Uniunea Europeană a fost ținta a peste 4.800 de atacuri cibernetice între iulie 2024 și iunie 2025, incidentele de tipul DDoS (distributed denial-of-service) fiind cele mai frecvente.
În afară de DDoS, Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) a analizat activități cibercriminale din partea grupărilor ransomware, hacktiviștilor, și ale actorilor statali.
Gamă variată de amenințări
Atacurile ransomware continuă să fie cele mai devastatoare, asta și datorită brokerilor care vând acces inițial în rețea (RDP, VPN) la prețuri mici și în număr mare.
ENISA a analizat în total 4875 de atacuri. Aproape 80% din cazuri au fost campanii DDoS lansate preponderent de grupări hacktiviste, în special gruparea NoName057(16) care și-a asumat răspunderea pentru mai mult de 60% dintre ele.
Recent, gruparea NoName a vizat mai multe site-uri din România, printre care cele de la Metrorex, CFR, al Camerei Deputaților, al Ministerului Justiției, și al Bursei de Valori București.
Agenția de securitate spune că aceste atacuri au avut un impact redus și au vizat site-urile unor organizații din statele membre.Dintre actorii statali, agenția europeană spune că APT28, APT29, și Sandworm au fost cei mai activi în spațiul EU, vizând în special organizații din administrația publică, sectorul de apărare, și de telecomunicații.
Toate cele trei grupări sunt asociate cu structuri militare și de informații din Rusia, respectiv Serviciului de Informații Externe (SVR) și unitățile 26165 și 74455 din cadrul Centrului de Servicii Speciale ale Directoratul General de Servicii Speciale (GRU).Hackerii statali ruși s-au concentrat pe activități de spionaj cibernetic și de manipulare informațională, cel mai remarcabil efort din a doua categorie fiind campania de dezinformare Matryoska (Operation Overload) începută încă din Septembrie 2023.
Într-un raport al serviciul guvernamental francez de monitorizare și protecție împotriva ingerințelor digitale străine (VIGINUM), Matryoska a răspândit informații false prin imitarea instituțiilor media, având ca scop aparent semănarea dezbinării în țările democratice și promovarea de narațiuni pro-ruse prin sute de videoclipuri manipulate cu ajutorul inteligenței artificiale.
Vectori de acces inițial
Metoda principală de acces inițial în sistemele vizate a fost phishing-ul (60%) – în campanii malițioase de spam, vishing (voice phishing), și advertising, iar exploatarea vulnerabilităților este pe locul doi, fiind folosită în 21,3% din cazuri.În majoritatea incidentelor (68%), activitatea imediată accesului inițial a fost livrarea și executarea de malware, informează raportul ENISA.
Din punct de vedere sectorial, administrația publică rămâne cea mai vizată, cu 38,2% dintre incidente, urmată de organizații din zona transporturilor (7,5%), infrastructura digitală și serviciile (4,8%), finanțele (4,5%) și producția (2,9%).
Analiza ENISA menționează că se observă o convergență tot mai mare între tacticile și obiectivele grupurilor de amenințare, inclusiv “faketivismul”, unde actorii statali folosesc caracteristici ale hacktivismului.
Agenția europeană mai subliniază și rolul tot mai important al inteligenței artificiale (IA) pentru optimizarea atacurilor malițioase, în special în campanii de phishing automatizate.
Totodată, atacurile asupra lanțului de aprovizionare (supply-chain attacks) cu AI cresc, precum și volumul incidentelor ce vizează dispozitivele mobile, în special cele mai vechi.
Peste jumătate din incidentele totale au vizat entități esențiale conform Directivei NIS 2, ceea ce confirmă relevanța acestei reglementări pentru securitatea infrastructurilor critice europene.
