Przejęta tożsamość użytkowników to obecnie najbardziej popularna broń w rękach hakerów. W minionym roku cyberprzestępcy nie musieli łamać skomplikowanych zabezpieczeń ani tworzyć zaawansowanego malware’u. Wystarczyło im jedno – dostęp do skradzionych danych logowania. Raport Cisco Talos Year in Review ujawnia, że większość ataków polegała na przejmowaniu kont użytkowników, co pozwalało hakerom swobodnie poruszać się po firmowych systemach, nie wzbudzając podejrzeń.
Aż 60% przypadków incydentów analizowanych przez zespół Cisco Talos Incident Response było związanych z atakami na tożsamość. Cyberprzestępcy coraz częściej uzyskują dostęp do systemów po prostu logując się przy użyciu skradzionych identyfikatorów sesji, kluczy API czy certyfikatów cyfrowych.
W przypadku ataków ransomware skala problemu jest jeszcze większa – niemal 70% analizowanych incydentów obejmowało wykorzystanie legalnych kont do uzyskania początkowego dostępu. W 2024 roku najczęściej atakowanym sektorem było szkolnictwo wyższe. Przyczyną jest m.in. ograniczony budżet na cyberbezpieczeństwo oraz duża liczba użytkowników, którzy korzystają z tych systemów. Na kolejnych miejscach znalazły się administracja publiczna, przemysł wytwórczy, opieka zdrowotna i finanse.
Inne kluczowe wnioski z raportu Cisco Talos:
- Grupy ransomware potrafią skutecznie unieszkodliwiać systemy ochronne swoich ofiar – udało im się to w większości przypadków obserwowanych przez Cisco Talos, prawie zawsze z powodzeniem.
- Najbardziej aktywną grupą ransomware w 2024 roku pozostaje LockBit, mimo że w marcu minionego roku próbowano ją rozbić. Na drugim miejscu uplasowała się relatywnie nowa grupa RansomHub, która atakuje duże organizacje i żąda wysokich okupów.
- 44% ataków na tożsamość dotyczyło usługi Active Directory.
- 20% ataków na tożsamość obejmowało aplikacje chmurowe, a API stały się szczególnie atrakcyjnym celem, mając dostęp do wielu wrażliwych danych.
- Najczęściej atakowane luki w zabezpieczeniach w 2024 roku to w większości starsze CVE (Common Vulnerabilities and Exposures), znane już od kilku lat.
- W 2024 roku hakerzy najczęściej atakowali stare podatności, m.in. w Apache Log4j czy Bash, co tworzy niezwykle szeroką powierzchnię ataku, wykorzystywaną przez cyberprzestępców do infiltracji wielu branż na całym świecie.
Eksperci Cisco Talos alarmują – cyberprzestępcy wcale nie muszą szukać nowych luk. Wiele z nich nadal wykorzystuje stare podatności, które pozostają w użyciu od lat. Niezaktualizowane systemy, źle skonfigurowane zabezpieczenia i brak skutecznej polityki dostępu to kluczowe czynniki ułatwiające ataki.
„Obecny krajobraz zagrożeń pokazuje, że dla organizacji kluczowe jest dziś bardziej niż kiedykolwiek priorytetowe traktowanie podstawowych zasad cyberbezpieczeństwa oraz wdrażanie skutecznych mechanizmów ochrony tożsamości” – mówi Holger Unterbrink, lider techniczny w Cisco Talos. „Kolejnym istotnym problemem jest wykorzystywanie starszych podatności – niektóre z nich mają już dekady, a mimo to wciąż występują w powszechnie używanym oprogramowaniu i sprzęcie. Wiele z najczęściej atakowanych podatności dotyczy właśnie urządzeń, dla których nie są już dostępne aktualizacje zabezpieczeń”.
Chociaż AI wciąż kojarzy się z zaawansowanymi cyberatakami, w rzeczywistości cyberprzestępcy wykorzystują ją w bardziej pragmatyczny sposób. Zamiast opracowywać nowe metody ataku, AI służy głównie do ulepszania istniejących technik, takich jak inżynieria społeczna, phishing czy automatyzacja zadań.
5 podstawowych zasad cyberbezpieczeństwa według Cisco Talos:
1. Regularnie instaluj aktualizacje i poprawki zabezpieczeń – przestarzałe systemy to otwarte drzwi dla atakujących.
2. Stosuj silne uwierzytelnianie – używaj MFA i złożonych haseł.
3. Zabezpiecz dostęp do sieci – wdrażaj mechanizmy kontroli dostępu i segmentację systemów.
4. Szyfruj ruch – ochrona danych powinna obejmować także monitorowanie i konfigurację systemów.
5. Bądź na bieżąco – śledź rekomendacje branżowe i aktualizuj polityki bezpieczeństwa.
Źródło: Cisco
