Po raz pierwszy od ponad roku ransomware nie jest głównym zagrożeniem obserwowanym przez Cisco Talos Incident Response (CTIR). Nieznacznie wyprzedziły go ataki wykorzystujące tzw. commodity malware. W porównaniu z poprzednimi kwartałami, ransomware stanowił znacznie mniejszy odsetek wszystkich ataków. W II kw. 2022 było to 15 proc., a w I kw. aż 25 proc. Ma to związek m.in. z zakończeniem działalności – czy to z własnej woli, czy też na skutek śledztw prowadzonych przez organy ścigania i rządy – kilku grup zajmujących się właśnie ransomware.
Commodity malware było najczęściej pojawiającym się zagrożeniem w minionym kwartale, co jest o tyle istotną zmianą, że wcześniej liczba obserwowanych przez zespół CTIR ataków wykorzystujących trojany typu commodity spadała regularnie od 2020 r. Eksperci Cisco Talos w kwartalnym raporcie „Quarterly Report: Incident Response Trends in Q2 2022” wskazują, że obecnie obserwujemy renesans trojanów odpowiadających za ataki na pocztę elektroniczną. W okresie kwiecień – czerwiec br. stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer oraz Qakbot (Qbot) – dobrze znanego trojana bankowego, który w ostatnich tygodniach pojawił się w nowych skupiskach aktywności.
W dalszym ciągu najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą niezmiennie od IV kwartału 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.
W drugim kwartale tego roku zauważono znaczny wzrost zagrożeń ze strony commodity malware, które stanowiły 20 proc. wszystkich ataków odnotowanych przez CTIR. To szkodliwe oprogramowanie można łatwo zakupić lub nawet bezpłatnie pobrać. Zazwyczaj cyberprzestępcy, którzy je wykorzystują, stawiają na efekt skali, gdyż nie jest ono dostosowane do potrzeb ataków na konkretne cele. Atakujący używają go na różnych etapach swoich operacji m.in. do dostarczania dodatkowych zagrożeń, w tym wielu wariantów złośliwego oprogramowania.
O tym, że phishing jest wciąż chętnie wykorzystywaną przez cyberprzestępców metodą, świadczy przykład ataku na placówkę medyczną w USA. Zespół CTIR zidentyfikował złośliwy plik Microsoft Excel (XLS) rozpowszechniany za pośrednictwem wiadomości phishingowych zawierających jeden z wariantów złośliwego programu RAT Remcos. Będący w użyciu od co najmniej 2016 roku Remcos nagrywa audio, robi zrzuty ekranu, gromadzi dane ze schowka i informacje wprowadzane za pomocą klawiatury, a także wiele więcej. Zespół CTIR zidentyfikował zdalne połączenia sieciowe przy użyciu konta administratora systemu, poza godzinami jego pracy.
W ostatnich tygodniach zespół Cisco Talos zaobserwował aktywność Qakbota, trojana przejmującego wątki e-mail. Metoda ta polega na rozsyłaniu wiadomości z historią konwersacji w treści, dzięki czemu osoba zaatakowana odnosi wrażenie, że jest to kontynuacja korespondencji. W ramach incydentu, który dotknął władze lokalne w USA, zespół CTIR zbadał trzy fale wiadomości phishingowych, które po otwarciu przez użytkownika instalowały Qakbota. Zainfekowane wiadomości były tworzone na dwa sposoby. Jednym z nich było użycie całkowicie fałszywych kont i wiadomości e-mail, które miały rzekomo zawierać dokumenty podatkowe. Drugi polegał na połączeniu sfałszowanej i prawdziwej treści wiadomości e-mail, zaprojektowanej tak, aby pojawiła się w odpowiedzi na trwającą już konwersację.
Ransomware nadal stanowił jedno z głównych zagrożeń obserwowanych przez Cisco Talos. W II kwartale szczególnie widoczne były znane już wcześniej warianty oprogramowania ransomware dostępne jako usługa (RaaS - Ransomware as a Service), takie jak BlackCat (znany również jako ALPHV) i Conti. Wykorzystywano je do ataku na duże organizacje, licząc na znaczne wypłaty okupu.
Mimo, że grupa Conti ogłosiła zaprzestanie działalności na początku tego roku, to potencjalny wpływ tej decyzji na krajobraz oprogramowania ransomware jest nadal nieznany. Eksperci Cisco Talos podejrzewają, że nowy wariant RaaS o nazwie Black Basta jest rebrandingiem Conti i może stanowić zagrożenie w nadchodzących kwartałach.
Z kolei ransomware LockBit pojawił się w nowej wersji, która zawiera nowe opcje płatności w kryptowalutach dla ofiar, dodatkowe taktyki wymuszeń i nowy program „bug bounty”, zachęcający do zgłaszania nowych podatności, które następnie cyberprzestępcy mogą wykorzystać do ataku.
W minionym kwartale przeprowadzono również kilka akcji, w których do ataku wykorzystano podatności w publicznie dostępnych aplikacjach, routerach i serwerach. W jednym przypadku działająca w Europie firma informatyczna miała źle skonfigurowany i przypadkowo ujawniony serwer Azure. Hakerzy próbowali zdalnie uzyskać dostęp do systemu, zanim został on odizolowany. Działał on sam w swojej podsieci, ale był połączony z innymi zasobami wewnętrznymi za pośrednictwem tunelu IPSec VPN. Analiza pozwoliła na zidentyfikowanie wielu nieudanych prób logowania i ataków typu brute force, polegających na sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy z różnych zewnętrznych adresów IP.
Zespół CTIR zlokalizował w ostatnich miesiącach kilka programów – złodziei informacji (ang. infostealers), które wykorzystały brak odpowiednio skonfigurowanego uwierzytelniania wieloskładnikowego w zaatakowanej organizacji lub u partnerów firmy.