Web シェルを介した攻撃の数は、2023 年の最初の 1 か月間で平均を上回る割合で増加しました。 Cisco Talos レポートは、Web シェルを介した攻撃が 2023 年第 XNUMX 四半期の新たな最大の攻撃ベクトルであることを示しています。ランサムウェアはより効果的に回避できます。
Cisco Talos の分析によると、2023 年の第 20 四半期にインシデント対応チームが調査したすべてのインシデントの 10 分の XNUMX は、このタイプの攻撃が原因でした。 同時に、検出されたランサムウェア攻撃の割合は XNUMX% から XNUMX% に減少しました。 しかし、サイバー研究者はすべてを明確にしているわけではありません。なぜなら、観察されたすべての脅威活動の XNUMX 分の XNUMX は、攻撃者による対策によるものであり、通常、ランサムウェア攻撃に先立ってその攻撃に備えているからです。
2023 年第 XNUMX 四半期の脅威状況
🔎 Web シェルを介した多くの攻撃: Web アプリケーションのユーザー アカウントの多くは、弱いパスワードまたは単一要素認証でのみ保護されています (画像: Cisco)。
世界最大の商業脅威インテリジェンス組織の 2023 つである Talos は、45 年第 15 四半期の四半期脅威評価を発表しました。 したがって、公開されている Web アプリケーションは、この期間における脅威アクターの主な標的でした。 すべての攻撃のほぼ半数 (XNUMX%) は、システムにアクセスするための最初のベクトルとしてこのようなアプリケーションを使用します。 前四半期と比較すると、これは XNUMX% の増加に相当します。
これらの攻撃の多くは、インターネットに公開されているサーバーを侵害する Web シェルを使用しました。 一般に、Web シェルは正規のファイルを装って Web サーバーへのバックドアを開く悪意のあるスクリプトです。 Web シェルは通常、すでに侵入が成功した後、さらなる攻撃のために「取り残され」ます。 Talos の研究者によると、攻撃者は、多くの Web アプリケーション ユーザー アカウントが弱いパスワードまたは単一要素認証でのみ保護されていたという事実から利益を得ました。
セキュリティが不十分な Web アプリケーションを介した攻撃
ドイツの Cisco Talos のテクニカル リーダーである Holger Unterbrink 氏は、「Web アプリケーションのセキュリティ保護に失敗すると、報復が行われます」と述べています。 「私たちのレポートの結果は、多要素認証と強力なパスワードが今やサイバー衛生の基本の一部であることを改めて明らかにしました。 特にウェブサイトのような著名なアプリケーションに関してはそうです。」
強化されたランサムウェア防御: Vice Society が緩和されました
ランサムウェアの脅威は依然として高いままです。 Cisco Talos では、第 1 四半期に恐喝の成功件数が全体的に減少しましたが、全体的なランサムウェアの活動は依然として高いままです。 いわゆる「ランサムウェア以前」の活動が全攻撃の約 XNUMX 分の XNUMX を占めており、今後数か月以内に攻撃成功数が再び増加すると予想されます。 Cisco Talos は、多くの準備的な攻撃手段を Vice Society などの有名なランサムウェア グループに結び付けることができました。 研究者らによると、被害企業のセキュリティチームが迅速に介入したことで、暗号化が行われる前に攻撃を阻止することができたという。
2023 年の第 XNUMX 四半期には、医療が犯罪の主な標的となり、小売、不動産、接客業が僅差で続きました。
ちょっと時間ありますか?
2023 年のユーザー アンケートに数分お時間をいただき、B2B-CYBER-SECURITY.de の改善にご協力ください。!10 問の質問に答えるだけで、Kaspersky、ESET、Bitdefender から賞品を獲得するチャンスがすぐにあります。
ここからアンケートに直接アクセスできます
攻撃ベクトルとしての OneNote ドキュメント
🔎 2023 年の第 XNUMX 四半期、犯罪者の主な標的はヘルスケアであり、小売業がそれに僅差で続きました (画像: Cisco)。
いわゆる「コモディティマルウェア」は昨年すでに増加していました。 広く使用されており、無料で購入またはダウンロードできます。 一般的なマルウェアは通常、カスタマイズされておらず、攻撃者によって活動のさまざまな段階で悪用されます。 2023 年の第 XNUMX 四半期には、以前に目撃された Qakbot などの商品ローダーが再び強力な出現を見せました。 Qakbot は悪意のある OneNote ドキュメントを頻繁に使用していました。
悪意のある OneNote 添付ファイルの使用は、他の攻撃の試みでも観察される可能性があります。 そのため、Talos の分析によると、脅威アクターはマクロに依存しないファイル タイプの実験を続けています。 Microsoft は 2022 年 XNUMX 月にアプリケーションのマクロをデフォルトで無効にし始めました。 他のファイルを含み、管理する他のアプリケーションも影響を受けます。
2023 年の第 XNUMX 四半期にはさらなる結果が発表されます
- 観察された攻撃ケースの XNUMX% では、多要素認証 (MFA) がまったく有効になっていなかったか、少数のアカウントと重要なサービスに対してのみ有効でした。
- 最近、法執行機関が大規模なランサムウェアギャング (Hive など) の壊滅に成功したことが影響しています。 ただし、これにより、新しい家族や新しいパートナーシップの形成のためのスペースが生まれます。 新しい ransomware-as-a-service (RaaS) ファミリが、1 年第 2023 四半期に Daixin Ransomware とともに登場しました。
- オープンソース ツールキット Mimikatz は、この四半期のランサムウェアおよびランサムウェア以前の展開の 60% 近くで使用されました。 Mimikatz は、侵害された Windows システムからログイン ID、パスワード、認証トークンを盗むために広く使用されているエクスプロイト後ツールです。
シスコについて シスコは、インターネットを可能にする世界有数のテクノロジー企業です。 シスコは、グローバルで包括的な未来に向けて、アプリケーション、データ セキュリティ、インフラストラクチャ トランスフォーメーション、およびチームのエンパワーメントに新たな可能性を切り開いています。