gyakoribbak az államilag támogatott, előre beépülésre törekvő támadások. Kínai csoportok, például a Salt Typhoon vagy a Linen Typhoon, észak-amerikai távközlési, kereskedelmi vagy kormányzati rendszerekben próbálják hosszú távra beágyazni magukat.
3. A túlságosan sok joggal rendelkező SaaS-integrációk veszélyesek lehetnek. Egyetlen sérült API több száz vállalatot érinthet, ahogy azt a Salesloft csoport GRUB1 incidense is jól mutatta.
4. A támadók megbízható felhőszolgáltatásokat használnak, hogy elrejtsék a rosszindulatú aktivitást. A Google Naptár vagy a Dropbox mögé bújó támadások már hétköznapiak.
5. A deepfake személyiségek már a bérszámfejtési rendszerekbe is beépülnek. Észak-koreai csoportok deepfake-ek és hamis identitások bevetésével próbálnak nyugati vállalatok bérszámfejtésébe bejutni.
6. A tokenlopás aláássa a többfaktoros hitelesítést. Eszközök, mint a LummaC2, lehetővé teszik, hogy a támadó a meglévő belépési tokennel lépjen be, teljesen kihagyva a védelmi réteget.
7. Az e-mail-továbbítási gyengeségek teret adnak a márkanevekkel való visszaélésnek, így a phishing üzenetek akár közvetlenül a célszemély fiókjába is bekerülhetnek.
8. A rendkívül nagy volumenű DDoS-támadások állandósultak. Az Aisuru-féle óriás botnetek olyan gyorsan bénítják meg az infrastruktúrát, hogy emberi kéz már nem képes időben beavatkozni.
Felhasznált felhőeszközök: a „living off the land”
A támadók számára már nem az a cél, hogy feltűnő, rosszindulatú szervereket használjanak: inkább legitim eszközök mögé rejtőznek, például a Google Drive, a Microsoft Teams vagy az Amazon S3 szolgáltatást használják az utasításaik továbbítására. Így a támadó forgalom szinte észrevétlenül beleolvad a vállalati adatforgalomba.
A SaaS-platformokat már támadásindításra, álcázásra vagy átirányításra is használják. Az Amazon SES vagy a SendGrid szolgáltatások vírusterjesztő kampányok alapjai lehetnek.
Nemzetközi támadócsoportok módszerei
Különféle állami hátterű csoportok különböző technikákat alkalmaznak:
– A kínai FrumpyToad a Google Naptár eseményleírásait titkosított parancsok továbbítására használja, így észrevétlenül tud utasításokat cserélni a támadott szerver és a C2 között.
– Az orosz NastyShrew publikus paste oldalakon tesz közzé C2-címeket, az általa megfertőzött gépek ezekről olvassák le az aktuális parancsokat.
– A PatheticSlug (Észak-Korea) a Google Drive és a Dropbox háttérbe rejtett fájljain keresztül juttatja célba a XenoRAT-fertőzést, miközben a GitHubot is C2-célra használja.
– Az iráni CrustyKrill Azure Web Apps-oldalon keresztül gyűjti be a belépési adatokat.
Hogyan dolgoznak a védelmi szakértők?
A támadók által használt módszerek felderítésénél a Cloudforce One belső tapasztalatra, globális adatgyűjtésre és mesterséges intelligenciára támaszkodik. Például MI-ügynökükkel házon belül tesztelték, hogyan lehetne feltörni a rendszert, így fedezték fel a CVE-2026-22813 hibát, ami távoli kódvégrehajtást engedélyezett.
Az adathalászat-szolgáltatásként működő (Phishing-as-a-Service) piacot vizsgálva azt találták, hogy a támadók jó hírű domainek, például a Google Drive vagy az Azure szolgáltatásain keresztül kerülik meg a szűrőket, és az e-mailek 46%-a még mindig nem megy át a megfelelő hitelesítésen.
A DDoS-támadások új csúcsa elérte a 31,4 Tbps-t, az utóbbi 3 hónapban pedig a bejelentkezések 63%-a már kompromittált adatok felhasználásával történt, és az összes próbálkozás 94%-át botok hajtották végre.
Az autonóm védelem szerepe
Egy idő után az emberi reakció már nem elég. A védelmi intézkedéseket autonóm, gépi sebességű rendszerekre kell bízni. Az új cél az, hogy a támadók MOE-jét nullára csökkentsék, vagyis hogy ne érje meg erőfeszítést tenniük. Ehhez valós idejű rálátásra és automatikus válaszokra van szükség: a rendszernek gyorsabbnak kell lennie a támadónál, még akkor is, ha épp nincs emberi felügyelet.
A Cloudforce One most frissíti saját platformját, így teljesen automatizált, vizuális vezérlőközpontot kínálnak a biztonsági műveleti központoknak.
Kézben tartható-e az ipari szintű kiberfenyegetés?
A Cloudforce One kutatóinak köszönhetően soha nem látott rálátás nyílt a kiberfenyegetések világára. Minden szervezetnek tanácsos megismernie a 2026-os Cloudflare fenyegetettségi jelentés (Cloudflare Threat Report 2026) teljes anyagát, hogy a támadók előtt járjon. Ha bővebben is érdekel a fenyegetettségi elemzés, vagy bármilyen incidenskezelési, védekezési szolgáltatás, érdemes közvetlenül a szakértőket megkeresni.
