Търсене
Close this search box.

Проучванията показват, че заплахата от ransomware продължава да съществува, и посочват, че лошото прилагане или пълната липса на многофакторна автентикация (MFA) са фактор за много инциденти.

Изследването на екипа на Rapid7 разглежда данни от първата половина на 2023 г. и отбелязва, че в 39% от инцидентите, наблюдавани от екипа за управлявани услуги, причината е в проблеми с MFA.

Натовареността на изследователите също така се е увеличила с 69% на годишна база.

Въпреки че отдалеченият достъп е водещ по отношение на първоначалните вектори за достъп на нападателите с 39% от атаките, използването на уязвимости е причина за 27% от атаките, а фишинг натоварванията са отговорни за 13%.

В доклада се отбелязва, че комбинацията от неправилно конфигуриране на облака, SEO отравяне и „неуспех да се елиминират  заплахите по време на предишни компрометирания“ представлява 11% от векторите за първоначален достъп.

Въпреки това фактът, че почти две пети (39%) от всички инциденти, наблюдавани от екипа, са резултат от проблеми с MFA, ще накара администраторите да се замислят.

Макар че ограниченията на MFA – особено в комбинация с фишинг и прокси атаки – са добре известни, технологията може да допринесе донякъде за добавянето на допълнителна бариера между организациите и  заплахите.

Умората от MFA е един от тези известни проблеми – явление, при което потребителите могат да станат все по-раздразнени от повтарящите се искания за одобрение на влизането, да се поддадат на раздразнението и по невнимание да одобрят исканията на нападателите.

Тази умора, съчетана с лоши практики на прилагане – като например възможността за пълно заобикаляне на MFA – представлява привлекателна възможност за нападателите.

Изследователите изтъкнаха умората от уведомяването като фактор за увеличаване на измамите с MFA push и отбелязаха съвпадението на номерата, като например това, което се изисква от Microsoft Authenticator, като начин за поддържане на умората и справяне с атаките на социалния инженеринг.

Злоупотреба с OneNote за разпространение на зловреден софтуер

Въпреки че фишинг атаките са причина за по-малък брой инциденти, екипът посочи злоупотребата с Microsoft OneNote като средство за разпространение на зловреден софтуер и крадци на удостоверения.

„Това беше основната причина за повечето фишинг инциденти, които екипът ни наблюдаваше през 1Х 2023 г.“, казват изследователите.

След като миналата година Microsoft блокира VBA макросите по подразбиране, нападателите се насочиха към OneNote като вектор за извършване на атаки. Rapid7 отбеляза използването на платформата за разпространение на зловредния софтуер Redline Infostealer и Qakbot по-рано през 2023 г.

Блокирането на .one файловете в периметъра или на имейл шлюза е един от подходите за справяне със заплахата, както и обучението на потребителите по отношение на прикачените файлове.

Рансъмуерът  все още е основната заплаха, но бизнесът в тъмната мрежа процъфтява

В проучването се отбелязва, че пейзажът на рансъмуер е останал относително стабилен по отношение на групите, които действат в това пространство.

От отбелязаните инциденти с рансъмуер 35,3 % се приписват на LockBit. Изследователите обаче добавиха, че инцидентите през първата половина на годината, приписани на Cl0p -11,9% – са били по-малко поради това, че групата все още активно претендира за нови жертви от атаката си от 2023 г. с нулев ден върху MOVEit.

Атаките на Cl0p все още се категоризират под шапката на „ransomware“, като се имат предвид корените на групата в ransomware, но нейните високопрофилни атаки през тази година, включващи MOVEit и GoAnywhere MFT, показаха, че групата се е насочила към модел на ransomware без криптиране.

Брокерите обаче печелят добре от експлойти от нулев ден или достъп до компрометирани мрежи, продавани в тъмната мрежа. В един от примерите в доклада се посочва, че цената на експлойт от нулев ден в хардуер на Cisco или Juniper е 75 000 USD или повече.

Въпреки че цената може да изглежда висока, организациите, предлагащи откуп като услуга – като Cl0p – потенциално могат да покрият разходите многократно само с едно плащане от страна на жертвата.

„Потенциалният марж на печалба за успешни RaaS операции, с други думи, е зашеметяващ“, казват изследователите.

Източник: itpro.co.uk

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
Бъдете социални
Още по темата
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
17/09/2024

Скорошните уязвимости на Wh...

Две критични уязвимости, поправени наскоро в...
17/09/2024

Група за рансъмуер публикув...

Групата за рансъмуер RansomHub е публикувала...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!