Najważniejsze informacje:
- BEC (business e-mail compromise – naruszenie bezpieczeństwa biznesowej poczty e-mail) stanowił 46 procent wszystkich incydentów w 1. kwartale 2024. Jest to znaczący wzrost w porównaniu z 4. kwartałem 2023 r.
- BEC polega na podszywaniu się pod członków firmy i wysyłania wiadomości phishingowych do innych pracowników lub stron trzecich. Celem jest zainfekowanie komputerów innych osób w firmie złośliwym oprogramowaniem lub bezpośrednia kradzież pieniędzy.
- Udział ransomware, które było najczęściej obserwowanym zagrożeniem w ostatnim kwartale 2023 r., spadł o 11 procent.
Naruszenie bezpieczeństwa biznesowej poczty e-mail (BEC) to najczęściej występujące zagrożenie zaobserwowane przez zespół Cisco Talos w pierwszym kwartale 2024 r. BEC stanowiło prawie połowę incydentów, co oznacza ponad dwukrotny wzrost częstotliwości tego typu ataków.
Najczęściej sposobem uzyskania początkowego dostępu było wykorzystanie skradzionych danych uwierzytelniających, co stanowiło 29 procent przypadków. Duża liczba ataków BEC prawdopodobnie odegrała znaczącą rolę w tym, że istniejące, „prawidłowe” konta były głównym wektorem ataków na firmy w minionym kwartale.
Do tego dochodzą zagrożenia związane z brakiem należytego uwierzytelniania wieloskładnikowego (MFA), które zaobserwowano w prawie połowie przypadków. MFA najczęściej było pokonywane w wyniku nierozważności pracowników – aż w 25 proc. przypadków bezpośrednią przyczyną było akceptowanie przez użytkowników nieautoryzowanych powiadomień push.
Z ustaleń zespołu Cisco Talos wynika, że najczęściej atakowaną branżą był przemysł a tuż za nim uplasował się sektor edukacyjny. Choć wyniki wskazują na kontynuację trendów z końca ubiegłego roku, kiedy wymienione sektory również były najpopularniejszymi celami cyberprzestępców, warto odnotować, że próby ataków na przemysł nasilają się – odnotowano aż 20-procentowy w porównaniu z Q4 2023. W Q1 2024 Cisco Talos zaobserwował szeroki zakres zagrożeń wymierzonych w firmy, w tym ataki motywowane finansowo. Metody były zróżnicowane – BEC i ransomware, a także ataki siłowe (brute force) wymierzone w infrastrukturę wirtualnej sieci prywatnej (VPN).
Wykorzystanie skradzionych danych uwierzytelniających było głównym zaobserwowanym wektorem ataków na sektor produkcyjny w tym kwartale, co stanowi zmianę w stosunku do poprzedniego okresu, kiedy najpopularniejsze było wykorzystywanie luk w aplikacjach publicznych.
Ransomware i phishing niezmiennie popularne wśród cyberprzestępców
W pierwszym kwartale odnotowano spadek liczby ataków ransomware, które stanowiły 17 proc. wszystkich zgłoszeń. Talos IR po raz pierwszy w tym kwartale zareagował na nowe warianty ransomware Phobos i Akira oraz na wcześniej odkryte operacje ransomware – LockBit i Black Basta.
Akira powrócił do używania szyfrowania jako dodatkowej metody wymuszeń, wdrażając teraz wielopłaszczyznową strategię ataku na maszyny z systemami Windows i Linux.
Zespół Cisco Talos odkrył również zestaw phishingowy omijający MFA o nazwie “Tycoon 2FA”, który od tego czasu stał się jednym z najbardziej rozpowszechnionych narzędzi cyberprzestępców. Póki co jednak, nie pojawił się on jeszcze w żadnym ataku analizowanym przez zespół Cisco Talos.
Jak obronić się przed potencjalnymi atakami?
- Nawet w przypadku nieuwagi pracowników, uwierzytelnianie wieloskładnikowe to podstawa. Jego brak pozostaje jedną z największych przeszkód dla bezpieczeństwa przedsiębiorstw.
- Wdrożenie MFA i systemu jednokrotnego logowania może zapewnić, że tylko zaufane strony uzyskują dostęp do firmowych kont e-mail, aby zapobiec rozprzestrzenianiu się BEC.
- Rozwiązania do wykrywania i reagowania na punktach końcowych, takie jak Cisco Secure Endpoint, mogą wykrywać niebezpieczną aktywność w sieciach i maszynach organizacji.
- Atakujący często próbowali ominąć MFA w rozwiązaniach EDR, aby wyłączyć ich mechanizmy ostrzegania.
- Sygnatury Snort i ClamAV mogą blokować wiele znanych rodzin ransomware, takich jak Black Basta i Akira.
Więcej informacji o głównych cyberzagrożeniach pierwszego kwartału 2024 na blogu Cisco Talos: https://blog.talosintelligence.com/talos-ir-quarterly-trends-q1-2024/
