Cyfrowa tożsamość głównym celem hakerów w III kw. 2024

Ataki związane z tożsamością były najbardziej popularne w III kwartale 2024 roku, a kradzież poświadczeń była głównym celem w co czwartym przypadku odnotowanego ataku, wynika z z raportu Cisco Talos Incident Response Trends Q3 2024. Najbardziej dotknięte atakami branże to edukacja, produkcja przemysłowa i sektor usług finansowych – ataki na organizacje działające w tych obszarach stanowiły łącznie ponad 30 proc. wszystkich incydentów obserwowanych przez Cisco Talos.

 
(źr. Cisco Talos)

W III kw. 2024 r. 25 proc. incydentów dotyczyło ataków password spraying i/lub brute force. Pierwszy typ ataku polega na próbie uzyskania dostępu do wielu kont, używając niewielkiej liczby powszechnych haseł – np. „123456”, natomiast brute force to metoda ataku polegająca na systematycznym sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy szyfrujących, aby uzyskać dostęp do chronionego zasobu.

Zespół Cisco Talos zaobserwował również ataki phishingowe typu AitM (Adversary-in-the-Middle), będące zaawansowaną formą phishingu. Cyberprzestępcy w atakach AitM używają pośredniego serwera (ang. „man-in-the-middle”) do przechwytywania poświadczeń i sesji użytkownika w czasie rzeczywistym. W klasycznym phishingu użytkownik zostaje oszukany i sam przekazuje swoje dane logowania na fałszywej stronie. Natomiast w ataku AitM przestępca, wykorzystując zewnętrzny serwer, staje się „pośrednikiem” pomiędzy użytkownikiem a prawdziwą witryną. Dzięki temu może przechwycić nie tylko nazwę użytkownika i hasło, ale także tokeny sesji lub kody jednorazowe, które służą do uwierzytelnienia dwuskładnikowego (2FA).

Ransomware, pre-ransomware oraz wymuszenia związane z kradzieżą danych stanowiły niemal 40 proc. incydentów odnotowanych w minionym kwartale. Zespół Cisco Talos po raz pierwszy zaobserwował warianty ransomware RansomHub, RCRU64 i DragonForce, jak również te dobrze już znane grupy: BlackByte, Cerber i BlackSuit. Jedna trzecia ataków dotyczyła wykorzystywania znanych luk, czego przykładem może być zaobserwowany incydent z udziałem ransomware BlackByte, dotyczący eksploatacji luki ESXi hypervisor.

Pomimo pojawiających się ciągle nowych grup ransomware, te działające już od dłuższego czasu nadal stanowią poważne zagrożenie. Eksperci z Cisco Talos odnotowali aktywność grupy RansomHub w dwóch osobnych incydentach, gdzie stosowano różne modele wymuszeń: podwójne wymuszenie i wymuszenie związane z kradzieżą danych.

Po raz czwarty z rzędu w ciągu ostatniego roku najczęściej obserwowanym sposobem uzyskiwania początkowego dostępu było wykorzystanie ważnych kont (66 proc. incydentów). To niewielki wzrost w porównaniu do poprzedniego kwartału (60 proc.). Dodatkowo, 20 proc. interwencji Cisco Talos dotyczyło incydentów, w których wykorzystywano podatne i publicznie dostępne aplikacje. Eksperci Cisco Talos oceniają, że sprzęt sieciowy pozostanie atrakcyjnym celem ze względu na dużą powierzchnię ataku, którą oferuje, oraz potencjalny dostęp do sieci ofiar.

Wciąż zauważalna jest znaczna liczba kompromitacji, których można było uniknąć przy zastosowaniu podstawowych zasad bezpieczeństwa, takich jak MFA oraz właściwa konfiguracja produktów do wykrywania zagrożeń w urządzeniach końcowych. W przypadku niemal 40 proc. incydentów głównym powodem naruszeń było źle skonfigurowane MFA, jego brak lub omijanie. Dodatkowo, we wszystkich interwencjach Cisco Talos podejmowanych po atakach phishingowych okazywało się, że MFA było omijane lub nie było w pełni włączone, podczas gdy w ponad 20 proc. incydentów dotyczących ransomware, MFA nie było aktywowane na VPN-ach.

 
(źr. Cisco Talos)

Inne nieprawidłowości, które grupa Cisco Talos obserwuje co kwartał, dotyczą niewłaściwego wykrywania i reagowania na zagrożenia na urządzeniach końcowych (EDR) lub błędnej konfiguracji rozwiązań zabezpieczających. Na przykład brak EDR we wszystkich systemach i/lub źle skonfigurowane rozwiązania EDR stanowiły niemal 30 proc. incydentów w tym kwartale. Dodatkowo, prawie 20 proc. interwencji Cisco Talos w tym kwartale wykazało źle skonfigurowane lub nie w pełni włączone rozwiązania zabezpieczeń sieciowych.