Musim panas 2025 tidak hanya panas; itu tanpa henti.
Rumah sakit ransomware yang dipalu, raksasa ritel menderita pelanggaran data, perusahaan asuransi dipukul oleh phishing, dan aktor negara-bangsa meluncurkan kampanye yang mengganggu.
Dari loader PowerShell sembunyi-sembunyi hingga eksploitasi SharePoint Zero-Day, penyerang membuat para pembela tetap di tumit mereka.
Laporan ini menghancurkan insiden paling berdampak tinggi musim ini dan apa yang perlu dilakukan tim keamanan sebelum gelombang berikutnya melanda.
Summer Expose Risiko Ransomware yang Bertahan dari Kesehatan
Rumah sakit tidak mampu membayar downtime, dan penyerang mengetahuinya.
Musim panas ini, kelompok ransomware menargetkan perawatan kesehatan, mengeksploitasi nilai data pasien dan urgensi perawatan.
Interlock bangkit sebagai ancaman utama bagi perawatan kesehatan AS
A 22 Juli 2025, Penasihat Gabungan oleh CISA, FBI, dan HHS disorot Berpaut sebagai ancaman utama bagi sektor kesehatan dan kesehatan masyarakat (HPH). Grup ini terkait dengan sekitar 14 Insiden pada tahun 2025 saja, dengan yang ketiga hanya mempengaruhi penyedia layanan kesehatan.
Yang membedakan interlock adalah penggunaannya “Filefiks“Peluncur PowerShell yang menyembunyikan skrip berbahaya di balik jalur file umpan. Ini menipu pengguna untuk menjalankan muatan melalui file explorer, melewati deteksi keamanan yang khas.
Rhysida Ransomware menargetkan pusat perawatan kesehatan AS lainnya
Pada 8 Juli 2025, Menggosok Ransomware Group diduga membocorkan data sensitif dari Florida Hand Center, termasuk gambar medis, lisensi pengemudi, dan formulir asuransi.
Klinik, yang melayani pasien di Punta Gorda, Port Charlotte, dan Fort Myers, diberikan adil tujuh hari untuk merespons sebelum rilis.
Qilin mendaur ulang Playbook Spider Spider dalam Gelombang Pelanggaran Kesehatan
Pada Juni 2025, Melakukan menjadi kelompok ransomware paling aktif, merekam 81 korban, 52 dari mereka di sektor kesehatan.
Kelompok ini mengeksploitasi kerentanan Fortinet yang tidak ditandingi (CVE-2024-21762 dan CVE-2024-55591) untuk mendapatkan akses, menggunakan ransomware, dan exfiltrate data sensitif seperti EHR dan catatan asuransi.
Untuk memaksimalkan tekanan, Qilin melampaui enkripsi, memanfaatkan taktik pemerasan bertema hukum seperti “Panggil pengacara“Fitur dan alat negosiasi otomatis untuk mendorong pembayaran lebih cepat.
Merek -merek besar yang dilanggar dalam gelombang kejahatan dunia maya ritel
Sektor ritel tidak bisa lepas dari gelombang serangan siber yang menyapu musim panas 2025.
Louis Vuitton Breach menandai ketiga dalam seperempat
Pada tanggal 2 Juli 2025, Louis Vuitton UK menderita pelanggaran data yang memperlihatkan info kontak pelanggan dan riwayat pembelian, pelanggaran merek LVMH ketiga dalam tiga bulan setelah Dior dan LV Korea.
Beberapa hari kemudian, pada 10 Juli, polisi Inggris menangkap empat tersangka terikat dengan serangan profil tinggi pada M&S, Co-op, dan Harrods.
Kelompok ini diduga terkait dengan Laba -laba yang tersebaraktor ancaman domestik yang dikenal karena rekayasa sosial dan kolaborasi dengan operator ransomware seperti Dragonforce, menandakan dampak yang semakin besar dari penjahat cyber buatan sendiri pada pengecer besar.
Dragonforce menghantam rantai ritel AS Belk
Antara 7 dan 11 Mei 2025, di sisi lain dari Atlantik, North Carolina, pengecer yang berbasis di Belk menderita pelanggaran data.
Dragonforce Diklaim bertanggung jawab, menyatakan bahwa itu mengeksfiltrasi 156 GB data pelanggan dan karyawan, termasuk nama, nomor jaminan sosial, email, sejarah pesanan, dan file SDM, yang kemudian diposting di situs kebocorannya setelah negosiasi tebusan terhenti.
Dragonforce, yang pertama kali muncul pada akhir 2023, beroperasi sebagai kartel ransomware-as-a-service, mencantumkan sekitar 136 korban pada Maret 2025, banyak di antaranya ada di organisasi ritel AS dan Inggris.
Taktik Spider yang tersebar telah bergeser dari ritel ke asuransi
Laba-laba yang tersebar (UNC3944), kolektif penjahat cyber berbahasa Inggris asli, menggunakan rekayasa sosial identitas-sentris, phishing suara, kelelahan MFA, peniruan bantuan-desk, dan domain yang diketik untuk melanggar pengecer Inggris (M&S, Co-op, Harrods) di April – Mei 2025.
Di dalam pertengahan Juni 2025para peneliti menandai bahwa Spider yang tersebar (UNC3944) telah bergeser dari ritel ke menargetkan perusahaan asuransi AS.
-
Aflac terdeteksi dan berisi akses tidak sah pada 12 Juni 2025; Data pribadi pelanggan dan karyawan (termasuk SSN, klaim kesehatan) mungkin telah dikompromikan.
-
Perusahaan Asuransi Asuransi dan Philadelphia Juga melaporkan gangguan cyber serupa pada awal hingga pertengahan Juni, yang mengakibatkan downtime operasional.
