Търсене
Close this search box.

Печалбите от рансъмуер достигат „зашеметяващи“ нива заради неправилно прилагане на MFA

Проучванията показват, че заплахата от ransomware продължава да съществува, и посочват, че лошото прилагане или пълната липса на многофакторна автентикация (MFA) са фактор за много инциденти.

Изследването на екипа на Rapid7 разглежда данни от първата половина на 2023 г. и отбелязва, че в 39% от инцидентите, наблюдавани от екипа за управлявани услуги, причината е в проблеми с MFA.

Натовареността на изследователите също така се е увеличила с 69% на годишна база.

Въпреки че отдалеченият достъп е водещ по отношение на първоначалните вектори за достъп на нападателите с 39% от атаките, използването на уязвимости е причина за 27% от атаките, а фишинг натоварванията са отговорни за 13%.

В доклада се отбелязва, че комбинацията от неправилно конфигуриране на облака, SEO отравяне и „неуспех да се елиминират  заплахите по време на предишни компрометирания“ представлява 11% от векторите за първоначален достъп.

Въпреки това фактът, че почти две пети (39%) от всички инциденти, наблюдавани от екипа, са резултат от проблеми с MFA, ще накара администраторите да се замислят.

Макар че ограниченията на MFA – особено в комбинация с фишинг и прокси атаки – са добре известни, технологията може да допринесе донякъде за добавянето на допълнителна бариера между организациите и  заплахите.

Умората от MFA е един от тези известни проблеми – явление, при което потребителите могат да станат все по-раздразнени от повтарящите се искания за одобрение на влизането, да се поддадат на раздразнението и по невнимание да одобрят исканията на нападателите.

Тази умора, съчетана с лоши практики на прилагане – като например възможността за пълно заобикаляне на MFA – представлява привлекателна възможност за нападателите.

Изследователите изтъкнаха умората от уведомяването като фактор за увеличаване на измамите с MFA push и отбелязаха съвпадението на номерата, като например това, което се изисква от Microsoft Authenticator, като начин за поддържане на умората и справяне с атаките на социалния инженеринг.

Злоупотреба с OneNote за разпространение на зловреден софтуер

Въпреки че фишинг атаките са причина за по-малък брой инциденти, екипът посочи злоупотребата с Microsoft OneNote като средство за разпространение на зловреден софтуер и крадци на удостоверения.

„Това беше основната причина за повечето фишинг инциденти, които екипът ни наблюдаваше през 1Х 2023 г.“, казват изследователите.

След като миналата година Microsoft блокира VBA макросите по подразбиране, нападателите се насочиха към OneNote като вектор за извършване на атаки. Rapid7 отбеляза използването на платформата за разпространение на зловредния софтуер Redline Infostealer и Qakbot по-рано през 2023 г.

Блокирането на .one файловете в периметъра или на имейл шлюза е един от подходите за справяне със заплахата, както и обучението на потребителите по отношение на прикачените файлове.

Рансъмуерът  все още е основната заплаха, но бизнесът в тъмната мрежа процъфтява

В проучването се отбелязва, че пейзажът на рансъмуер е останал относително стабилен по отношение на групите, които действат в това пространство.

От отбелязаните инциденти с рансъмуер 35,3 % се приписват на LockBit. Изследователите обаче добавиха, че инцидентите през първата половина на годината, приписани на Cl0p -11,9% – са били по-малко поради това, че групата все още активно претендира за нови жертви от атаката си от 2023 г. с нулев ден върху MOVEit.

Атаките на Cl0p все още се категоризират под шапката на „ransomware“, като се имат предвид корените на групата в ransomware, но нейните високопрофилни атаки през тази година, включващи MOVEit и GoAnywhere MFT, показаха, че групата се е насочила към модел на ransomware без криптиране.

Брокерите обаче печелят добре от експлойти от нулев ден или достъп до компрометирани мрежи, продавани в тъмната мрежа. В един от примерите в доклада се посочва, че цената на експлойт от нулев ден в хардуер на Cisco или Juniper е 75 000 USD или повече.

Въпреки че цената може да изглежда висока, организациите, предлагащи откуп като услуга – като Cl0p – потенциално могат да покрият разходите многократно само с едно плащане от страна на жертвата.

„Потенциалният марж на печалба за успешни RaaS операции, с други думи, е зашеметяващ“, казват изследователите.

Източник: itpro.co.uk

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!