W tym roku, podobnie jak w 2021 r., ransomware pozostaje najczęściej występującym cyberzagrożeniem – według danych Cisco Talos.

Trzy główne cele przestępców

W I kw. 2022 r. atakowano najczęściej firmy telekomunikacyjne, placówki edukacyjne i sektor rządowy. Co istotne, napastnicy zazwyczaj precyzyjnie wybierali cele, aby pozyskać konkretne informacje – dotyczące hostów i maszyn uczestniczących w wymianie danych, które miały stać się obiektem ataków – twierdzą specjaliści z Cisco Talos Incident Response (CTIR).

Jak przebiegają ataki

Początkowym etapem był zwykle phishing mający na celu instalację, po kliknięciu w zainfekowany link lub pobraniu dokumentu, złośliwego oprogramowania, które odpowiadało za przygotowanie do dalszej serii naruszeń.

Co zmieniło się w tym roku

W porównaniu z końcem 2021 r. zaobserwowano więcej zagrożeń wykorzystujących socjotechnikę i prób podszycia się pod zaufane programy i aplikacje.

Ataki sponsorowane przez rządy

W I kw. 2022 r. było więcej ataków typu advanced persistent threat (ATP). Są to złożone i prowadzone przez długi czas działania wymierzone w konkretną organizację. Wymagają dużych inwestycji, dlatego stroną atakującą lub sponsorem często są agencje rządowe.

Ostatnio stwierdzono aktywność grup powiązanych z Iranem i Chinami. Ta ostatnia wykorzystuje krytyczną lukę Log4j, wykrytą w końcu ub.r, która zagrażała nawet połowie polskich firm.

Ta podatność była wykorzystywana do obejścia zabezpieczeń poprzez instalację backdoora. Następnie program PowerShell służący do automatyzacji zadań IT wydawał polecenie pobrania trzech dodatkowych plików z serwera powiązanego z cyberprzestępcami, które siały spustoszenie w zasobach organizacji.

Niebezpieczna demokratyzacja ransomware postępuje

Na początku tego roku odnotowano naruszenia z wykorzystaniem nowych rodzin ransomware, przy czym ataki są zróżnicowane. Żadna rodzina ransomware nie została zaobserwowana dwukrotnie w incydentach w I kw. br.

Jest to zdaniem specjalistów efekt demokratyzacji ransomware, czyli darmowego udostępniania narzędzi do ataków. Gdy te okazują się skuteczne, twórcy złośliwego oprogramowania partycypują w zyskach z okupu.

Cisco Talos, radzi, jak się chronić

Najlepszym zabezpieczeniem jest uwierzytelnianie wieloskładnikowe (MFA) we wszystkich krytycznych usługach – twierdzą specjaliści Cisco. Podają przykład ataku z I kw. br. na firmę telekomunikacyjną. Został on przeprowadzony za nieświadomym pośrednictwem organizacji partnerskiej, odpowiadającej za wsparcie i call center. Cyberprzestępcy uzyskali dostęp do urządzenia Citrixa, które nie było zabezpieczone przez MFA – informuje Cisco Talos.