Organy ścigania mocno przetrzebiły grupy przestępcze zajmujące się ransomware. Skutek jest taki, że wyraźnie spadł odsetek ataków tego typu. W II kw. 2022 r. miały 15 proc. udziału, podczas gdy w I kw. 2022 r. aż 25 proc. – według Cisco Talos.

Jednak obecnie najczęściej spotykanym problemem są ataki wykorzystujące commodity malware.

Jest to o tyle istotną zmianą, że wcześniej liczba obserwowanych przez zespół CTIR (Cisco Talos Incident Response) ataków wykorzystujących trojany typu commodity spadała regularnie od 2020 r.

Obecnie jednak obserwowany jest renesans trojanów odpowiadających za ataki na pocztę elektroniczną. W II kw. 2022 r. stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer i Qakbot (Qbot) – trojana bankowego, który w ostatnich tygodniach pojawił się w nowych skupiskach aktywności.

Cyberprzestępcy zazwyczaj wykorzystują, commodity malware stawiając na efekt skali, gdyż nie jest ono dostosowane do ataków na konkretne cele.

W dalszym ciągu najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą od IV kw. 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.

Atak na serwer Azure

W minionym kwartale przeprowadzono kilka akcji, w których do ataku wykorzystano podatności w  aplikacjach, routerach i serwerach. M,in. działająca w Europie firma informatyczna miała źle skonfigurowany i przypadkowo ujawniony serwer Azure. Hakerzy próbowali zdalnie uzyskać dostęp do systemu, zanim został on odizolowany. Działał on sam w swojej podsieci, ale był połączony z innymi zasobami wewnętrznymi za pośrednictwem tunelu IPSec VPN. Zidentyfikowano wiele nieudanych prób logowania i ataków typu brute force, polegających na sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy z różnych zewnętrznych adresów IP.