Проучванията показват, че заплахата от ransomware продължава да съществува, и посочват, че лошото прилагане или пълната липса на многофакторна автентикация (MFA) са фактор за много инциденти.
Изследването на екипа на Rapid7 разглежда данни от първата половина на 2023 г. и отбелязва, че в 39% от инцидентите, наблюдавани от екипа за управлявани услуги, причината е в проблеми с MFA.
Натовареността на изследователите също така се е увеличила с 69% на годишна база.
Въпреки че отдалеченият достъп е водещ по отношение на първоначалните вектори за достъп на нападателите с 39% от атаките, използването на уязвимости е причина за 27% от атаките, а фишинг натоварванията са отговорни за 13%.
В доклада се отбелязва, че комбинацията от неправилно конфигуриране на облака, SEO отравяне и „неуспех да се елиминират заплахите по време на предишни компрометирания“ представлява 11% от векторите за първоначален достъп.
Въпреки това фактът, че почти две пети (39%) от всички инциденти, наблюдавани от екипа, са резултат от проблеми с MFA, ще накара администраторите да се замислят.
Макар че ограниченията на MFA – особено в комбинация с фишинг и прокси атаки – са добре известни, технологията може да допринесе донякъде за добавянето на допълнителна бариера между организациите и заплахите.
Умората от MFA е един от тези известни проблеми – явление, при което потребителите могат да станат все по-раздразнени от повтарящите се искания за одобрение на влизането, да се поддадат на раздразнението и по невнимание да одобрят исканията на нападателите.
Тази умора, съчетана с лоши практики на прилагане – като например възможността за пълно заобикаляне на MFA – представлява привлекателна възможност за нападателите.
Изследователите изтъкнаха умората от уведомяването като фактор за увеличаване на измамите с MFA push и отбелязаха съвпадението на номерата, като например това, което се изисква от Microsoft Authenticator, като начин за поддържане на умората и справяне с атаките на социалния инженеринг.
Въпреки че фишинг атаките са причина за по-малък брой инциденти, екипът посочи злоупотребата с Microsoft OneNote като средство за разпространение на зловреден софтуер и крадци на удостоверения.
„Това беше основната причина за повечето фишинг инциденти, които екипът ни наблюдаваше през 1Х 2023 г.“, казват изследователите.
След като миналата година Microsoft блокира VBA макросите по подразбиране, нападателите се насочиха към OneNote като вектор за извършване на атаки. Rapid7 отбеляза използването на платформата за разпространение на зловредния софтуер Redline Infostealer и Qakbot по-рано през 2023 г.
Блокирането на .one файловете в периметъра или на имейл шлюза е един от подходите за справяне със заплахата, както и обучението на потребителите по отношение на прикачените файлове.
В проучването се отбелязва, че пейзажът на рансъмуер е останал относително стабилен по отношение на групите, които действат в това пространство.
От отбелязаните инциденти с рансъмуер 35,3 % се приписват на LockBit. Изследователите обаче добавиха, че инцидентите през първата половина на годината, приписани на Cl0p -11,9% – са били по-малко поради това, че групата все още активно претендира за нови жертви от атаката си от 2023 г. с нулев ден върху MOVEit.
Атаките на Cl0p все още се категоризират под шапката на „ransomware“, като се имат предвид корените на групата в ransomware, но нейните високопрофилни атаки през тази година, включващи MOVEit и GoAnywhere MFT, показаха, че групата се е насочила към модел на ransomware без криптиране.
Брокерите обаче печелят добре от експлойти от нулев ден или достъп до компрометирани мрежи, продавани в тъмната мрежа. В един от примерите в доклада се посочва, че цената на експлойт от нулев ден в хардуер на Cisco или Juniper е 75 000 USD или повече.
Въпреки че цената може да изглежда висока, организациите, предлагащи откуп като услуга – като Cl0p – потенциално могат да покрият разходите многократно само с едно плащане от страна на жертвата.
„Потенциалният марж на печалба за успешни RaaS операции, с други думи, е зашеметяващ“, казват изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.