Przejęta tożsamość użytkowników to obecnie najbardziej popularna broń w rękach hakerów, wynika z najnowszego raportu Cisco Talos Year in Review. W minionym roku cyberprzestępcy nie musieli łamać skomplikowanych zabezpieczeń ani tworzyć zaawansowanego malware’u. Wystarczyło im jedno – dostęp do skradzionych danych logowania.
Aż 60 proc. przypadków incydentów analizowanych przez zespół Cisco Talos Incident Response było związanych z atakami na tożsamość. Cyberprzestępcy coraz częściej uzyskują dostęp do systemów po prostu logując się przy użyciu skradzionych identyfikatorów sesji, kluczy API czy certyfikatów cyfrowych.
W przypadku ataków ransomware skala problemu jest jeszcze większa – niemal 70 proc. analizowanych cyberincydentów obejmowało wykorzystanie legalnych kont do uzyskania początkowego dostępu. W 2024 r. najczęściej atakowanym sektorem było szkolnictwo wyższe. Przyczyną jest m.in. ograniczony budżet na cyberbezpieczeństwo oraz duża liczba użytkowników, którzy korzystają z tych systemów. Na kolejnych miejscach znalazły się administracja publiczna, przemysł wytwórczy, opieka zdrowotna i finanse.
Inne kluczowe wnioski z raportu Cisco Talos:
- Grupy ransomware potrafią skutecznie unieszkodliwiać systemy ochronne swoich ofiar.
- Najbardziej aktywną grupą ransomware w 2024 r. pozostaje LockBit, mimo że w marcu ub.r. próbowano ją rozbić. Na drugim miejscu uplasowała się relatywnie nowa grupa RansomHub, która atakuje duże organizacje i żąda wysokich okupów.
- 44 proc. ataków na tożsamość dotyczyło usługi Active Directory.
- 20 proc. ataków na tożsamość obejmowało aplikacje chmurowe, a API stały się szczególnie atrakcyjnym celem, mając dostęp do wielu wrażliwych danych.
- Najczęściej atakowane luki w zabezpieczeniach w 2024 r. to w większości starsze CVE (Common Vulnerabilities and Exposures), znane już od kilku lat.
- W 2024 r. hakerzy najczęściej atakowali stare podatności, m.in. w Apache Log4j czy Bash, co tworzy niezwykle szeroką powierzchnię ataku, wykorzystywaną przez cyberprzestępców do infiltracji wielu branż na całym świecie.
Chociaż AI wciąż kojarzy się z zaawansowanymi cyberatakami, w rzeczywistości cyberprzestępcy wykorzystują ją w bardziej pragmatyczny sposób. Zamiast opracowywać nowe metody ataku, AI służy głównie do ulepszania istniejących technik, takich jak inżynieria społeczna, phishing czy automatyzacja zadań.
