Wzrosła liczba ataków z użyciem aplikacji internetowych, podczas gdy sektor telekomunikacji i edukacja pozostają najczęstszymi ofiarami cyberprzestępców.
Warszawa, 6 listopada 2023 – W minionym kwartale eksperci Cisco Talos odnotowali znaczny wzrost ataków z wykorzystaniem aplikacji internetowych, które w efekcie okazały się najpopularniejszą formą działań cyberprzestępców i stanowiły 30 proc. wszystkich incydentów cyberbezpieczeństwa w Q3 2023 (w porównaniu do zaledwie 8 proc. w okresie marzec-czerwiec bieżącego roku). Zagrożenia związane z aplikacjami internetowymi są kontynuacją trendu, zaobserwowanego przez analityków Cisco Talos już w I kwartale 2023 r., kiedy to najpopularniejszym zagrożeniem były ataki typu web shell.
Branże najbardziej narażone na cyberataki
Telekomunikacja i edukacja były najmocniej zagrożonymi branżami – oba sektory były celami ataków organizacji cyberprzestępczych w 20 proc. przypadków. Tuż za nimi uplasowały się administracja publiczna i przemysł.
Firmy telekomunikacyjne są atrakcyjnymi celami ze względu na ich kontrolę nad różnymi krytycznymi zasobami infrastruktury, służącymi następnie jako punkt wyjścia do uzyskania dostępu do zasobów innych firm, abonentów lub dostawców zewnętrznych. Firmy te dysponują również dużą ilością danych klientów, które są często celem cyberprzestępców motywowanych finansowo, takich jak grupy ransomware.
Z kolei instytucje edukacyjne są nieustannie celem cyberprzestępców ze względu na ogromne ilości danych osobowych uczniów i studentów, w tym danych finansowych, oraz własność intelektualną zgromadzoną w instytucjach badawczych. Jednocześnie wiele organizacji edukacyjnych ma ograniczone budżety przeznaczone na cyberbezpieczeństwo, co utrudnia obronę.
W ostatnich miesiącach eksperci Cisco Talos zaobserwowali ponadto:
- W 25 proc. przypadków przestępcy wykorzystywali narzędzia usług zdalnych, takich jak Remote Desktop Protocol (RDP), aby infiltrować kolejne urządzenia w firmowych systemach.
- Ransomware jest nadal w czołówce największych zagrożeń, z 10-proc. udziałem w ogólnej liczbie wszystkich zaobserwowanych incydentów bezpieczeństwa.
- Cyberprzestępcy wciąż próbują znaleźć sposoby na ominięcie uwierzytelniania wieloskładnikowego (MFA), w tym za pomocą ataków „zmęczenia przez MFA”. Wysyłają w tym celu wiele powiadomień jednocześnie, mając nadzieję, że użytkownik przypadkiem zaakceptuje jedną z prób logowania.
- Pomimo wysiłków wielu międzynarodowych organów ścigania w celu usunięcia botneta Qakbot w sierpniu, eksperci Cisco Talos podejrzewają, że podmioty stojące za tym zagrożeniem mogą być nadal aktywne.
Jak obronić się przed atakami?
– Brak uwierzytelniania wieloskładnikowego pozostaje jedną z największych przeszkód dla bezpieczeństwa przedsiębiorstw. Wszystkie organizacje powinny wdrożyć jakąś formę MFA, taką jak np. Cisco Duo.
– Rozwiązania do wykrywania i reagowania na punktach końcowych, takie jak Cisco Secure Endpoint, mogą wykrywać złośliwą aktywność w sieciach i maszynach organizacji.
– Atakujący często próbowali ominąć MFA w rozwiązaniach EDR (Endpoint Detection and Response), aby wyłączyć ich mechanizmy ostrzegania.
– Sygnatury Snort i ClamAV mogą blokować wiele znanych narzędzi pre-ransomware, które atakujący wdrożyli w tym kwartale, takich jak Qakbot i Gootloader.
Dodatkowe materiały:
Pełny wpis na blogu Cisco Talos [ENG]
