W III kw. 2024 r. ataki związane z tożsamością następowały najczęściej, a kradzież poświadczeń była głównym celem w co czwartym odnotowanym ataku. Przestępcy najczęściej uderzali w edukację, produkcję przemysłową i usługi finansowe – łącznie w tych branżach wydarzyło się ponad 30 proc. incydentów obserwowanych przez Cisco Talos.

Aż 25 proc. incydentów w minionym kwartale dotyczyło ataków password spraying i/lub brute force. Pierwszy polega na próbie uzyskania dostępu do wielu kont, przy użyciu niewielkiej liczby powszechnych haseł – np. „123456”, natomiast brute force oznacza sprawdzanie możliwych kombinacji haseł lub kluczy szyfrujących.

Zaobserwowano również zaawansowane ataki phishingowe typu AitM (Adversary-in-the-Middle) -przestępcy używają pośredniego serwera do przechwytywania poświadczeń i sesji użytkownika w czasie rzeczywistym.

Ransomware wchodzi przez znane luki

Ransomware, pre-ransomware i wymuszenia związane z kradzieżą danych stanowiły niemal 40 proc. incydentów w III kw. br. Jedna trzecia dotyczyła wykorzystywania znanych luk.

Sprzęt sieciowy nadal atrakcyjny dla gangów

Po raz czwarty z rzędu najczęściej obserwowanym sposobem uzyskiwania początkowego dostępu było wykorzystanie ważnych kont (66 proc. incydentów wobec 60 proc. w II kw. br.), a 20 proc. interwencji Cisco Talos dotyczyło wykorzystania podatnych i publicznie dostępnych aplikacji.

Eksperci Cisco Talos oceniają, że sprzęt sieciowy pozostanie atrakcyjnym celem ze względu na dużą powierzchnię ataku i potencjalny dostęp do sieci ofiar.

Błędy w zabezpieczeniach

W przypadku niemal 40 proc. incydentów głównym powodem naruszeń było źle skonfigurowane MFA (uwierzytelnianie wieloskładnikowe), jego brak lub omijanie. Dodatkowo, we wszystkich interwencjach Cisco Talos podejmowanych po atakach phishingowych okazywało się, że MFA było omijane lub nie było w pełni włączone, podczas gdy w ponad 20 proc. incydentów dotyczących ransomware, MFA nie było aktywowane na VPN-ach.

Źle skonfigurowane EDR-y

Inne nieprawidłowości, które Cisco Talos obserwuje co kwartał, dotyczą niewłaściwego wykrywania i reagowania na zagrożenia na urządzeniach końcowych (EDR) lub błędnej konfiguracji zabezpieczeń. Na przykład brak EDR we wszystkich systemach i/lub źle skonfigurowane EDR-y stanowiły niemal 30 proc. incydentów w III kw. br., a 20 proc. interwencji wykazało źle skonfigurowane lub nie w pełni włączone zabezpieczenia sieciowe.


Dane zawiera raport „Cisco Talos Incident Response Trends Q3 2024”.