Zwiń

Nie masz konta? Zarejestruj się

Ransomware powrócił do łask cyberprzestępców [RAPORT]

Oprac. T.J.
Ten tekst przeczytasz w 2 minuty
Ransomware
Oprogramowanie ransomware stanowiło główne zagrożenie w analizowanym kwartale, jednak zaobserwowana została również zbliżona liczba ataków pre-ransomware.
Shutterstock

Ransomware i działania pre-ransomware stanowiły aż 40 procent cyberzagrożeń zaobserwowanych przez Cisco Talos w minionym kwartale.

Ataki ransomware oraz działania pre-ransomware stanowiły aż 40 procent zagrożeń cyberbezpieczeństwa zaobserwowanych w minionym kwartale – wynika z raportu Talos Incident Response Trends za trzeci kwartał 2022.

Najaktywniejsze były organizacje cyberprzestępcze Vice Society oraz Hive, natomiast najczęstszym obiektem ataków stały się placówki oświatowe, usługi finansowe, systemy rządowe oraz energetyka. Na horyzoncie znajdują się również kolejne niebezpieczeństwa – atakujący używają nowych frameworków Manjusaka i Alchimist czy też LockBit Black, służący do budowy szyfratora ransomware LockBit 3.0, który wyciekł do sieci pod koniec września.

Zgodnie z utrzymującym się trendem, napastnicy często wykorzystywali ważne konta do uzyskania pierwszego dostępu, co było szczególnie widoczne w przypadku kont źle skonfigurowanych lub tych posiadających słabe hasła.

Wzrost ataków ransomware

Należący do Cisco zespół Talos Incident Response po raz pierwszy zaobserwował zbliżoną liczbę ataków ransomware oraz pre-ransomware, które łącznie stanowiły aż 40 proc. wszystkich zagrożeń w trzecim kwartale 2022 roku. Należy zaznaczyć, że ciężko jest oszacować dokładną sumę wszystkich ataków pre-ransomware, jeśli ransomware nie uaktywni się. Znalezione w systemach oprogramowanie Cobalt Strike, narzędzia do zbierania danych uwierzytelniających (Mimikatz) oraz techniki enumeracji i wykrywania pozwalają wykrywać domniemane próby ataków.

Przestępcy wykorzystują różne ogólnodostępne narzędzia i skrypty hostowane na repozytoriach GitHub lub do pobrania z witryn internetowych innych firm. Talos obserwuje zastosowanie narzędzi bezpieczeństwa i tych wykorzystywanych w ramach działań red-teaming, takie jak zmodowany framework Cobalt Strike oraz narzędzia do rozpoznania Active Directory - ADFind i BloodHound. Jednak obecność tych dodatkowych skryptów i narzędzi wskazuje, że złodzieje nadal korzystają z popularnych zasobów, co utrudnia identyfikację.

Warto zauważyć, że większość publicznie dostępnych narzędzi wykorzystanych w tym kwartale wydaje się skupiać na uzyskiwaniu dostępu i zbieraniu danych uwierzytelniających, co podkreśla rolę, jaką narzędzia te odgrywają w potencjalnym wspieraniu celów cyberprzestępców.

Wzrost liczby działań pre-ransomware

Oprogramowanie ransomware stanowiło główne zagrożenie w analizowanym kwartale, jednak zaobserwowana została również zbliżona liczba ataków pre-ransomware. Chociaż każdy incydent wiąże się z unikalnymi metodami TTP (taktyki, techniki, procedury), podobieństwa obejmują enumerację hosta, wielokrotne próby pozyskiwania danych uwierzytelniających oraz przejęcie uprawnień za pomocą zidentyfikowanego słabego punktu lub luki w celu przeniesienia się na inne systemy. W przypadkach, w których oprogramowanie ransomware nigdy nie zostało wdrożone, przestępca w momencie wykrycia prawdopodobnie próbował doprowadzić do wycieku danych, co wskazuje, że miał wystarczająco szeroki dostęp, aby wyrządzić znaczące szkody.

Oświata na celowniku cyberprzestępców

W minionym kwartale sektor edukacji był najczęstszą ofiarą ataków, a tuż za nim znalazły się odpowiednio usługi finansowe, systemy rządowe oraz energetyka. Po raz pierwszy od Q4 2021 r., to nie telekomunikacja była najczęściej atakowana. Powód, dla którego sektor edukacyjny był najpopularniejszym celem ataków nie jest znany, należy jednak zauważyć sezonowość tego zjawiska - jest to okres, w którym uczniowie i nauczyciele wracają do szkół.

Słabe hasła jednym z powodów skuteczności ataków

W Q3 2022 odnotowano przypadki, w których złodzieje wykorzystali ważne konta do uzyskania początkowego dostępu, zwłaszcza w scenariuszach, gdy konta były źle skonfigurowane, niewłaściwie wyłączone lub miały słabe hasła. W co najmniej dwóch przypadkach w tym kwartale, Talos zbadał możliwość początkowego dostępu przeciwnika poprzez przechwyconą sieć kontrahenta lub jego komputer osobisty.

W prawie 15 procentach przypadków w tym kwartale, przestępcy zidentyfikowali i/lub wykorzystali źle skonfigurowane aplikacje publiczne. Kolejnym popularnym sposobem była poczta elektroniczna i aktywowanie przez użytkownika złośliwego dokumentu lub linku. W jednym z przypadków ataku na biznesową pocztę elektroniczną (BEC), został wykorzystany thread-hijacking oraz złośliwy link w wiadomości e-mail, który wyglądał jak fałszywa strona uwierzytelniająca.

Brak uwierzytelniania wieloetapowego pozostaje jedną z największych przeszkód dla bezpieczeństwa firm. Prawie 18 proc. spraw analizowanych przez Cisco Talos nie miało MFA lub miało je włączone tylko na kilku kontach i krytycznych usługach. Talos IR często obserwuje incydenty związane z ransomware i phishingiem, którym można było zapobiec, gdyby MFA było prawidłowo włączone w krytycznych usługach, takich jak rozwiązania do wykrywania i reagowania na punkty końcowe (EDR). Talos IR zaleca wyłączenie dostępu VPN dla wszystkich kont, które nie korzystają z uwierzytelniania dwuskładnikowego.

W 27 proc. przypadków hasła lub dostęp do kont nie zostały odpowiednio skonfigurowane/wyłączone, co spowodowało, że konta te pozostały aktywne i umożliwiło napastnikom wykorzystanie ważnych danych uwierzytelniających do wejścia do środowiska. W kilku przypadkach organizacje nie wyłączyły odpowiednio dostępu do kont po odejściu pracownika z organizacji. W takich wypadkach eksperci Talos zalecają wyłączenie lub usunięcie nieaktywnych kont, aby zapobiec podejrzanej aktywności.