Звіт про загрози Arctic Wolf Labs містить інформацію про бурхливий рік для кібербезпеки: вторгнення Росії в Україну порушило роботу провідних груп програм-вимагачів. Програмне забезпечення-вимагач як послуга зростає.
Відсутність багатофакторної автентифікації (MFA) спровокувала атаки на ділову електронну пошту, а вразливості Log4Shell і ProxyShell продовжують масово використовувати більше року після їх первинного розкриття.
Компроміс ділової електронної пошти
Однією з найбільш помітних тенденцій у середовищі загроз було значне збільшення кількості успішних атак BEC у 2022 році порівняно з 2021 роком. Компрометація бізнес-електронної пошти — також відома як компрометація облікового запису електронної пошти (EAC) — це один із видів шахрайства з електронною поштою, у якому зловмисники видавати себе за довірених осіб, наприклад керівників чи юристів, а потім обманом змушувати жертв переказати гроші чи розкрити конфіденційну інформацію.
Більше чверті (29%) відповідей на інциденти минулого року спричинили атаки компрометації бізнес-електронної пошти (BEC), при цьому більшість (58%) організацій-жертв не ввімкнули багатофакторну автентифікацію (MFA).
Розвиток програми-вимагача як послуги
Вторгнення Росії в Україну суттєво порушило діяльність загрозливих суб’єктів у цих двох країнах, що призвело до зменшення на 26% у порівнянні з минулим роком спостережуваних випадків програм-вимагачів у всьому світі. Водночас зросло використання програм-вимагачів як послуг (RaaS), що дозволяє навіть менш технічним кіберзлочинцям здійснювати атаки програм-вимагачів і маскувати особи учасників загрози.
Домінуюча група програм-вимагачів LockBit
П’ять варіантів програм-вимагачів спричинили найбільшу кількість жертв програм-вимагачів у 2022 році, і всі вони підпадають під парадигму програм-вимагачів як послуги. Що ще гірше, було доведено, що кілька варіантів програм-вимагачів використовуються одночасно або що зловмисники стрибають туди-сюди між варіантами та пробують різні варіанти. LockBit зарекомендувала себе як домінуюча група програм-вимагачів, у якій зареєстровано 822 організації-жертви, що на 248% більше жертв, ніж BlackCat (ALPHV), друга за активністю група. Іншими групами були Conti, BlackBasta та Hive.
Невиправлені вразливості
Зловмисники використовують різні методи, щоб отримати доступ до систем своїх жертв: зовнішні атаки становили майже дві третини (72%) за останній рік, причому 3% інцидентів безпеки були спричинені неправильною конфігурацією ІТ-систем, 24% – через віддалений доступ. викрадення, а 45% були спричинені відомими вразливими місцями, для яких уже були доступні виправлення безпеки та оновлення. Уразливості в Microsoft Exchange (ProxyShell) і Log4j (Log4Shell), про які стало відомо в 2021 році, досі залишаються двома найпоширенішими точками атаки (root points of compromise, RPOC) серед випадків реагування на інциденти в Arctic Wolf.
Окрім зовнішніх атак, у яких використовується технічна вразливість, існують методи, за яких атаковані користувачі самі (несвідомо) стають активними, наприклад. Б. відкрити шкідливий веб-сайт або файл. Минулого року 12% було пов’язано з фішинговими електронними листами, 7% через погану гігієну паролів і попередній витік даних доступу, 4% через інші методи соціальної інженерії та 5% через інші RPOC.
Більше на ArcticWolf.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.
Статті по темі