Печалбите от рансъмуер достигат „зашеметяващи“ нива заради неправилно прилагане на MFA

Picture of e-security.bg
e-security.bg
Aрхив | Факти и данни

Проучванията показват, че заплахата от ransomware продължава да съществува, и посочват, че лошото прилагане или пълната липса на многофакторна автентикация (MFA) са фактор за много инциденти.

Изследването на екипа на Rapid7 разглежда данни от първата половина на 2023 г. и отбелязва, че в 39% от инцидентите, наблюдавани от екипа за управлявани услуги, причината е в проблеми с MFA.

Натовареността на изследователите също така се е увеличила с 69% на годишна база.

Въпреки че отдалеченият достъп е водещ по отношение на първоначалните вектори за достъп на нападателите с 39% от атаките, използването на уязвимости е причина за 27% от атаките, а фишинг натоварванията са отговорни за 13%.

В доклада се отбелязва, че комбинацията от неправилно конфигуриране на облака, SEO отравяне и „неуспех да се елиминират  заплахите по време на предишни компрометирания“ представлява 11% от векторите за първоначален достъп.

Въпреки това фактът, че почти две пети (39%) от всички инциденти, наблюдавани от екипа, са резултат от проблеми с MFA, ще накара администраторите да се замислят.

Макар че ограниченията на MFA – особено в комбинация с фишинг и прокси атаки – са добре известни, технологията може да допринесе донякъде за добавянето на допълнителна бариера между организациите и  заплахите.

Умората от MFA е един от тези известни проблеми – явление, при което потребителите могат да станат все по-раздразнени от повтарящите се искания за одобрение на влизането, да се поддадат на раздразнението и по невнимание да одобрят исканията на нападателите.

Тази умора, съчетана с лоши практики на прилагане – като например възможността за пълно заобикаляне на MFA – представлява привлекателна възможност за нападателите.

Изследователите изтъкнаха умората от уведомяването като фактор за увеличаване на измамите с MFA push и отбелязаха съвпадението на номерата, като например това, което се изисква от Microsoft Authenticator, като начин за поддържане на умората и справяне с атаките на социалния инженеринг.

Злоупотреба с OneNote за разпространение на зловреден софтуер

Въпреки че фишинг атаките са причина за по-малък брой инциденти, екипът посочи злоупотребата с Microsoft OneNote като средство за разпространение на зловреден софтуер и крадци на удостоверения.

„Това беше основната причина за повечето фишинг инциденти, които екипът ни наблюдаваше през 1Х 2023 г.“, казват изследователите.

След като миналата година Microsoft блокира VBA макросите по подразбиране, нападателите се насочиха към OneNote като вектор за извършване на атаки. Rapid7 отбеляза използването на платформата за разпространение на зловредния софтуер Redline Infostealer и Qakbot по-рано през 2023 г.

Блокирането на .one файловете в периметъра или на имейл шлюза е един от подходите за справяне със заплахата, както и обучението на потребителите по отношение на прикачените файлове.

Рансъмуерът  все още е основната заплаха, но бизнесът в тъмната мрежа процъфтява

В проучването се отбелязва, че пейзажът на рансъмуер е останал относително стабилен по отношение на групите, които действат в това пространство.

От отбелязаните инциденти с рансъмуер 35,3 % се приписват на LockBit. Изследователите обаче добавиха, че инцидентите през първата половина на годината, приписани на Cl0p -11,9% – са били по-малко поради това, че групата все още активно претендира за нови жертви от атаката си от 2023 г. с нулев ден върху MOVEit.

Атаките на Cl0p все още се категоризират под шапката на „ransomware“, като се имат предвид корените на групата в ransomware, но нейните високопрофилни атаки през тази година, включващи MOVEit и GoAnywhere MFT, показаха, че групата се е насочила към модел на ransomware без криптиране.

Брокерите обаче печелят добре от експлойти от нулев ден или достъп до компрометирани мрежи, продавани в тъмната мрежа. В един от примерите в доклада се посочва, че цената на експлойт от нулев ден в хардуер на Cisco или Juniper е 75 000 USD или повече.

Въпреки че цената може да изглежда висока, организациите, предлагащи откуп като услуга – като Cl0p – потенциално могат да покрият разходите многократно само с едно плащане от страна на жертвата.

„Потенциалният марж на печалба за успешни RaaS операции, с други думи, е зашеметяващ“, казват изследователите.

#анализи, # рансъмуер
itpro.co.uk

Подобни

Глобален срив на X
17.02.2026
ai-generated-8223753_640
NASA тества ИИ за автономна навигация на Марс
17.02.2026
wikiimages-mars-67522_640
Claude на Anthropic и военните операции на САЩ
17.02.2026
pentagon-US-defense
ЕК одобри придобиването на Wiz от Google
16.02.2026
Wiz-Google
Кибератаките – водещият риск за Г-7
16.02.2026
webinar_AI_in_Cybersecurity_Q1_BLOG_735x416_px
Airbnb залага на ИИ като личен асистент
16.02.2026
freestocks-photos-airbnb-2941142_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.