Raport Cisco Talos Incident Response Trends Q3 2024 zbadał aktualne incydenty naruszenia bezpieczeństwa w sieci. Najbardziej popularne w ostatnich miesiącach były ataki związane z tożsamością cyfrową, a kradzież poświadczeń była głównym celem w co czwartym przypadku. Najbardziej dotknięte atakami branże to edukacja, produkcja przemysłowa i sektor usług finansowych.
Ataki na naszą tożsamość cyfrową są szczególnie niebezpieczne ponieważ często odbywają się wewnątrz systemu i są trudne do wykrycia. Po przejęciu konta haker może podejmować szereg złośliwych działań, takich jak tworzenie nowych kont, czy zwiększenie uprawnień w celu uzyskania dostępu do bardziej wrażliwych informacji.
Naruszenia haseł i phishing
W trzecim kwartale 2024 roku aż 25 proc, incydentów dotyczyło ataków password spraying i/lub brute force. Pierwszy typ ataku polega na próbie uzyskania dostępu do wielu kont, używając niewielkiej liczby powszechnych haseł – np. „123456”, natomiast brute force to metoda ataku polegająca na systematycznym sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy szyfrujących, aby uzyskać dostęp do chronionego zasobu.
Zespół Cisco Talos zaobserwował również ataki phishingowe typu AitM. Ataki phishingowe typu Adversary-in-the-Middle (AitM) to zaawansowana forma phishingu, w której cyberprzestępcy używają pośredniego serwera do przechwytywania poświadczeń i sesji użytkownika w czasie rzeczywistym. W klasycznym phishingu użytkownik zostaje oszukany i sam przekazuje swoje dane logowania na fałszywej stronie. Natomiast w ataku AitM przestępca, wykorzystując zewnętrzny serwer, staje się „pośrednikiem” pomiędzy użytkownikiem a prawdziwą witryną. Dzięki temu może przechwycić nie tylko nazwę użytkownika i hasło, ale także tokeny sesji lub kody jednorazowe, które służą do uwierzytelnienia dwuskładnikowego (2FA).
W jednym z przypadków Cisco Talos zbadał incydent phishingowy, w którym po kliknięciu złośliwego linku w e-mailu phishingowym ofiara została przekierowana na stronę, która wymagała wprowadzenia poświadczeń, a następnie zatwierdziła żądanie MFA. W innym incydencie, e-mail phishingowy przekierował użytkownika na stronę, która symulowała logowanie do Microsoft O365 oraz portal MFA, przechwytując poświadczenia użytkownika i logując się na jego koncie. Pierwsze logowanie przez podmiot atakujący miało miejsce raptem 20 minut po wysłaniu e-maila phishingowego.
Ransomware
Ransomware, pre-ransomware oraz wymuszenia związane z kradzieżą danych stanowiły niemal 40 proc. incydentów odnotowanych w minionym kwartale. Zespół Cisco Talos po raz pierwszy zaobserwował warianty ransomware RansomHub, RCRU64 i DragonForce, jak również te dobrze już znane grupy: BlackByte, Cerber i BlackSuit. Jedna trzecia ataków dotyczyła wykorzystywania znanych luk, czego przykładem może być zaobserwowany incydent z udziałem ransomware BlackByte, dotyczący eksploatacji luki ESXi hypervisor.
Pomimo pojawiających się ciągle nowych grup ransomware, te działające już od dłuższego czasu nadal stanowią poważne zagrożenie. Eksperci z Cisco Talos odnotowali aktywność grupy RansomHub w dwóch osobnych incydentach, gdzie stosowano różne modele wymuszeń: podwójne wymuszenie i wymuszenie związane z kradzieżą danych. W przypadku wymuszenia związanego z kradzieżą danych, sprawcy grozili ujawnieniem wykradzionych informacji bez użycia ransomware czy szyfrowania. Natomiast w modelu podwójnego wymuszenia wdrażali ransomware, szyfrowali dane i wykradali je, by wymusić okup. Pod koniec sierpnia CISA wydała ostrzeżenie dotyczące RansomHub, podając wskaźniki kompromitacji (IOC) oraz taktyki, techniki i procedury (TTP) używane przez grupę. Choć RansomHub odkryto w lutym 2024 roku, ostatnie incydenty i ostrzeżenie CISA wskazują, że nadal stanowi istotne zagrożenie, które wymaga monitorowania.
Uzyskiwanie początkowego dostępu
Po raz czwarty z rzędu w ciągu ostatniego roku najczęściej obserwowanym sposobem uzyskiwania początkowego dostępu było wykorzystanie ważnych kont (66% incydentów). To niewielki wzrost w porównaniu do poprzedniego kwartału (60%). Dodatkowo, 20% interwencji Cisco Talos dotyczyło incydentów, w których wykorzystywano podatne i publicznie dostępne aplikacje. Eksperci Cisco Talos oceniają, że sprzęt sieciowy pozostanie atrakcyjnym celem ze względu na dużą powierzchnię ataku, którą oferuje, oraz potencjalny dostęp do sieci ofiar. Ta wiedza ponownie uwydatnia konieczność regularnego aktualizowania systemów, zwłaszcza w przypadku urządzeń narażonych na ataki z sieci.
Błędy w zabezpieczeniach
Wciąż zauważalna jest znaczna liczba kompromitacji, których można było uniknąć przy zastosowaniu podstawowych zasad bezpieczeństwa, takich jak MFA oraz właściwa konfiguracja produktów do wykrywania zagrożeń w urządzeniach końcowych. W przypadku niemal 40 proc. incydentów głównym powodem naruszeń było źle skonfigurowane MFA, jego brak lub omijanie. Dodatkowo, we wszystkich interwencjach Cisco Talos podejmowanych po atakach phishingowych okazywało się, że MFA było omijane lub nie było w pełni włączone, podczas gdy w ponad 20 proc. incydentów dotyczących ransomware, MFA nie było aktywowane na VPN-ach.
Inne nieprawidłowości, które grupa Cisco Talos obserwuje co kwartał, dotyczą niewłaściwego wykrywania i reagowania na zagrożenia na urządzeniach końcowych (EDR) lub błędnej konfiguracji rozwiązań zabezpieczających. Na przykład brak EDR we wszystkich systemach i/lub źle skonfigurowane rozwiązania EDR.
Raport Cisco Talos podkreśla też, że ataki na tożsamość są poważnym zagrożeniem, zwłaszcza w sektorach edukacji, produkcji przemysłowej i usług finansowych. Wiele z wykrytych incydentów mogło być zminimalizowanych dzięki wdrożeniu skutecznych praktyk bezpieczeństwa, takich jak MFA i odpowiednia konfiguracja systemów. W związku z tym regularne monitorowanie i aktualizacja zabezpieczeń są kluczowe dla ochrony przed tego rodzaju atakami w przyszłości.
Źródło: mat. prasowy Cisco
