Europa była w 2023 roku najczęściej atakowanym regionem, doświadczając 32 proc. globalnych cyberincydentów, wynika z raportu IBM „2024 X-Force Threat Intelligence Index”. Potwierdza on też narastający globalny problem kradzieży tożsamości. Obecnie cyberprzestępcy dwukrotnie częściej wykorzystują tożsamość użytkowników w celu przeprowadzenia ataku na przedsiębiorstwa.
Jak wynika z analiz IBM X-Force – jednostki IBM Consulting świadczącej usługi z zakresu cyberbezpieczeństwa – w 2023 r. cyberprzestępcy dostrzegli więcej możliwości „logowania się" niż włamywania do sieci korporacyjnych za pośrednictwem aktywnych kont, co czyni tę taktykę preferowaną wśród przestępców.
Główne wnioski z raportu X-Force dotyczące incydentów bezpieczeństwa w Europie:
- Blisko 1/3 światowych ataków była wymierzona w Europę, co stanowi rekordową liczbę jaką zespół X-Force kiedykolwiek raportował w skali regionalnej.
- Najczęściej atakowanymi krajami były Wielka Brytania (27 proc.); Niemcy (15 proc., Dania (14 proc.), Portugalia (11 proc.), Włochy (8 proc.) i Francja (8 proc.).
- W całej Europie zespół X-Force zaobserwował 66 proc. wzrost (r/r) ataków spowodowanych użyciem aktywnych kont.
- Najsłabszymi ogniwami organizacji z Europy były tożsamości użytkowników i wiadomości e-mail – nadużywanie aktywnych kont (30 proc.) i phishing (30 proc.) stanowiły najczęstszą przyczynę ataków w regionie.
- Najczęściej obserwowanym działaniem, odpowiadającym za 44 proc. incydentów, było wykorzystanie złośliwego oprogramowania (malware). Co istotne, to Europa doświadczyła największej liczby ataków ransomware na świecie (26 proc.).
- Trzy główne skutki cyberataków na organizacje z Europy to zbieranie danych uwierzytelniających (28 proc.), wymuszenia (24 proc.) i wyciek danych (16 proc.).
- W zestawieniu najczęściej atakowanych branż, produkcja przesunęła się z drugiego (2022) na miejsce pierwsze (28 proc. incydentów).
- Drugie miejsce wśród najczęściej atakowanych branż zajęły usługi profesjonalne, biznesowe i konsumenckie (25 proc. incydentów), a na dwóch kolejnych miejscach uplasowały się sektory finansów i ubezpieczeń (16 proc.) oraz energetyczny (14 proc.).
- Łącznie w Europie najwyższy odsetek incydentów miał miejsce w sektorze energetycznym (43 proc.) oraz w finansach i ubezpieczeniach (37 proc.).
Dane dotyczące incydentów bezpieczeństwa na terenie UE pokazują, że:
- Prawie 70 proc. ataków wymierzonych w organizacje z Europy, na które zareagował X-Force, wystąpiło w państwach członkowskich UE.
- Blisko 74 proc. zaobserwowanych ataków dotyczyło infrastruktury krytycznej.
- Złośliwe oprogramowanie było głównym narzędziem do przeprowadzenia ataków (40 proc. incydentów). Na kolejnych miejscach znalazło się wykorzystanie legalnych narzędzi (26 proc.) i uzyskanie dostępu do serwerów (15 proc.). Ransomware było głównym rodzajem złośliwego oprogramowania, wykorzystywanym w 26 proc. ataków.
Wykorzystywanie aktywnych kont stało się najłatwiejszą ścieżką dla cyberprzestępców, z miliardami danych uwierzytelniających dostępnych w Dark Webie. W 2023 r. zespół X-Force zaobserwował, że atakujący coraz częściej inwestują w operacje mające na celu pozyskanie tożsamości użytkowników na całym świecie. Dostrzeżono wzrost o 266 proc. udziału złośliwego oprogramowania wykradającego informacje, zaprojektowanego w celu kradzieży danych osobowych, takich jak e-maile, dane uwierzytelniające mediów społecznościowych i aplikacji do przesyłania wiadomości, dane bankowe, dane portfela kryptowalutowego i tym podobne.
Jak podkreślono w raporcie, „łatwa ścieżka" dla atakujących jest trudniejsza do wykrycia, co wywołuje kosztowną reakcję ze strony przedsiębiorstw. Według X-Force, poważne incydenty spowodowane przez atakujących, korzystających z aktywnych kont, wiązały się z prawie o 200 proc. bardziej złożonymi środkami reagowania przez zespoły bezpieczeństwa niż przeciętny incydent – członkowie takich zespołów musieli odróżnić legalną i złośliwą aktywność użytkowników w sieci. Raport IBM „Cost of a Data Breach” dotyczący kosztów naruszenia danych w 2023 roku wykazał, że incydenty bezpieczeństwa spowodowane kradzieżą lub naruszeniem danych uwierzytelniających wymagały około 11 miesięcy pracy w celu wykrycia i odzyskania danych – jest to najdłuższy czas reakcji na zagrożenie w porównaniu z jakikolwiek innym wektorem zainfekowania.
Skalę i zasięg aktywności nakierowanych na użytkowników w internecie pokazał przykład forum cyberprzestępców, zamkniętego przez FBI i europejskie organy ścigania w kwietniu 2023 r. Zawierało ono dane logowania ponad 80 mln kont użytkowników. Zagrożenia oparte na tożsamości będą prawdopodobnie nadal rosły, ponieważ cyberprzestępcy wykorzystują generatywną sztuczną inteligencję do optymalizacji swoich ataków. W 2023 r. zespół X-Force zaobserwował ponad 800 tys. postów na temat AI i GPT na forach Dark Webu.
W przypadku prawie 85 proc. ataków na sektory krytyczne, zagrożenie można było złagodzić za pomocą poprawek, uwierzytelniania wieloskładnikowego lub zasad przyznawania wyłącznie niezbędnych uprawnień. Prawie 85 proc. cyberataków na sektory krytyczne, na które zareagował X-Force, było spowodowanych wykorzystaniem aplikacji publicznych, wiadomości phishingowych oraz użyciem aktywnych kont. Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury DHS CISA stwierdziła, że w 2022 r. większość udanych ataków na agencje rządowe, organizacje infrastruktury krytycznej i organy rządowe na szczeblu stanowym wiązało się z wykorzystaniem aktywnych kont.
Grupy zajmujące się oprogramowaniem ransomware przechodzą na uproszczony model biznesowy, zaznaczono w raporcie IBM. Liczba ataków ransomware na przedsiębiorstwa w ubiegłym roku zmniejszyła się o prawie 12 proc., ponieważ większe organizacje rezygnują z płacenia i odszyfrowywania na rzecz odbudowy swojej infrastruktury. Zaobserwowano, że grupy, które wcześniej specjalizowały się w oprogramowaniu ransomware, przestawiają się na wykradanie informacji.
Generatywna AI to kolejny istotny obszar wymagający zabezpieczeń. ROI z ataków na GenAI jeszcze nie zostało osiągnięte. Analizy X-Force przewidują, że gdy technologia generatywnej AI zbliży się do 50-proc. udziału w rynku lub gdy rynek skonsoliduje się do trzech lub mniej technologii, spowoduje to dojrzałość sztucznej inteligencji jako obszaru ataku, mobilizując cyberprzestępców do dalszych inwestycji w nowe narzędzia.
Pomimo tego, że ataki phishingowe pozostały głównym wektorem infekcji, od 2022 r. zaobserwowano ich spadek o 44 proc. Jednak biorąc pod uwagę, że AI jest w stanie zoptymalizować taki atak, a badania X-Force wskazują, że sztuczna inteligencja może przyspieszyć ataki o prawie dwa dni, ten wektor infekcji pozostanie preferowanym wyborem dla cyberprzestępców.
Analizy RedHat Insights wykazały, że 92 proc. klientów ma co najm niej jedną podatność CVE ze znanymi metodami wykorzystania, nieusuniętymi w ich środowisku w momencie skanowania, podczas gdy 80 proc. z wykrytych w 2023 r. dziesięciu największych luk w systemach, otrzymało "wysoki" lub "krytyczny" poziom.
X-Force zaobserwował 100-proc. wzrost liczby ataków typu "kerberoasting", w których atakujący próbują podszywać się pod użytkowników w celu eskalacji uprawnień poprzez nadużywanie ticketów Microsoft Active Directory.
Testy X-Force Red wskazują, że błędne konfiguracje zabezpieczeń stanowiły 30 proc. wszystkich zidentyfikowanych zagrożeń, odnotowując ponad 140 sposobów, w jakie cyberprzestępcy mogą je w praktyce wykorzystać.
Raport IBM powstał w oparciu o dane pochodzące z monitorowania ponad 150 mld alertów bezpieczeństwa dziennie w ponad 130 krajach.