Cyberbezpieczeństwo
Ransomware nie jest już głównym cyberzagrożeniem w sieci
W drugim kwartale br., po raz pierwszy od kilkunastu miesięcy, ataki oparte na oprogramowaniu ransomware nie były najpoważniejszym zagrożeniem dla bezpieczeństwa IT. Jak wynika z badania Cisco Talos Incident Response (CTIR) nieznacznie wyprzedziły go ataki wykorzystujące tzw. commodity malware. Oznacza to, że przeżywamy obecnie pewnego rodzaju renesans zagrożeń, m.in. takich jak trojany ukierunkowane na usługi poczty elektronicznej.
Spadek skali ataków ransomware wynika z faktu, że w ostatnich miesiącach kilka grup cyberprzestępców wyspecjalizowanych w tego typu atakach zakończyło działalność – czy to z własnej woli, czy też na skutek śledztw prowadzonych przez organy ścigania. Eksperci Cisco Talos zauważyli natomiast, że w drugim kwartale 2022 roku zauważono znaczny wzrost zagrożeń ze strony commodity malware, które stanowiły 20% wszystkich odnotowanych ataków. Co ciekawe, to szkodliwe oprogramowanie można łatwo zakupić lub nawet bezpłatnie pobrać. Zazwyczaj cyberprzestępcy, którzy je wykorzystują, stawiają na efekt skali, ponieważ nie jest ono dostosowane do potrzeb ataków na konkretne cele i używają go na różnych etapach swoich operacji m.in. do dostarczania dodatkowych zagrożeń, w tym wielu wariantów złośliwego oprogramowania.
Obserwowane jest także znaczące zwiększenie skali aktywności trojanów odpowiadających za ataki na pocztę elektroniczną. W okresie kwiecień – czerwiec br. stwierdzono działanie m.in. Remcos Remote Access Trojan (RAT), złodzieja informacji Vidar, Redline Stealer oraz Qakbot (Qbot) – dobrze znanego trojana bankowego, który w ostatnich tygodniach pojawił się w nowych skupiskach aktywności.
Co ważne, w analizowanym kwartale, najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą niezmiennie od ubiegłego roku interesują się cyberprzestępcy. Pod względem skali ukierunkowanych ataków, tuż za sektorem telekomunikacyjnym plasują się organizacje z sektora edukacji i opieki zdrowotnej.
Ransomware ciągle groźny
Pomimo spadku cyberzagrożeń typu ransomware na drugie miejsce w spośród wszystkich obserwowanych kategorii ataków, nadal stanowią one jedno z głównych zagrożeń obserwowanych przez specjalistów Cisco Talos. W drugim kwartale szczególnie widoczne były – znane już wcześniej – warianty oprogramowania ransomware dostępne jako usługa (Ransomware as a Service, RaaS), w tym BlackCat (znany również jako ALPHV) i Conti. Wykorzystywano je do ataku na duże organizacje, licząc na znaczne wypłaty okupu.
Eksperci Cisco ostrzegają także, że ostatnio pojawiła się nowa wersja ransomware LockBit. Zawiera one m.in. nowe opcje płatności okupu w kryptowalutach, dodatkowe taktyki wymuszeń oraz program „bug bounty”, zachęcający do zgłaszania nowych podatności, które następnie hakerzy mogą wykorzystać do ataku. Eksperci przypuszczają także, że w nadchodzących miesiącach zagrożenie będzie stanowić nowy wariant RaaS o nazwie Black Basta, który jest alternatywną odsłoną znanego dotychczas oprogramowania Conti.
Warto dodać, że jako skuteczną i znacznie zmniejszającą ryzyko powodzenia cyberataku metodę ochrony eksperci Cisco Talos wskazują uwierzytelnianie wieloskładnikowe.