ENISA Threat Landscape 2025
Az ENISA 2025-ös Threat Landscape kiemeli, hogy a 2024–2025 közötti időszakban a kiberfenyegetettség nem egyszerűen intenzívebbé vált, hanem szerkezetében is érettebb és változatosabb, a klasszikus nagy, egyszeri incidensek helyett inkább folyamatos, több szektorban párhuzamosan zajló kampányok jellemzik, amelyek együttesen rontják az ökoszisztéma ellenállóképességét. A ransomware továbbra is központi szereplő, de a támadók alkalmazkodtak a jogi és rendőrségi fellépéshez, decentralizálnak, árverezik és access broker szolgáltatásokat használnak, így a belépési küszöb lecsökkent és a fenyegetők szakmai üzleti modelleket építenek. Ugyancsak hangsúlyos a kormányzati célú tevékenységek erősödése a telekom, gyártás és logisztika ellen — ezekben a műveletekben a beszállítói láncok kompromittálása, finom backdoor-technikák és digitálisan aláírt komponensek visszaélése jellemző. A phishing maradt a leggyakoribb kezdeti vektor, miközben az AI eszközök megjelenése gyorsítja a pszichológiai megtévesztés (social engineering) és automatizált támadások skálázását. A védekezésnek nem elég technikai szintre korlátozódnia, stratégiai, szervezeti válaszokra is szükség van, azaz képzésre, információmegosztásra, kritikus ágazatok megerősítésére.
Az ETL 2025 módszertana ötvözi az open-source forrásokat, a tagállami jelentések és az ENISA belső elemzéseinek adatait, így közel 4 875 szelektált eseményt dolgoztak fel a 2024. július 1. és 2025. június 30. közötti időszakra vonatkozóan. A szerkesztők hangsúlyozzák, hogy az open-source alapú együttes kép nem teljes, a késleltetett jelentés és a különböző források eltérő jelentési szintjei torzíthatják az elemzést, ezért az adatok gondos kuráláson és szektorális kiosztáson estek át. Projekciók és trendkövetések esetében külön figyelmet fordítottak a jelentések időszerűségére, egyes kémtevékenységek dokumentálása hónapokat vagy éveket is igénybe vesz, így a fenyegetések időbeli alakulása óvatos értelmezést kíván. A módszertani fejezet emellett részletezi, hogy az EEAS STRATCOM és az Europol EC3 adataival is kiegészítették az elemzést, továbbá az ENISA IVS és CIRCL csatornáit használták kiegészítő információkhoz. Ez a rész fontos szemléleti korlátokat is felvázol: a kimutatott trendek inkább indikátorok, nem teljes körű ok-okozati magyarázatok.
Az ENISA szerint a fenyegetési környezet sokszínűvé vált, egyszerre aktívak államhoz kötődő csoportok, üzleti modellre épülő bűnözőik és ideológiavezérelt hacktivisták. Az incidensek topológiája azt mutatja, hogy a központi közigazgatási rendszerek jelentik a legtöbb bejelentett célpontot, míg a szállítmányozás és logisztika új, magas értékű célterületként jelent meg. A ransomware szerepe kettős, egyrészt továbbra is azonnali működési kockázatot jelent, másrészt a „double-extortion” modell — előzetes kiszivárogtatás + titkosítás — növeli a nyomásgyakorlás hatékonyságát, és új, gyors reagálást igényelő szabályozói dilemmákat teremt. A jelentés kiemeli az ellátási lánc támadások növekvő kockázatát, a harmadik fél komponensek és nyílt forráskódú csomagok kompromittálása sokszor sokkal nagyobb érintettséget eredményez, mint egy hagyományos célszintű incidens. Az exploitálás sebessége nőtt, a sebezhetőségek nyilvánosságra kerülése és a tömeges kihasználás között ma már gyakran csak napok telnek el.
A trendek alapján a phishing maradt domináns belépési vektor, és most már phishing-as-a-service platformok iparosítják a kampányokat, ezek automatizált eszközök és előre gyártott sablonok révén bármely szereplő számára elérhetővé teszik a hitelesített pszichológiai megtévesztést. A külső szolgáltatók, felhőszolgáltatások, bővítmények miatti függőség növeli a kitettséget — a beszállítói lánc kompromittálása sokszor láncreakciót indít el. A mobil eszközök folyamatos célponttá válása miatt az okostelefonok, applikációk és telekom-komponensek elleni támadások jellemzői változnak. A SIM-, router- és SMS-alapú visszaéléseknél a támadók egyre finomabb API-szintű módszereket használnak. Az állami csoportok, bűnözők és szolgáltatói hálózatok közötti eszköz- és módszer-átszivárgás jellemzi a 2025-ös évet, ami megnehezíti az egyértelmű attribúciót és növeli a védekezési komplexitást. Az AI eszközök fokozatos elterjedése a támadó oldalon a hatékonyság és automatizáció egyértelmű növekedését eredményezi, különösen a pszichológaia megtévesztés (social engineering) és sebezhetőség-azonosítás területén.
A közigazgatás szenvedi el a legtöbb incidens-bejelentést, a helyi önkormányzatok, egyetemek és kórházak hiányos erőforrásai kiszolgáltatottá teszik őket. A közlekedésben — különösen a tengeri és logisztikai láncokban — a ransomware és működést zavaró műveletek komoly ellátási problémákat okoztak, ez pedig a globális szállítmányozás sebezhetőségét tárta fel. A digitális infrastruktúra és szolgáltatások képezik a stratégiai célpontot, felhő- és CDN-szolgáltatók, domain- és BGP-infrastruktúra manipulációk révén a támadók „trusted” forgalom mögé rejtik magukat. A pénzügyi szektor esetében a feldolgozási láncok és a fizetési rendszerek védelme kulcsfontosságú, bár a bankok erősebbek, mint általános cégek, a fintech és külső szolgáltatók révén ott is növekszik a támadási felület. A gyártásban a titkosított adatlopás és az ipari vezérlés elleni támadások közvetlenül befolyásolhatják a termelést és a fizikai ellátást, ami integrált OT/IT védelmet követel meg. Minden szektor közös tanulsága, a redundancia, az üzletfolytonossági tervek és a beszállítói auditok hiánya sokszor súlyosbítja a hatást.
