Cyberbezpieczeństwo
Ransomware nie jest już najczęściej występującym cyberzagrożeniem
Po raz pierwszy od ponad roku ransomware nie jest głównym zagrożeniem w cyberprzestrzeni, nieznacznie wyprzedziły go ataki wykorzystujące tzw. commodity malware. W porównaniu z poprzednimi kwartałami, ransomware stanowił znacznie mniejszy odsetek wszystkich ataków. Co jest tego powodem?
Jak wynika z najnowszego raportu Cisco Talos Incident Response (CTIR), który zajmuje się monitorowaniem incydentów w cyberprzestrzeni, ransomware nie było już najczęściej występującym cyberzagrożeniem w II kwartale 2022 roku. Ma to związek z zakończeniem działalności kilku grup, które zajmowały się ransomware, czyli atakami z wykorzystaniem oprogramowania szyfrującego dla okupu.
Jakie zagrożenie występowało najczęściej? To commodity malware - szkodliwe oprogramowanie, które można kupić lub nawet bezpłatnie pobrać. Używane jest do ataku na określone cele, używane dla efektu skali, często na różnych etapach operacji cyberprzestępców. Wykorzystuje się je np. po to, by dostarczyć nowego rodzaju zagrożenia i kilku wariantów złośliwego oprogramowania, co ma utrudnić likwidowanie skutków cyberataku. W drugim kwartale tego roku commodity malware stanowiły 20 proc. wszystkich ataków odnotowanych przez Cisco Talos Incident Response.
Wcześniej liczba obserwowanych przez zespół CTIR (Cisco Talos Incident Response) ataków, które wykorzystywały trojany typu commodity spadała regularnie od 2020 roku, zatem zaskakującym jest fakt, że w II kwartale - zaczęła rosnąć.
Zdaniem ekspertów, "renesans" przeżywają też trojany atakujące pocztę elektroniczną. Między kwietniem a czerwcem stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer oraz Qakbot (Qbot) – trojana bankowego.
Najczęściej atakowane były firmy z branży telekomunikacyjnej, którą niezmiennie od IV kwartału 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.
Czytaj też
Phishing i trojany wciąż dużym zagrożeniem
O tym, że phishing jest wciąż chętnie wykorzystywaną przez cyberprzestępców metodą, świadczy przykład ataku na placówkę medyczną w USA - wskazują eksperci. Zespół CTIR zidentyfikował złośliwy plik Microsoft Excel (XLS) rozpowszechniany za pośrednictwem wiadomości phishingowych, zawierających jeden z wariantów złośliwego programu RAT Remcos. Nagrywa on audio, robi zrzuty ekranu, gromadzi dane ze schowka czy informacje wprowadzane za pomocą klawiatury.
Czytaj też
W ostatnich tygodniach zaobserwowano także aktywność Qakbota, trojana przejmującego wątki e-mail. Metoda ta polega na rozsyłaniu wiadomości z historią konwersacji w treści, dzięki czemu osoba zaatakowana odnosi wrażenie, że jest to kontynuacja korespondencji.
Ransomware nadal groźny
Ransomware nadal stanowił jedno z głównych zagrożeń - w drugim kwartale szczególnie widoczne były znane już wcześniej warianty oprogramowania ransomware dostępne jako usługa (Ransomware as a Service, RaaS), takie jak BlackCat (znany również jako ALPHV) i Conti. Wykorzystywano je do ataku na duże organizacje, licząc na znaczne wypłaty okupu.
Z kolei ransomware LockBit pojawił się w nowej wersji, która zawiera nowe opcje płatności w kryptowalutach dla ofiar, dodatkowe taktyki wymuszeń i nowy program „bug bounty”, zachęcający do zgłaszania nowych podatności, które następnie cyberprzestępcy mogą wykorzystać do ataku.
Czytaj też
Ataki typu brute force
W minionym kwartale przeprowadzono również kilka akcji, w których do ataku wykorzystano podatności w publicznie dostępnych aplikacjach, routerach i serwerach.
W jednym przypadku działająca w Europie firma informatyczna miała źle skonfigurowany i przypadkowo ujawniony serwer Azure. Hakerzy próbowali zdalnie uzyskać dostęp do systemu, zanim został on odizolowany. Działał on sam w swojej podsieci, ale był połączony z innymi zasobami wewnętrznymi za pośrednictwem tunelu IPSec VPN.
Analiza pozwoliła na zidentyfikowanie wielu nieudanych prób logowania i ataków typu brute force, polegających na sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy z różnych zewnętrznych adresów IP.
Czytaj też
Jak można zmniejszyć ryzyko cyberataku
Zespół CTIR zlokalizował w ostatnich miesiącach kilka programów – złodziei informacji (ang. infostealers), które wykorzystały brak odpowiednio skonfigurowanego uwierzytelniania wieloskładnikowego w zaatakowanej organizacji lub u partnerów firmy.
Eksperci Cisco Talos wskazują uwierzytelnianie wieloskładnikowe jako metodę znacznie zmniejszającą ryzyko wystąpienia cyberataku. W co najmniej dwóch incydentach w tym kwartale, partner lub osoba trzecia związana z dotkniętą atakiem organizacją, nie mieli wdrożonej tej formy zabezpieczeń, co umożliwiło napastnikowi łatwiejsze uzyskanie dostępu i dokonanie uwierzytelnienia.
/Na podst. informacji prasowej
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].