Ataki ransomware oraz działania pre-ransomware stanowiły 40 proc. zagrożeń zaobserwowanych w III kw. br. – według Cisco Talos. Celem były najczęściej placówki oświatowe, usługi finansowe, systemy rządowe i energetyka.

Po raz pierwszy od IV kw. 2021 r., to nie telekomunikacja była najczęściej atakowana. Nie jest jasne, dlaczego przestępcy tak bardzo zainteresowali się edukacją. Być może z powodu powrotu do szkoły.

Stwierdzono, że przestępcy wykorzystują ogólnodostępne narzędzia i skrypty hostowane na repozytoriach GitHub lub pobierane z innych witryn. Wzrosło wykorzystanie narzędzi podwójnego zastosowania, takich jak legalne do red-teamingu (kontrolowane ataki socjotechniczne).

Przestępcy polują na ważne konta

Co istotne, większość publicznie dostępnych narzędzi zastosowanych przez przestępców w III kw. br. koncentruje się na uzyskiwaniu dostępu i zbieraniu danych uwierzytelniających.

Złodzieje przejmowali ważne konta, aby uzyskać początkowy dostęp, zwłaszcza gdy były źle skonfigurowane, niewłaściwie wyłączone albo miały słabe hasła. Użyto m.in. przechwyconej sieci kontrahenta albo jego komputera.

W prawie 15 proc. przypadków przestępcy atakowali poprzez źle skonfigurowane aplikacje.

Kolejnym częstym sposobem była poczta elektroniczna i aktywowanie przez użytkownika złośliwego dokumentu lub linku.

Brak MFA dużym problemem

Brak uwierzytelniania wieloetapowego pozostaje jedną z największych przeszkód dla bezpieczeństwa firm. Prawie 18 proc. spraw analizowanych przez Cisco Talos nie miało MFA lub miało je włączone tylko na kilku kontach i krytycznych usługach.

W 27 proc. przypadków hasła lub dostęp do kont nie zostały odpowiednio skonfigurowane albo wyłączone. Konta te pozostały aktywne, co umożliwiło napastnikom wykorzystanie ważnych danych uwierzytelniających do wejścia do środowiska organizacji. W kilku przypadkach nie wyłączono dostępu do kont po odejściu pracownika z firmy.