A bűnözői piac egyre professzionálisabb, MaaS (Malware-as-a-Service), access broker platformok és builder-szivárgások segítik a gyors terjedést, a ransomware továbbra is meghatározó, de a profit maximalizálás érdekében az operátorok egyre gyakrabban alkalmaznak extortion plusz kiszivárogtatást, valamint célzott feltérképezést a jogi megfelelés félelmének kihasználására. A földrajzi kitekintésben a jelentés kimutatja, hogy bizonyos régiók — például Európa — különösen érintettek olyan kampányok miatt, amelyek a helyi szolgáltatásokra és nyelvi sajátosságokra építettek, emellett a globális piac miatt egy támadás hatása nem áll meg országhatároknál. Kulcsfontosságú trend, hogy a kivitelezéshez használt infrastruktúra (VPS-ek, felhőfiókok, DDNS-szolgáltatások) könnyen hozzáférhető, és a támadók gyorsan forgatják az erőforrásokat, így a detektálás és blokkolás folyamatos kihívást jelent.
A jelentés részletesen elemzi a kormányzati célú műveleteket, amik általában hosszabb távra tervezettek, céljukra jellemző a hírszerzés, ipari kémkedés és stratégiai előny szerzése. A támadók gyakran a telekommunikációs és logisztikai rendszerek peremét célozzák, hogy látást szerezzenek a kritikus hálózatokról és metaadatokról, a beszállítói lánc kompromittálása — például aláírt driverek vagy szoftverfrissítések visszaélése — különösen hatékony eszköz. Az államhoz kötődő szereplők és a bűnözői infrastruktúra közötti határok elmosódnak, mert egyes eszközök és szolgáltatások közösen használtak, illetve a third party szolgáltatók kompromittálása mindkét oldalnak előnyös lehet. Emellett az állam-nexus aktivitások és a geopolitikai mozgatórugók miatt a detekció és attribúció nemcsak technikai, hanem diplomáciai és jogi kérdés is.
Az ENISA kiemeli, hogy a külső információmanipuláció (FIMI) műveletek egyre kifinomultabbak, nem csupán nyílt propagandát folytatnak, hanem hibrid eszközökkel — hamis profilok, bot-hálózatok, koordinált narratívák és célzott mikro-kampányok — hatnak a közvéleményre. A monitorozott mintákban egyre több esetben jelenik meg a deepfake és a generatív MI használata a hitelesség növelése vagy a bizonytalanság keltése érdekében. Az EEAS-szal közösen végzett elemzés alapján a FIMI-tevékenységek céljai lehetnek választási befolyásolás, politikai destabilizáció vagy egyszerűen a bizonytalanság növelése adott közösségekben. A dokumentum hangsúlyozza, hogy a társadalmi immunitás erősítése — médiaoktatás, transzparencia és gyors reagálás — ugyanúgy fontos, mint a technikai védelem, mert a narratívákat csak részben lehet technikailag blokkolni.
A hacktivizmus 2025-ben is aktív maradt, és az ENISA megállapítása szerint az észlelt események nagy része DDoS és defacement művelet, bár ezek jellemzően alacsony technikai kifinomultságúak és alacsony hatásúak, volumenük és a politikailag motivált célpontok miatt komoly operational burdenet jelentenek az üzemeltetők számára. A hacktivista kampányok gyakran reagálnak geopolitikai eseményekre és könnyen mozgósíthatók, ugyanakkor a klasszikus „zajgenerálás” mellett egyre több esetben találkozunk azzal, hogy hacktivisták adatszivárgást és célzott kompromittálást is végeznek. ENISA javasolja a skálázható DDoS-védelmet, a gyors incidenskommunikációt és a kritikus szolgáltatások redundanciáját, mert a hacktivista támadások kezelése gyakran szervezési és kommunikációs készségeket igényel, nem csak technikai választ.
A dokumentum részletezi a leggyakoribb TTP-ket: phishing, exploit alapú belépés, DLL-side loading, memóriaalapú végrehajtás, living-off-the-land technikák és a C2-forgalom legitim csatornák mögé rejtése. Az ENISA hangsúlyozza, hogy a technikai kontrollok mellett szervezeti gyakorlatok — például rendszeres gyakorlatok, beszállítói auditok és információmegosztás — nélkül a technológiai befektetések hozama csökken.
Az ENISA prognózisa szerint a következő időszakban a fenyegetések konvergálása folytatódik, egyre több actor típus (állami, bűnözői, hacktivista) osztozik eszközökön és módszereken, az AI további automatizációt hoz, és a supply-chain kockázatok centralizáltabb, de kevésbé transzparens támadási felületeket eredményeznek. Az európai védelemnek együtt kell fejlődnie — egyrészt technikailag, másrészt szervezetileg. Az ENISA ajánl egy adaptív megközelítést, amely a gyors reagálásra, az együttműködésre és a folyamatos ellenállóképesség építésére helyezi a hangsúlyt, mert a fenyegetések már nem egyszeri események, hanem folytonos operatív nyomás, amely rendszeres befektetést és stratégiai tervezést igényel.
