Najczęstsze cyberataki: pora na kradzież danych z szantażem w tle

Przeczytaj także: Ransomware wraca do łask cyberprzestępców

Ransomware był drugim najczęściej obserwowanym zagrożeniem w minionym kwartale, odpowiadając za 17 procent cyberataków (wzrost z 10 proc.). W analizowanym okresie eksperci Cisco Talos zaobserwowali znane już wcześniej rodziny ransomware, takie jak LockBit i Royal. Kilka typów ransomware, w tym 8base i MoneyMessage, pojawiło się po raz pierwszy.

Skradzione dane uwierzytelniające lub przejęte profile użytkowników były najczęściej obserwowanymi sposobami uzyskiwania początkowego dostępu i występowały w blisko 40 proc. wszystkich cyberataków.

Służba zdrowia drugi raz z rzędu była najczęściej atakowanym sektorem, stanowiąc cel w 22 procentach cyberataków. Tuż za nią znalazły się usługi finansowe.

Cyfrowi szantażyści coraz zuchwalsi

Kradzież danych była najczęściej obserwowanym zagrożeniem w drugim kwartale tego roku, stanowiąc 30 procent wszystkich zagrożeń, które wykrył zespól Cisco Talos. Pokrywa się to z publicznymi doniesieniami o rozkwicie grup przestępczych, kradnących dane i wymuszających okup, lecz niekorzystających przy tym z oprogramowania ransomware szyfrującego pliki.

Choć proceder ten nie jest oczywiście nowością, to jednak liczba incydentów w ostatnim kwartale sugeruje, że finansowo przestępcy coraz częściej postrzegają to jako realny sposób na otrzymanie ostatecznej wypłaty. Przeprowadzanie ataków ransomware prawdopodobnie staje się coraz trudniejsze ze względu na globalne wysiłki organów ścigania i rozwój świadomości niebezpieczeństw w branży, a także wdrażanie mechanizmów obronnych, takich jak zwiększone możliwości wykrywania behawioralnego oraz rozwiązania do wykrywania i reagowania na punktach końcowych (EDR).

W tym kwartale po raz pierwszy w badaniach Cisco Talos odnotowano aktywność grup wymuszających okup RansomHouse i Karakurt. Aktywny od 2021 roku Karakurt zazwyczaj uzyskuje dostęp do środowisk korporacyjncych z przejętych kont użytkowników, phishingu lub – podobnie jak RansomHouse – poprzez wykorzystywanie podatności.

Ransomware stanowił 17 procent całkowitej liczby incydentów odnotowanych przez Cisco Talos w okresie od kwietnia do czerwca, co stanowi niewielki wzrost w porównaniu z 10 procentami w poprzednim kwartale. Cyberataki ransomware autorstwa 8base i MoneyMessage zostały zaobserwowane po raz pierwszy, a ponadto wykryte zostały znane już wcześniej kampanie LockBit i Royal.

Wektory cyberataków

W większości incydentów, na które Cisco Talos odpowiedziało w minionym kwartale, atakujący uzyskali początkowy dostęp wykorzystując przejęte dane uwierzytelniające w celu uzyskania dostępu do prawidłowych kont. Wykorzystanie prawidłowych kont zaobserwowano w prawie 40 procentach wszystkich incydentów, co stanowi 22-procentowy wzrost w porównaniu z 1. kwartałem 2023 roku.

Trudno powiedzieć, w jaki sposób przeciwnicy uzyskali poświadczenia używane do uzyskiwania dostępu do prawidłowych kont. Istnieje wiele sposobów, w jakie dane uwierzytelniające mogą zostać skradzione, takich jak naruszenia danych stron trzecich, złośliwe oprogramowanie przechwytujące informacje, takie jak Redline, czy kampanie phishingowe. Jest to szczególnie możliwe, jeśli pracownicy ponownie używają poświadczeń na wielu kontach, co podkreśla znaczenie stosowania silnych zasad dotyczących haseł i włączania uwierzytelniania wieloskładnikowego na krytycznych serwerach.

Słabe punkty systemów bezpieczeństwa

Brak uwierzytelniania wieloskładnikowego lub niewłaściwe wdrożenie MFA w krytycznych usługach było przyczyną ponad 40 procent cyberataków, w których zespół Cisco Talos musiał zainterweniować w ubiegłym kwartale. Wielu z nich można było zapobiec, gdyby MFA było włączone w kluczowych usługach, takich jak VPN. W prawie 40 procentach przypadków atakujący byli w stanie wykorzystać naruszone dane uwierzytelniające, aby uzyskać dostęp do prawidłowych kont, z których 90 procent nie miało włączonego uwierzytelniania wieloskładnikowego.

W niektórych przypadkach przeciwnicy byli w stanie ominąć MFA za pomocą ataków wyczerpania/zmęczenia MFA. Ataki wyczerpania MFA mają miejsce, gdy atakujący próbuje wielokrotnie uwierzytelniać się na koncie użytkownika przy użyciu prawidłowych danych uwierzytelniających, aby przytłoczyć ofiary powiadomieniami push MFA, mając nadzieję, że w końcu je zaakceptują, umożliwiając atakującemu pomyślne uwierzytelnienie się na koncie. Identyfikacja i edukacja użytkowników są kluczowymi elementami przeciwdziałania technikom omijania MFA. Zespoły odpowiedzialne za cyberbezpieczeństwo firm muszą edukować pracowników z kim należy się kontaktować w takich sytuacjach, aby ustalić, czy zdarzenie było awarią, czy stanowiło część cyberataku.

Zespół Cisco Talos zaleca wyłączenie dostępu VPN dla wszystkich kont, które nie mają włączonego MFA. Dodatkowo, Cisco Talos zaleca rozszerzenie MFA dla wszystkich kont użytkowników (np. pracowników, wykonawców, partnerów biznesowych itp.). Zespół Cisco Talos ujawnił, że cyberprzestępcy atakują konta dostawców i podwykonawców (VCA – vendors and contractors), które zazwyczaj mają rozszerzone uprawnienia i dostęp. Konta VCA są często pomijane podczas audytów kont ze względu na zaufanie pokładane w stronie trzeciej, co czyni je łatwym celem dla atakujących. Zalecane jest usuwanie takich kont, gdy nie są one potrzebne i wdrażanie dostępu z najmniejszymi uprawnieniami oraz sprawdzanie czy rejestrowanie i monitorowanie bezpieczeństwa jest włączone dla kont VCA.

Eksperci Cisco Talos zalecają również firmom przeprowadzenie regularnych audytów haseł na wszystkich kontach użytkowników i usług, aby upewnić się, że złożoność i siła są zgodne z najlepszymi praktykami branżowymi dla każdego typu konta.