Нове дослідження Ivanti, Cyber Security Works (CSW), Cyware та Securin показує, що, всупереч оптимістичним оцінкам, загрози програм-вимагачів не втратять жодної сили у 2022 році.
Дослідження «2023 Spotlight Report: програми-вимагачі з точки зору управління загрозами та вразливістю» пояснює: порівняно з попереднім роком кількість уразливостей, які використовують програми-вимагачі, зросла майже на 1/5 (19%). Серед 344 нових загроз, які постачальникам засобів безпеки вдалося виявити у 2022 році, також є 56 уразливостей, які безпосередньо пов’язані з програмами-вимагачами. Зловмисники використовують 180 вразливостей, які, як доведено, пов’язані з програмами-вимагачами. І тільки в останньому кварталі 2022 року вони активно використовували 21 з цих вразливостей.
Виявлено між 2010 і 2019 роками
Інша цифра ще серйозніша: більше трьох чвертей (76%) уразливостей, які використовувалися для виманювання даних у 2022 році, вже були виявлені між 2010 і 2019 роками. З уразливостей, нещодавно використаних програмами-вимагачами минулого року, 20 були виявлені між 2015 і 2019 роками. Таким чином, зловмисники активно шукають у глибокій і темній мережі старі вразливості, припускаючи, що вони не є пріоритетом для більшої кількості команд безпеки.
Ключові висновки
- Кіл-ланцюжки впливають на все більше ІТ-продуктів: Групи програм-вимагачів використовують ланцюжки знищення, щоб використовувати вразливості 81 продукту від постачальників, включаючи Microsoft, Oracle, F5, VMWare, Atlassian, Apache і SonicWall. Повний MITER ATT&CK, тобто вичерпний опис використаних тактик і технологій, уже доступний для 57 уразливостей, пов’язаних із програмами-вимагачами.
- Сканери мають сліпі зони: Такі популярні сканери, як Nessus, Nexpose та Qualys, не можуть виявити 20 уразливостей, пов’язаних із програмним забезпеченням-вимагачем.
- Більше атак програм-вимагачів від груп APT: CSW зафіксувала понад 50 груп Advanced Persistent Threat (APT), які використовують програмне забезпечення-вимагач для атак, що на 51% більше, ніж у 2020 році. Чотири групи APT (DEV-023, DEV-0504, DEV-0832 і DEV-0950) вперше були пов’язані з програмним забезпеченням-вимагачем у четвертий квартал 2022 року.
- У базі даних уразливостей є прогалини: Каталог KEV (Known Exploited Vulnerabilities) Агентства з кібербезпеки та безпеки інфраструктури США (CISA) містить 866 уразливостей, але 131 уразливість, пов’язана з програмами-вимагачами, ще не перераховані.
- Проблема з відкритим кодом програмного забезпечення: Повторне використання відкритого вихідного коду повторює вразливості. Уразливість Apache Log4j CVE-2021-45046 присутня в 93 продуктах від 16 постачальників, інша вразливість Apache Log4j (CVE-2021-45105) присутня в 128 продуктах від 11 постачальників. Обидва використовуються програмою-вимагачем AvosLocker.
- Уразливості програмного забезпечення існують у різних версіях: Понад 80 помилок CWE (Common Weakness Enumeration) створюють уразливості, якими користуються зловмисники. Це на 54% більше порівняно з 2021 роком. Цей результат підкреслює важливість того, щоб постачальники програмного забезпечення та розробники програм оцінювали програмний код перед випуском.
- Оцінки CVSS маскують ризики: 57 уразливостей, пов’язаних із програмами-вимагачами, мають лише низький і середній бал CVSS. Однак у компаніях вони можуть завдати величезної шкоди.
Розставляйте пріоритети та захищайте в довгостроковій перспективі
Зловмисники з програм-вимагачів стають швидшими та досконалішими. Завдяки автоматизованим платформам, які визначають уразливості та оцінюють їхній ризик, ІТ-команди можуть визначати пріоритетність найважливіших уразливостей на основі їх впливу на активи та критичності. «Звіт показує, що багато компаній не використовують те, що вони знають про загрози», — сказав Аарон Сандін, генеральний директор і співзасновник CSW і Securin. «Для безпеки організації важливо, щоб ІТ-команди та служби безпеки виправляли своє програмне забезпечення, як тільки виявляють уразливості».
Виправлення найбільш критичних уразливостей
«Програми-вимагачі є критичною проблемою для будь-якої організації, як приватного, так і державного сектору», — сказав Шрінівас Муккамала, директор із продуктів Ivanti. «Навантаження на компанії, органи влади та фізичних осіб стрімко зростає. Вкрай важливо, щоб усі компанії дійсно розуміли свою поверхню атаки та обладнали свою організацію багаторівневою безпекою. Лише таким чином вони зможуть стати стійкими до зростаючої кількості атак». «ІТ-команди та групи безпеки повинні постійно виправляти найбільш критичні вразливості, щоб значно зменшити площу атак своїх організацій і підвищити їхню стійкість проти зловмисників», — говорить Анудж Гоел, співзасновник і генеральний директор Cyware. «Наш звіт показує, де є потреба в діях, наприклад, щодо старих уразливостей із відкритим кодом».
Більше на Ivanti.com
Про Іванті Сильна сторона Unified IT. Ivanti поєднує ІТ-технології з операційною системою безпеки підприємства, щоб краще керувати та захищати цифрове робоче місце. Ми ідентифікуємо ІТ-активи на ПК, мобільних пристроях, у віртуалізованих інфраструктурах або в центрі обробки даних – незалежно від того, локальні вони чи хмарні. Ivanti покращує надання ІТ-послуг і знижує бізнес-ризики завдяки експертизі та автоматизованим процесам. Використовуючи сучасні технології на складі та в усьому ланцюжку постачання, Ivanti допомагає компаніям покращити свою здатність доставляти – без зміни серверних систем.