Talos

Ataki ransomware nadal były głównym zagrożeniem w czwartym kwartale 2022, twierdzą eksperci Cisco Talos. Wśród ataków pojawiły się nowe rodziny ransomware, w tym Royal. Równie częste były kampanie phishingowe – powszechne i charakteryzujące się zróżnicowanymi działaniami, w tym wykonywaniem poleceń w celu zbierania danych uwierzytelniających oraz instalacją narzędzi zdalnego dostępu.

Jesteśmy świadkami istotnych zmian w sposobie prowadzenia ataków przez cyberprzestępców sponsorowanych przez państwa – twierdzą eksperci Cisco Talos. Działania ewoluowały ze szpiegostwa, poprzez kradzież własności intelektualnej aż po ataki na dysydentów. Zaawansowane i długotrwałe ataki (APT – ang. Advanced Persistent Threat) stają się coraz bardziej destrukcyjne i destabilizujące, co widoczne jest na przykładzie cyberataków w Ukrainie oraz na Bliskim Wschodzie. Dodatkowo wojna dezinformacyjna staje się równie ważna, co potyczki militarne. Jednocześnie szpiegostwo zawsze będzie nieodzowną częścią krajobrazu zagrożeń – zdobycie poufnych danych to wciąż główny cel ataków sponsorowanych przez państwa.

W minionym roku zespół Cisco Talos najwięcej tzw. zaawansowanych, uporczywych ataków (Advanced Persistent Threats – APT) połączył z grupami wspieranymi przez Rosję, Chiny, Iran, Koreę Północną czy Pakistan. Celem najczęściej była kradzież własności intelektualnej, a także szpiegostwo oraz rozpowszechnianie złośliwego oprogramowania.

Atakujący regularnie próbują wykorzystać luki w zabezpieczeniach w celu dostarczania złośliwego ładunku za pomocą exploitów. Ostatnio jednak ich aktywność na tym polu coraz bardziej skupia się na wykorzystywaniu użytkowników. Początkowo, cyberprzestępcy doprowadzali do tego, aby pracownicy aktywowali złośliwe makra w plikach pakietu Office. Jednak im rzadziej ataki na tym polu są skuteczne, tym częściej napastnicy starają się znaleźć kolejną drogę do generowania złośliwych przychodów. Takim sposobem są właśnie zagrożenia wewnętrzne.

Analitycy Cisco Talos natrafili na nową kampanię przypisywaną powiązanej z Rosją grupie Gamaredon APT, która infekuje ukraińskich użytkowników złośliwym oprogramowaniem wykradającym informacje.

Cisco zajmująca się cyberbezpieczeństwem, Cisco Talos, uzyskała informacje dotyczące kilku znaczących ataków DDoS na grupy związane z atakami z wykorzystaniem oprogramowania ransomware. Ofiarami padły m.in. grupy ALPHV (znana również jako BlackCat) oraz LockBit. Doświadczyły one ataków na publiczne witryny, w których przechowują wykradzione dane. Strony te są zwykle stawiane na anonimowych serwisach w ramach sieci Tor, gdzie przy pomocy metody znanej jako „podwójne wymuszenie” podmioty związane z RaaS (ransomware-as-a-service) umieszczają dane ofiar, jeśli te nie spełnią ich żądań.

Eksperci Cisco Talos, analitycznej komórki Cisco zajmującej się cyberbezpieczeństwem, przekonują, że ransomware jest zagrożeniem, z którym musi zmierzyć się każda organizacja. Jak wynika z badania Sophos, w ostatnim roku 37% organizacji padło jego ofiarą. Skala zjawiska jest tak powszechna, a potencjalne straty na tyle dotkliwe, że ransomware staje się ważnym punktem spotkań kadry kierowniczej C-level.

BlackCat to nowa i rozwijająca się grupa oprogramowania ransomware-as-a-service (RaaS), która w ciągu ostatnich kilku miesięcy atakowała kilka organizacji na całym świecie. Pojawiają się również informacje o związku między BlackCat a grupami BlackMatter/DarkSide, odpowiedzialnymi za atak na rurociąg Colonial Pipeline w zeszłym roku. Zrozumienie technik, narzędzi i sposobów działania cyberprzestępców wykorzystujących RaaS pomaga wykrywać i zapobiegać atakom, w przypadku których każda sekunda oznacza utratę danych. Eksperci Cisco Talos podkreślają, że ma to obecnie szczególne znaczenie, gdy w obliczu wojny w Ukrainie zaobserwowano wzmożoną aktywność hakerów.

Cyberprzestępcy starają się wykorzystywać masowe przejście użytkowników na pracę zdalną, Koncentrują się między innymi na próbach wyłudzania dostępu do aplikacji czy danych użytkowników. Do tego celu stosują złośliwe domeny, phishing, czy wzmożony trend wyszukiwania informacji związanych z wirusem COVID-19 i np. prowadzą do dezinformacji użytkowników.