Ataki web shell po raz pierwszy w historii najpopularniejszym cyberzagrożeniem

Liczba ataków typu malware za pośrednictwem powłok internetowych (web shell) zdecydowanie wzrosła w I kwartale 2023 roku. Z analiz Cisco Talos wynika, że była to najpopularniejsza forma ataku i stanowiła aż jedną czwartą wszystkich incydentów badanych w tym okresie.

W I kwartale br. publicznie dostępne aplikacje internetowe były głównym celem atakujących, pokazały badania Cisco Talos. Prawie połowa wszystkich ataków (45 proc.) wykorzystywała takie aplikacje jako początkowy wektor do uzyskania dostępu do systemów. W porównaniu z poprzednim kwartałem stanowi to wzrost o 15 proc. Wiele z tych ataków wykorzystywało web shell, które kompromitowały serwery dostępne przez internet. Taka forma cyberprzestępstwa polega na zamaskowaniu złośliwego skryptu pod przykrywką normalnego pliku i otwierając backdoor do serwera WWW, który następnie używany jest przez cały okres infiltracji. Według analityków Talos, napastnicy korzystali z faktu, że wiele kont użytkowników aplikacji internetowych było chronionych jedynie słabymi hasłami lub uwierzytelnianiem jednoczynnikowym.

Zagrożenie ze strony oprogramowania ransomware pozostaje wysokie. Odsetek udanych ataków ransomware zmniejszył się o połowę, ale aktywności poprzedzające tę formę wyłudzeń pozostały na stałym, wysokim poziomie. Odsetek wykrytych ataków typu ransomware spadł z 20 proc. do 10 proc. Tak zwane działania pre-ransomware stanowiły około 1/5 wszystkich ataków. Cisco Talos było w stanie przypisać wiele działań przygotowawczych do ataku najpopularniejszym grupom ransomware, takim jak Vice Society.

W I kw. 2023 r. głównym celem przestępców był sektor opieki zdrowotnej, a tuż za nim handel detaliczny, nieruchomości i branża hotelarska.

W I kw. 2023 r. po raz kolejny pojawiły się tzw. commodity loadery, takie jak Qakbot, które były widoczne już wcześniej. Qakbot często wykorzystywał złośliwe dokumenty OneNote, jednak wątek złośliwych załączników OneNote zaobserwowano również w innych formach ataków.

Więcej wniosków z analiz specjalistów Cisco Talos dot. cyberzagrożeń w I kwartale 2023 r. na blogu: Cisco Talos: Incident Response Trends w Q1 2023.

 
(źr. Cisco Talos)