За перші три місяці 2023 року кількість атак через веб-оболонки зросла вище середнього. Звіт Cisco Talos показує, що атаки через веб-оболонки є новим найпопулярнішим вектором атак у першому кварталі 1 року. Програмне забезпечення-вимагач можна захистити краще.
Згідно з аналізом Cisco Talos, цей тип атаки став причиною чверті всіх інцидентів, розслідуваних групою реагування на інциденти в першому кварталі 2023 року. При цьому частка виявлених атак програм-вимагачів впала з 20% до 10%. Однак кібердослідники не дають однозначної інформації: тому що п’ята частина всіх спостережуваних загроз була пов’язана з заходами зловмисників, які зазвичай передують атаці програм-вимагачів і готуються до них.
Загрозлива ситуація за І квартал 2023 року
🔎 Багато атак через веб-оболонки: багато облікових записів користувачів веб-додатків захищені лише слабкими паролями або однофакторною автентифікацією (Зображення: Cisco).
Talos, одна з найбільших у світі комерційних організацій з розвідки загроз, опублікувала щоквартальну оцінку загроз за перший квартал 2023 року. Відповідно, загальнодоступні веб-додатки були головною мішенню зловмисників у цей період. Майже половина всіх атак (45%) використовує такі програми як початковий вектор для отримання доступу до систем. Порівняно з попереднім кварталом це відповідає збільшенню на 15%.
Багато з цих атак використовували веб-оболонки, які скомпрометували доступ до Інтернету на серверах. Загалом кажучи, веб-оболонка — це шкідливий сценарій, який маскується під легітимний файл, таким чином відкриваючи бекдор до веб-сервера. Веб-оболонки зазвичай «залишаються» для подальших атак після вже успішного проникнення. За словами дослідників Talos, зловмисникам виграв той факт, що багато облікових записів користувачів веб-додатків були захищені лише слабкими паролями або однофакторною автентифікацією.
Атака через погано захищені веб-програми
«Відмови у захисті веб-додатків помстяться», — каже Хольгер Унтербрінк, технічний керівник Cisco Talos у Німеччині. «Результати нашого звіту ще раз дають зрозуміти, що багатофакторна автентифікація та надійні паролі тепер є частиною основ кібергігієни. Особливо, коли мова йде про такі відомі програми, як веб-сайти».
Посилений захист від програм-вимагачів: Vice Society пом’якшено
Загроза програм-вимагачів залишається високою. Хоча у Cisco Talos у першому кварталі спостерігалося загальне зниження успішних справ про вимагання, загальна активність програм-вимагачів залишається високою. Приблизно одна п'ята частина всіх атак припадає на так звані дії, які передували програмному забезпеченню-вимагачу, тому найближчими місяцями можна знову очікувати збільшення успішних атак. Cisco Talos змогла пов’язати багато заходів підготовки до атаки з відомими групами програм-вимагачів, такими як Vice Society. За словами дослідників, швидке втручання команд безпеки постраждалих компаній допомогло стримати атаки до того, як здійснилося шифрування.
У першому кварталі 2023 року охорона здоров’я була головною мішенню злочинців, за нею йшли роздрібна торгівля, нерухомість і готельний бізнес.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Документи OneNote як вектор атаки
🔎 У першому кварталі 2023 року охорона здоров’я була головною мішенню злочинців, за нею йшла роздрібна торгівля (Зображення: Cisco).
Так зване «товарне шкідливе програмне забезпечення» вже зростало минулого року. Він широко використовується і його можна придбати або завантажити безкоштовно. Товарне зловмисне програмне забезпечення, як правило, не налаштоване та використовується зловмисниками на різних етапах своєї діяльності. У першому кварталі 2023 року такі завантажувачі товарів, як Qakbot, які раніше були помічені, знову з’явилися сильніше. Qakbot часто використовував шкідливі документи OneNote.
Використання зловмисних вкладень OneNote також можна спостерігати в інших спробах атак. Відповідно до аналізу Talos, зловмисники продовжують експериментувати з типами файлів, які не покладаються на макроси. Microsoft почала вимикати макроси у своїх програмах за замовчуванням у липні 2022 року. Це також впливає на інші програми, які містять і керують іншими файлами.
Подальші результати в першому кварталі 2023 року
- Тридцять відсотків спостережуваних випадків атак або мали багатофакторну автентифікацію (MFA) не ввімкнену взагалі, або лише для кількох облікових записів і критичних служб.
- Нещодавні успіхи правоохоронних органів у розкритті великих груп програм-вимагачів (наприклад, Hive) мають ефект. Однак це створює простір для створення нових сімей або створення нових партнерських відносин. Нове сімейство програм-вимагачів як послуг (RaaS) з’явилося разом із програмами-вимагачами Daixin у першому кварталі 1 року.
- Набір інструментів з відкритим вихідним кодом Mimikatz використовувався майже в 60 відсотках розгортань програм-вимагачів і програм-вимагачів, які передували програмі-вимагачу цього кварталу. Mimikatz — це широко використовуваний інструмент після експлуатації, який використовується для викрадення ідентифікаторів входу, паролів і маркерів автентифікації з скомпрометованих систем Windows.
Про Cisco Cisco є провідною світовою технологічною компанією, яка робить Інтернет можливим. Cisco відкриває нові можливості для додатків, безпеки даних, трансформації інфраструктури та розширення можливостей команд для глобального та інклюзивного майбутнього.