Fortinet zaprezentował najnowszy półroczny raport FortiGuard Labs 1H 2023 Global Threat Landscape Reportdotyczący globalnego krajobrazu zagrożeń w pierwszym półroczu 2023 r.
W I połowie br. eksperci FortiGuard Labs zaobserwowali spadek liczby firm wykrywających oprogramowanie ransomware we własnym środowisku IT, znaczną aktywność wśród grup dokonujących zaawansowanych i uporczywych cyberataków oraz zmianę technik zdefiniowanych w zbiorze wiedzy MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) stosowanych przez cyberprzestępców.
Eksperci FortiGuard Labs udokumentowali znaczny wzrost liczby wariantów ransomware w ostatnich latach, co w dużej mierze było skutkiem rosnącej popularności modelu RaaS (Ransomware-as-a-Service). Jednocześnie stwierdzili, że mniej firm wykryło oprogramowanie ransomware w swoim środowisku IT w pierwszej połowie 2023 r. (13 proc.), w porównaniu z tym samym okresem pięć lat temu (22 proc.).
Z analiz FortiGuard Labs w ciągu ostatnich kilku lat wynika, że ransomware i inne ataki stają się coraz bardziej ukierunkowane dzięki rosnącemu wyrafinowaniu atakujących oraz chęci zwiększenia zwrotu z inwestycji (ROI) z każdego ataku. W pierwszej połowie 2023 r. liczba wykrytych ataków była 13 razy większa niż pod koniec 2022 r.
Fortinet jest głównym dostawcą danych dotyczących aktywności w zakresie exploitów wykorzystywanych do tworzenia rankingu Exploit Prediction Scoring System (EPSS). Projekt ten ma na celu zebranie danych z niezliczonych źródeł do przewidywania prawdopodobieństwa i czasu wykorzystania podatności do atakowania. Eksperci FortiGuard Labs przeanalizowali dane z 6 lat, obejmujące ponad 11 tys. opublikowanych luk CVE (Common Vulnerabilities and Exposures) w zabezpieczeniach, które były wykorzystywane przez exploity. Odkryli, że prawdopodobieństwo wykorzystania w ciągu 7 dni luk CVE sklasyfikowanych z wysokim wynikiem EPSS (stanowiące 1 proc. luk o najwyższym poziomie dotkliwości) jest 327 razy większe niż w przypadku jakiejkolwiek innej luki.
Analiza przeprowadzona przez FortiGuard Labs dotycząca wykorzystania informacji zgromadzonych w EPSS pozwoliła na zdefiniowanie tzw. czerwonej strefy (Red Zone), która pomaga określić ilościowo odsetek luk obecnych w urządzeniach końcowych, które są aktywnie wykorzystywane do ataków. W II połowie 2022 r. czerwona strefa wynosiła 8,9 proc., co oznacza, że około 1500 podatności CVE (z ponad 16,5 tys. znanych) zostało zaatakowanych. W pierwszej połowie 2023 r. liczba ta nieznacznie spadła do 8,3 proc.
Badania FortiGuard Labs wykazały, że 41 (30 proc.) ze 138 grup hakerskich APT (Advanced Persistent Threats) tworzących cyfrowe zagrożenia śledzonych przez MITRE było aktywnych w I połowie 2023 r. Spośród nich najbardziej aktywne, biorąc pod uwagę ilość tworzonego złośliwego oprogramowania, były: Turla, StrongPity, Winnti, OceanLotus i WildNeutron.
Porównanie okresu pięciu lat ujawnia eksplozję unikalnych exploitów, wariantów złośliwego oprogramowania oraz trwałości botnetów:
- Rośnie liczba unikalnych exploitów. W pierwszej połowie 2023 r. laboratoria FortiGuard Labs wykryły ponad 10 tys. unikalnych exploitów, co stanowi wzrost o 68 proc. w porównaniu z okresem sprzed 5 lat. Raport pokazuje również spadek o ponad 75 proc. prób zainstalowania exploitów w każdej z badanych firm w ciągu 5 lat oraz spadek o 10 proc. liczby poważnych exploitów, co sugeruje, że chociaż exploity nadal aktywnie są stosowane przez cyberprzestępców, ataki z ich wykorzystaniem są znacznie bardziej ukierunkowane niż pięć lat temu.
- Liczba rodzin i wariantów złośliwego oprogramowania eksplodowała, odpowiednio o 135 proc. i 175 proc. Ten wzrost ilości i poziomu rozpowszechnienia malware można przypisać większej liczbie cyberprzestępców i grup APT, które w ostatnich latach rozszerzyły swoją działalność i zdywersyfikowały swoje ataki. W raporcie Fortinet wskazano również na wzrost występowania malware typu wiper, w dużej mierze związanego z konfliktem rosyjsko-ukraińskim. Wzrost ten utrzymywał się przez cały 2022 rok, ale spowolnił w pierwszej połowie 2023 r.
- Botnety pozostają w środowiskach IT dłużej niż kiedykolwiek. W raporcie podkreślono większą liczbę aktywnych botnetów (+27 proc.) i wyższy wskaźnik liczby incydentów wśród firm w ciągu ostatnich 5 lat (+126 proc.). W ciągu pierwszych sześciu miesięcy 2023 r. średni czas utrzymywania się botnetów przed ustaniem komunikacji z serwerami command and control (C2) wynosił 83 dni, co stanowi ponad 1000-krotny wzrost w porównaniu z okresem sprzed 5 lat.