44 proc. ataków ransomware było wymierzonych w firmy przemysłowe, wynika z najnowszego raportu Fortinet „Global Threat Landscape Report 2H 2023”, w którym przedstawiono krajobraz aktywnych zagrożeń w okresie od lipca do grudnia 2023 r. Ataki ransomware stają się coraz bardziej ukierunkowane, głównie na podmioty produkcyjne, z branży energetycznej, ochrony zdrowia i transportowe.
Cyberataki rozpoczynały się średnio 4,76 dni po publicznym ujawnieniu nowych exploitów. Analizy zespołu FortiGuard Labs wykazały, że w drugiej połowie 2023 r. atakujący zwiększyli szybkość, z jaką wykorzystywali nowe informacje o lukach w zabezpieczeniach (o 43 proc. szybciej niż w pierwszej połowie 2023 r.).
Badania telemetryczne Fortinet pokazały, że 41 proc. przedsiębiorstw wykryło obecność exploitów w swoim środowisku IT na podstawie sygnatur starszych niż miesiąc, a prawie każda firma (98 proc.) wykryła luki N-Day, które istnieją od co najmniej pięciu lat. Równocześnie FortiGuard Labs nadal obserwuje cyberprzestępców wykorzystujących luki w zabezpieczeniach, które mają ponad 15 lat.
Mniej niż 9 proc. wszystkich znanych podatności urządzeń końcowych było celem ataków. W II połowie 2023 r. badania wykazały, że tylko 0,7 proc. spośród wszystkich tego typu luk w zabezpieczeniach komputerów jest faktycznie atakowanych, dlatego ze względu na tak niski odsetek obszar ten nie musi być traktowany priorytetowo.
44 proc. wszystkich próbek kodu wykorzystywanego do ataków typu ransomware i wiper było ukierunkowanych na podmioty z branży przemysłowej. Analiza danych ze wszystkich czujników Fortinet ujawniła spadek o 70 proc. (w porównaniu z pierwszą połową 2023 r.) ilości oprogramowania służącego do prowadzenia ataków ransomware. Obserwowane spowolnienie rozwoju tego typu kodu w ciągu ostatniego roku można najlepiej wyjaśnić odejściem atakujących od tradycyjnej strategii „spray and pray” (rozsiewaj i módl się, aby zadziałało) na rzecz podejścia ukierunkowanego głównie na podmioty z branży energetycznej, ochrony zdrowia, produkcyjne, transportowe, logistyczne oraz przemysł motoryzacyjny.
Botnety wykazały się niesamowitą odpornością, potrzebne było średnio 85 dni na zatrzymanie komunikacji z serwerami dowodzenia i kontroli (C2) po pierwszym wykryciu.
Spośród 143 wymienionych przez MITRE grup prowadzących zaawansowane uporczywe ataki (APT) 38 było aktywnych w drugiej połowie 2023 r. Spośród nich najbardziej zaangażowaną działalność prowadziły Lazarus Group, Kimusky, APT28, APT29, Andariel i OilRig.
Raport Fortinet zawiera również ustalenia grupy FortiRecon, dające wgląd w komunikację pomiędzy cyberprzestępcami na forach dark web, internetowych sklepach, kanałach platformy Telegram i innych źródłach. Oto niektóre z obserwacji:
- Cyberprzestępcy najczęściej dyskutowali o atakach na przedsiębiorstwa z branży finansowej, a następnie na firmy świadczące usługi biznesowe i edukacyjne.
- Ponad 3 tys. przypadków naruszeń danych zostało udostępnionych na popularnych forach dark web.
- 221 podatności było aktywnie omawianych w darknecie, podczas gdy 237 na kanałach platformy Telegram.
- Na sprzedaż wystawiono numery ponad 850 tys. kart płatniczych.