Intrusi cocok dengan profil taktis laba -laba yang tersebar, meskipun tidak ada ransomware yang digunakan, dan sistem tetap operasional.
Aktivitas dunia maya yang disponsori dan geopolitik negara bagian
Tidak semua ancaman dunia maya musim panas ini adalah tentang uang.
Peretas dan peretas negara-negara juga membuat tanda mereka, menggunakan iklim geopolitik yang bergejolak untuk meluncurkan serangan.
-
14–17 Juni 2025: Grup Hacktivist Pro-Israel Predatory Sparrow menghantam Bank Iran Sepah, mengganggu layanan perbankan, kemudian menghancurkan ~ $ 90 juta dalam crypto dengan melanggar Nobitex dan mengirim token untuk membakar dompet.
-
30 Juni 2025: Departemen Keamanan Dalam Negeri AS dan CISA mengeluarkan peringatan peringatan bersama tentang yang akan datang Pembalasan Cyber Iran Menargetkan infrastruktur kritis di AS dan Eropa.
Insiden -insiden ini berfungsi sebagai pengingat yang jelas bahwa konflik dunia maya sekarang merupakan perpanjangan garis depan dari ketegangan geopolitik, yang dapat memberi riak jauh melampaui batas dan sektor.
Kerentanan kunci mendapatkan perhatian publik
Banyak kerentanan Microsoft SharePoint dieksploitasi musim panas ini dalam kampanye spionase cyber yang tersebar luas yang dikenal sebagai Toolshell.
-
CVE-2025-53770 adalah cacat eksekusi kode jarak jauh yang kritis yang memungkinkan penyerang yang tidak otentikasi untuk menjalankan kode sewenang-wenang pada server SharePoint on-prem yang rentan. Aktor ancaman menggunakannya untuk menggunakan cangkang web, mencuri kredensial, dan bergerak secara lateral melalui jaringan perusahaan. Cisa menambahkan bug ke dalamnya Mengangkut Katalog di 20 Juli 2025.
-
CVE-2025-49704 Dan CVE-2025-49706 juga ditambahkan ke Kev 22 Juli Setelah dilecehkan dalam serangan rantai. Pasangan ini memungkinkan bypass otentikasi dan injeksi kode, memungkinkan penyerang untuk mengeksploitasi sistem SharePoint yang tidak ditandingi bahkan jika perbaikan sebelumnya diterapkan.
Kampanye toolshell menargetkan organisasi di seluruh AS, Eropa, dan Timur Tengah, termasuk lembaga pemerintah, perusahaan energi, dan penyedia telekomunikasi.
Peneliti keamanan mengatakan para penyerang yang kemungkinan ditetapkan oleh Microsoft’s Patch Juli yang direkayasa terbalik Selasa untuk mengembangkan bypass yang digunakan dalam CVE-2025-53770.
Apa yang harus diambil dari kebakaran hutan musim panas di cybersecurity?
Dari rumah sakit hingga raksasa ritel dan penyedia asuransi hingga negara-bangsa, musim ini mengekspos retakan bahkan di lingkungan yang paling diperkaya.
Inilah yang harus dilakukan tim keamanan selanjutnya.
Patch seperti hidup Anda tergantung padanya, karena mereka melakukannya di sektor -sektor kritis.
Mulailah dengan entri CISA KEV dan CVE-CVE tinggi, tetapi jangan berhenti di situ. Ajukan pertanyaan yang lebih sulit: Apakah Anda jenis target yang mengejar penyerang?
Mengesahkan Apakah setiap CVE sebenarnya dapat dieksploitasi di lingkungan Anda.
Fokus pada rantai eksploitasi, bukan hanya skor. Itulah yang dilakukan musuh.
Harden Identity sebagai perimeter baru Anda.
Rekayasa sosial bekerja lebih baik daripada malware musim panas ini. Hentikan serangan kelelahan MFA, perkuat verifikasi bantuan-desk, dan batasi akses istimewa.
Latih manusia Anda, karena itu adalah titik pelanggaran.
Spider yang tersebar dan yang lainnya tidak mengeksploitasi CVE; Mereka mengeksploitasi seseorang. Jalankan simulasi reguler, perbarui skenario phishing, dan siapkan peran berisiko tinggi untuk umpan dunia nyata.
Perhatikan apa yang terjadi setelah akses awal.
Aktor ancaman seperti Interlock dan Qilin tidak hanya menjatuhkan ransomware; Mereka bergerak secara lateral, bertahap data, dan menghindari deteksi. Menerapkan pemantauan perilaku untuk teknik, seperti penyalahgunaan PowerShell, pencurian kredensial, dan exfiltrasi siluman.
Jangan abaikan sistem warisan dan infrastruktur yang diabaikan.
Jangan abaikan sistem warisan dan infrastruktur yang diabaikan. Kampanye Toolshell dieksploitasi Server SharePoint yang tidak ditambatkanbanyak yang menjalankan versi yang tidak didukung atau sudah ketinggalan zaman.
Apakah itu penuaan di-Prem SharePoint, peralatan, atau perlengkapan warisan yang tidak dipantau, mengisolasi apa yang tidak dapat Anda upgrade, pantau apa yang tidak dapat Anda tambal, dan ganti apa yang Anda abaikan.
Kami sangat menyarankan mensimulasikan serangan yang disebutkan untuk menguji efektivitas kontrol keamanan Anda terhadap serangan cyber kehidupan nyata menggunakan platform validasi keamanan PICUS.
Anda juga dapat menguji pertahanan Anda terhadap ratusan kampanye malware dan eksploitasi lainnya, seperti Medusa, Rhysida, dan Black Basta, dalam beberapa menit dengan a Uji coba gratis 14 hari dari platform PICUS.
Disponsori dan ditulis oleh Keamanan Pico.
