Najnowszy raport Cisco Talos dotyczący incydentów naruszeń bezpieczeństwa w drugim kwartale tego roku wskazuje, że branża technologiczna jest obecnie najbardziej narażona na ataki hakerskie. Tuż za nią uplasował się sektor ochrony zdrowia, farmacji i handlu detalicznego. Ponadto, raport potwierdza, że uwierzytelnianie wieloskładnikowe jest najbardziej skutecznym zabezpieczeniem przed atakami takimi jak ransomware, który nadal pozostaje jednym z głównych wyzwań w zakresie bezpieczeństwa.
Cisco Talos Incident Response (IR) podaje, że podatne lub niewłaściwie skonfigurowane systemy oraz brak odpowiedniej autoryzacji wieloskładnikowej stanowiły najczęstsze luki w zabezpieczeniach w incydentach odnotowanych w II kwartale 2024 roku. Te dwa czynniki zaobserwowano w niemal wszystkich przypadkach. W 80 procentach incydentów z udziałem ransomware brakowało odpowiedniej implementacji MFA (uwierzytelniania wieloskładnikowego) w systemach krytycznych, takich jak VPN. Brak lub niewłaściwa implementacja uwierzytelniania wieloskładnikowego nadal jest jednym z większych wyzwań dla cyberbezpieczeństwa w 2024 roku, ponieważ atakujący szukają sposobów na obejście tej metody logowania lub poszukują sieci, które w ogóle jej nie posiadają.
BEC i ransomware w czołówce zagrożeń
Ataki typu Business Email Compromise (BEC) i ransomware były najczęściej występującymi zagrożeniami w minionym kwartale, stanowiąc łącznie 60 procent wszystkich interwencji Cisco Talos. Pomimo spadku liczby przypadków BEC w porównaniu do poprzedniego kwartału, to nadal te oszustwa stanowiły główne zagrożenia, drugi kwartał z rzędu.
Ataki BEC wykorzystują wiarygodne konta e-mail w celu wysyłania wiadomości phishingowych, aby uzyskać dane wrażliwe, takie jak hasła logowania. Cyberprzestępcy mogą również wykorzystywać zainfekowane konta do rozsyłania wiadomości z fałszywymi żądaniami finansowymi, takimi jak zmiana danych do kont bankowych związanych z listą płac lub fakturami od dostawców.
W kilku zaobserwowanych incydentach BEC, które obejmowały metodę phishingu jako wektor infekcji, przeciwnicy wykorzystali „smishing” (phishing SMS-owy) w celu nakłonienia odbiorców do udostępnienia danych osobowych lub kliknięcia w złośliwy link.
Metody i techniki ataków
Najczęstszym sposobem uzyskania początkowego dostępu było wykorzystanie skradzionych danych uwierzytelniających do kont, co stanowiło 60 procent wszystkich przypadków. Odnotowano 25-procentowy wzrost w porównaniu do poprzedniego kwartału, w którym również ten sposób był jednym z głównych wektorów ataku.
Cisco Talos IR zaobserwował niewielki wzrost liczby ataków na urządzenia sieciowe, które stanowiły 24 procent wszystkich ataków. Działania te obejmowały łamanie haseł, skanowanie luk w zabezpieczeniach i exploity. Eksperci ostrzegają, że urządzenia sieciowe powinny być regularnie naprawiane i stale monitorowane, ponieważ zapewniają ścieżkę dla poufnych danych wchodzących i wychodzących z sieci. W przypadku włamania, przeciwnik może natychmiast wkroczyć do organizacji, przekierować lub zmienić ruch sieciowy i monitorować komunikację sieciową.
Najczęściej występującą techniką wykonywania ataków, stanowiącą 41 procent wszystkich interwencji w tym kwartale było wykorzystanie PowerShell. Oznacza to wzrost o 33 procent w stosunku do poprzedniego kwartału.
Wszystko wskazuje również na to, że międzynarodowej akcji organów ścigania znanej pod nazwą „Operation Endgame”, udało się przynajmniej tymczasowo zatrzymać działania botnetów i malware typu loader. Cisco Talos podkreśla, że będzie nadal monitorować niektóre z botnetów, których działalność miała zostać zakłócona, takie jak IcedID i Pikabot.
Branża technologiczna pod ostrzałem
Firmy z branży technologicznej były najbardziej narażone na ataki w II kwartale 2024 roku, stanowiąc 24 procent wszystkich incydentów, co wskazuje na prawie 30-procentowy wzrost w porównaniu do poprzedniego kwartału.
Organizacje z sektora technologicznego są postrzegane jako brama do firm z innych sektorów, ponieważ odgrywają kluczową rolę w dostarczaniu i obsłudze szerokiego zakresu usług. Często dysponują rozbudowanymi zasobami cyfrowymi wspierającymi infrastrukturę krytyczną, co oznacza, że nie mogą sobie pozwolić na przestoje, a w związku z tym z perspektywy hakerów mogą być bardziej skłonne do spełniania żądań okupu.
Jak klienci mogą się chronić przed atakiem? Główne wnioski
Brak uwierzytelniania dwuskładnikowego pozostaje jednym z największych problemów w zakresie bezpieczeństwa przedsiębiorstw. Wszystkie firmy powinny wdrożyć logowanie dwuetapowe, takie jak Cisco Duo, aby utrudnić hakerom drogę do swoich poufnych danych. Wdrożenie uwierzytelniania dwuskładnikowego oraz systemu pojedynczego logowania (SSO) sprawia, że tylko zaufane strony mają dostęp do firmowych kont e-mail, co zapobiega rozprzestrzenianiu się ataków typu BEC.
Rozwiązania do wykrywania i reagowania na zagrożenia w punktach końcowych, takie jak Cisco Secure Endpoint, mogą wykrywać złośliwą aktywność w sieciach i na urządzeniach w organizacji. Atakujący często próbowali obejść uwierzytelnianie wieloskładnikowe w rozwiązaniach do wykrywania i reagowania w punktach końcowych, aby wyłączyć mechanizmy alarmowe.
Snort i ClamAV mogą skutecznie blokować wiele topowych grup ransomware, takich jak Black Basta i BlackSuit, które były szczególnie aktywne w tym kwartale.
W obliczu ogromnej liczby ataków typu BEC i ransomware organizacje muszą priorytetowo traktować bezpieczeństwo swoich systemów. Tylko poprzez kompleksowe podejście do cyberbezpieczeństwa można skutecznie chronić się przed coraz bardziej zaawansowanymi zagrożeniami.
Źródło: Cisco