eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Cyberzagrożenia: ransomware zdetronizowany, ale czy niegroźny?

Cyberzagrożenia: ransomware zdetronizowany, ale czy niegroźny?

2022-08-05 11:52

Cyberzagrożenia: ransomware zdetronizowany, ale czy niegroźny?

Ransomware nadal groźny © BoonritP - Fotolia.com

Po ponad roku królowania na szczycie podium najbardziej aktywnych cyberzagrożeń ransomware został zdetronizowany przez ataki wykorzystujące tzw. commodity malware. Jest to efektem zakończenia działalności przez kilka ugrupowań cyberprzestępczych specjalizujących się w wyłudzaniu okupu. Tym też sposobem w II kwartale br. ransomware stanowił zaledwie 15% wszystkich ataków - wynika z obserwacji Cisco Talos Incident Response (CTIR).

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

Z tego tekstu dowiesz się m.in.:


  • Czym wyróżnia się commodity malware?
  • Jakie zasoby są bardziej narażone na ataki?
  • Na czym polega aktywność Qakbota?
  • Jak można zmniejszyć ryzyko cyberataku?

Commodity malware było najczęściej pojawiającym się zagrożeniem w minionym kwartale, co jest o tyle istotną zmianą, że wcześniej liczba obserwowanych przez zespół CTIR (Cisco Talos Incident Response) ataków wykorzystujących trojany typu commodity spadała regularnie od 2020 r.

Eksperci Cisco Talos wskazują, że obecnie obserwujemy renesans trojanów odpowiadających za ataki na pocztę elektroniczną. W okresie kwiecień – czerwiec stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer oraz Qakbot (Qbot) – dobrze znanego trojana bankowego, który w ostatnich tygodniach pojawił się w nowych skupiskach aktywności.

W dalszym ciągu najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą niezmiennie od IV kwartału 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.

Commodity malware głównym zagrożeniem w Q2 2022


W drugim kwartale tego roku zauważono znaczny wzrost zagrożeń ze strony commodity malware, które stanowiły 20% wszystkich ataków odnotowanych przez Cisco Talos Incident Response. To szkodliwe oprogramowanie można łatwo zakupić lub nawet bezpłatnie pobrać. Zazwyczaj cyberprzestępcy, którzy je wykorzystują, stawiają na efekt skali, gdyż nie jest ono dostosowane do potrzeb ataków na konkretne cele. Atakujący używają go na różnych etapach swoich operacji m.in. do dostarczania dodatkowych zagrożeń, w tym wielu wariantów złośliwego oprogramowania, o których mowa poniżej.

fot. BoonritP - Fotolia.com

Ransomware nadal groźny

W drugim kwartale szczególnie widoczne były znane już wcześniej warianty oprogramowania ransomware dostępne jako usługa (Ransomware as a Service, RaaS), takie jak BlackCat (znany również jako ALPHV) i Conti.


O tym, że phishing jest wciąż chętnie wykorzystywaną przez cyberprzestępców metodą, świadczy przykład ataku na placówkę medyczną w USA. Zespół CTIR zidentyfikował złośliwy plik Microsoft Excel (XLS) rozpowszechniany za pośrednictwem wiadomości phishingowych zawierających jeden z wariantów złośliwego programu RAT Remcos. Będący w użyciu od co najmniej 2016 roku Remcos nagrywa audio, robi zrzuty ekranu, gromadzi dane ze schowka i informacje wprowadzane za pomocą klawiatury, a także wiele więcej. Zespół CTIR zidentyfikował zdalne połączenia sieciowe przy użyciu konta administratora systemu, poza godzinami jego pracy.

W ostatnich tygodniach zespół Cisco Talos zaobserwował aktywność Qakbota, trojana przejmującego wątki e-mail. Metoda ta polega na rozsyłaniu wiadomości z historią konwersacji w treści, dzięki czemu osoba zaatakowana odnosi wrażenie, że jest to kontynuacja korespondencji. W ramach incydentu, który dotknął władze lokalne w USA, zespół CTIR zbadał trzy fale wiadomości phishingowych, które po otwarciu przez użytkownika instalowały Qakbota. Zainfekowane wiadomości były tworzone na dwa sposoby. Jednym z nich było użycie całkowicie fałszywych kont i wiadomości e-mail, które miały rzekomo zawierać dokumenty podatkowe. Drugi polegał na połączeniu sfałszowanej i prawdziwej treści wiadomości e-mail, zaprojektowanej tak, aby pojawiła się w odpowiedzi na trwającą już konwersację.

Ransomware nadal groźny


Ransomware nadal stanowił jedno z głównych zagrożeń obserwowanych przez Cisco Talos. W drugim kwartale szczególnie widoczne były znane już wcześniej warianty oprogramowania ransomware dostępne jako usługa (Ransomware as a Service, RaaS), takie jak BlackCat (znany również jako ALPHV) i Conti. Wykorzystywano je do ataku na duże organizacje, licząc na znaczne wypłaty okupu.

Mimo, że grupa Conti ogłosiła zaprzestanie działalności na początku tego roku, to potencjalny wpływ tej decyzji na krajobraz oprogramowania ransomware jest nadal nieznany. Eksperci Cisco Talos podejrzewają, że nowy wariant RaaS o nazwie Black Basta jest rebrandingiem Conti i może stanowić zagrożenie w nadchodzących kwartałach.

Z kolei ransomware LockBit pojawił się w nowej wersji, która zawiera nowe opcje płatności w kryptowalutach dla ofiar, dodatkowe taktyki wymuszeń i nowy program „bug bounty”, zachęcający do zgłaszania nowych podatności, które następnie cyberprzestępcy mogą wykorzystać do ataku.

Źle skonfigurowane zasoby są bardziej narażone na ataki


W minionym kwartale przeprowadzono również kilka akcji, w których do ataku wykorzystano podatności w publicznie dostępnych aplikacjach, routerach i serwerach. W jednym przypadku działająca w Europie firma informatyczna miała źle skonfigurowany i przypadkowo ujawniony serwer Azure. Hakerzy próbowali zdalnie uzyskać dostęp do systemu, zanim został on odizolowany. Działał on sam w swojej podsieci, ale był połączony z innymi zasobami wewnętrznymi za pośrednictwem tunelu IPSec VPN. Analiza pozwoliła na zidentyfikowanie wielu nieudanych prób logowania i ataków typu brute force, polegających na sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy z różnych zewnętrznych adresów IP.

Jak można zmniejszyć ryzyko cyberataku


Zespół CTIR zlokalizował w ostatnich miesiącach kilka programów – złodziei informacji (ang. infostealers), które wykorzystały brak odpowiednio skonfigurowanego uwierzytelniania wieloskładnikowego w zaatakowanej organizacji lub u partnerów firmy.

Eksperci Cisco Talos wskazują uwierzytelnianie wieloskładnikowe jako metodę znacznie zmniejszającą ryzyko wystąpienia cyberataku. W co najmniej dwóch incydentach w tym kwartale, partner lub osoba trzecia związana z dotkniętą atakiem organizacją, nie mieli wdrożonej tej formy zabezpieczeń, co umożliwiło napastnikowi łatwiejsze uzyskanie dostępu i dokonanie uwierzytelnienia.

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: