Najnowszy raport Cisco Talos dotyczący incydentów naruszeń bezpieczeństwa w II kwartale tego roku wskazuje, że branża technologiczna jest obecnie najbardziej narażona na ataki hakerskie. Tuż za nią uplasował się sektor ochrony zdrowia, farmacji i handlu detalicznego. Ponadto, raport potwierdza, że uwierzytelnianie wieloskładnikowe jest najbardziej skutecznym zabezpieczeniem przed atakami takimi jak ransomware, który nadal pozostaje jednym z głównych wyzwań w zakresie bezpieczeństwa.
Firmy z branży technologicznej były najbardziej narażone na ataki w II kw. 2024 r., stanowiąc 24 proc. wszystkich incydentów, co wskazuje na prawie 30-procentowy wzrost w porównaniu do poprzedniego kwartału. Organizacje z sektora technologicznego są postrzegane jako brama do firm z innych sektorów, ponieważ odgrywają kluczową rolę w dostarczaniu i obsłudze szerokiego zakresu usług. Często dysponują rozbudowanymi zasobami cyfrowymi wspierającymi infrastrukturę krytyczną, co oznacza, że nie mogą sobie pozwolić na przestoje, a w związku z tym z perspektywy hakerów mogą być bardziej skłonne do spełniania żądań okupu.
Cisco Talos Incident Response (IR) podaje, że podatne lub niewłaściwie skonfigurowane systemy oraz brak odpowiedniej autoryzacji wieloskładnikowej stanowiły najczęstsze luki w zabezpieczeniach w incydentach odnotowanych w II kw. 2024 r. Te dwa czynniki zaobserwowano w niemal wszystkich przypadkach. W 80 proc. incydentów z udziałem ransomware brakowało odpowiedniej implementacji uwierzytelniania wieloskładnikowego MFA (multi-factor authentication) w systemach krytycznych, takich jak VPN. Brak lub niewłaściwa implementacja MFA nadal jest jednym z większych wyzwań dla cyberbezpieczeństwa w 2024 r., ponieważ atakujący szukają sposobów na obejście tej metody logowania lub poszukują sieci, które w ogóle jej nie posiadają.
Ataki typu Business Email Compromise (BEC) i ransomware były najczęściej występującymi zagrożeniami w minionym kwartale, stanowiąc łącznie 60 proc. wszystkich interwencji Cisco Talos. Pomimo spadku liczby przypadków BEC w porównaniu do poprzedniego kwartału, to nadal te oszustwa stanowiły główne zagrożenia, drugi kwartał z rzędu.
Ataki BEC wykorzystują wiarygodne konta e-mail w celu wysyłania wiadomości phishingowych, aby uzyskać dane wrażliwe, takie jak hasła logowania. Cyberprzestępcy mogą również wykorzystywać zainfekowane konta do rozsyłania wiadomości z fałszywymi żądaniami finansowymi, takimi jak zmiana danych do kont bankowych związanych z listą płac lub fakturami od dostawców.
W kilku zaobserwowanych incydentach BEC, które obejmowały metodę phishingu jako wektor infekcji, wykorzystywany był „smishing” (phishing SMS-owy) w celu nakłonienia odbiorców do udostępnienia danych osobowych lub kliknięcia w złośliwy link.
Najczęstszym sposobem uzyskania początkowego dostępu było wykorzystanie skradzionych danych uwierzytelniających do kont, co stanowiło 60 proc. wszystkich przypadków. Odnotowano 25-proc. wzrost w porównaniu do poprzedniego kwartału, w którym również ten sposób był jednym z głównych wektorów ataku.
Cisco Talos IR zaobserwował niewielki wzrost liczby ataków na urządzenia sieciowe, które stanowiły 24 proc. wszystkich ataków. Działania te obejmowały łamanie haseł, skanowanie luk w zabezpieczeniach i exploity.
Najczęściej występującą techniką wykonywania ataków, stanowiącą 41 proc. wszystkich interwencji w tym kwartale było wykorzystanie PowerShell. Oznacza to wzrost o 33 proc. w stosunku do poprzedniego kwartału.
Wszystko wskazuje również na to, że międzynarodowej akcji organów ścigania znanej pod nazwą „Operation Endgame”, udało się przynajmniej tymczasowo zatrzymać działania botnetów i malware typu loader. Cisco Talos podkreśla, że będzie nadal monitorować niektóre z botnetów, których działalność miała zostać zakłócona, takie jak IcedID i Pikabot.
