Spada liczba firm wykrywających oprogramowanie ransomware we własnym środowisku IT

To jeden z głównych wniosków płynących z najnowszego raportu FortiGuard Labs dotyczącego globalnego krajobrazu zagrożeń. Ponadto, w I połowie 2023 roku eksperci zaobserwowali m.in. znaczną aktywność wśród grup dokonujących zaawansowanych ataków czy zmianę technik zdefiniowanych w MITRE ATT&CK stosowanych przez cyberprzestępców.

Z dokumentu Global Threat Landscape Report wynika, że liczba podmiotów wykrywających oprogramowanie ransomware spada – FortiGuard Labs udokumentował znaczny wzrost liczby wariantów ransomware w ostatnich latach, co w dużej mierze było skutkiem rosnącej popularności modelu Ransomware-as-a-Service (RaaS). Eksperci stwierdzili jednak, że mniej firm wykryło oprogramowanie ransomware w swoim środowisku IT w I połowie 2023 roku (13%), w porównaniu z tym samym okresem pięć lat temu (22%). Jednak pomimo spadku tej wartości, konieczne jest zachowanie czujności. Potwierdza to trend, który FortiGuard Labs zaobserwował w ciągu ostatnich kilku lat, że ransomware i inne ataki stają się coraz bardziej ukierunkowane dzięki rosnącemu wyrafinowaniu atakujących oraz chęci zwiększenia zwrotu z inwestycji (ROI) z każdego ataku. Badanie wykazało również, że liczba wykrytych ataków ransomware nadal jest zmienna – w I połowie tego roku była 13 razy większa niż pod koniec 2022 roku.

Eksperci FortiGuard Labs przeanalizowali również dane z sześciu lat, obejmujące ponad 11 tys. opublikowanych luk CVE (Common Vulnerabilities and Exposures) w zabezpieczeniach, które były wykorzystywane przez exploity. Odkryli, że prawdopodobieństwo wykorzystania w ciągu siedmiu dni luk CVE sklasyfikowanych z wysokim wynikiem EPSS (Exploit Prediction Scoring System) – stanowiące 1% luk o najwyższym poziomie dotkliwości – jest 327 razy większe niż w przypadku jakiejkolwiek innej luki.

To pierwsza tego typu analiza, która może przyczynić się do skuteczniejszego wykrywania zagrożeń, dając osobom na stanowisku CISO oraz zespołom ds. bezpieczeństwa informacje o wczesnych symptomach dotyczących ukierunkowanych ataków na ich przedsiębiorstwa. Podobnie jak czerwona strefa (Red Zone), zdefiniowana w ostatnim raporcie o zagrożeniach, analiza ta może pomóc zespołom ds. bezpieczeństwa w systematycznym ustalaniu priorytetów łatania w celu zminimalizowania ryzyka.

Wspomniana czerwona strefa pomaga określić ilościowo odsetek luk obecnych w urządzeniach końcowych, które są aktywnie wykorzystywane do ataków. W II połowie 2022 roku wynosiła ona 8,9%, co oznacza, że około 1500 podatności CVE (z ponad 16,5 tys. znanych) zostało zaatakowanych. W I połowie 2023 roku liczba ta nieznacznie spadła do 8,3%. Różnica jest minimalna, wydaje się więc, że prowadzenie ataków poprzez odkryte luki w urządzeniach końcowych jest najskuteczniejszą metodą działań cyberprzestępców.

Po raz pierwszy w historii publikacji dokumentu Global Threat Landscape Report, eksperci FortiGuard Labs prześledzili też liczbę cyberprzestępców, których działania wpływają na obserwowane trendy. Badania wykazały, że 41 (30%) ze 138 grup tworzących cyfrowe zagrożenia śledzonych przez MITRE było aktywnych w pierwszej połowie 2023 roku. Spośród nich najbardziej aktywne, biorąc pod uwagę ilość tworzonego złośliwego oprogramowania, były Turla, StrongPity, Winnti, OceanLotus i WildNeutron.

Porównanie okresu pięciu lat ujawnia eksplozję unikalnych exploitów, wariantów złośliwego oprogramowania oraz trwałości botnetów:

• Rośnie liczba unikalnych exploitów – W I połowie br. laboratoria FortiGuard Labs wykryły ponad 10 tys. unikalnych exploitów, co stanowi wzrost o 68% w porównaniu z okresem sprzed pięciu lat. Gwałtowny wzrost liczby wykrytych unikalnych exploitów obrazuje ogromną liczbę złośliwych ataków, których zespoły ds. bezpieczeństwa muszą być świadome, oraz to, jak ataki zostały zwielokrotnione i zdywersyfikowane w stosunkowo krótkim czasie. Raport pokazuje również spadek o ponad 75% prób zainstalowania exploitów w każdej z badanych firm w ciągu pięciu lat oraz spadek o 10% liczby poważnych exploitów, co sugeruje, że chociaż exploity nadal aktywnie są stosowane przez cyberprzestępców, ataki z ich wykorzystaniem są znacznie bardziej ukierunkowane niż pięć lat temu.
• Liczba rodzin i wariantów złośliwego oprogramowania eksplodowała, odpowiednio o 135% i 175% – Kolejnym zaskakującym odkryciem jest to, że liczba takich jego rodzin, które rozprzestrzeniają się na co najmniej 10% globalnych firm (taki współczynnik określany jest jako znacząca ilość) podwoiła się w ciągu ostatnich pięciu lat. Ten wzrost ilości i poziomu rozpowszechnienia złośliwego oprogramowania można przypisać większej liczbie cyberprzestępców i grup APT, które w ostatnich latach rozszerzyły swoją działalność i zdywersyfikowały swoje ataki.

Istotnym elementem ostatniego raportu Global Threat Landscape był wzrost liczby złośliwego oprogramowania typu wiper, w dużej mierze związany z konfliktem rosyjsko-ukraińskim. Wzrost ten utrzymywał się przez cały 2022 rok, ale spowolnił w I połowie br. FortiGuard Labs nadal obserwuje, że wipery są wykorzystywane przez cyberprzestępców działających na zlecenie państw, a popularność tego typu złośliwego oprogramowania wśród cyberprzestępców nadal rośnie, ponieważ ich celem są firmy z branży technologicznej, produkcyjnej, administracyjnej, telekomunikacyjnej i ochrony zdrowia.

• Botnety pozostają w środowiskach IT dłużej niż kiedykolwiek – W raporcie podkreślono większą liczbę aktywnych botnetów (+27%) i wyższy wskaźnik liczby incydentów wśród firm w ciągu ostatnich pięciu lat (+126%). Jednak jednym z bardziej szokujących ustaleń jest wykładniczy wzrost całkowitej liczby „aktywnych dni”, które FortiGuard Labs definiuje jako czas upływający między pierwszym odczytem obecności botnetu przez czujnik a ostatnim. W ciągu pierwszych sześciu miesięcy 2023 roku średni czas utrzymywania się botnetów przed ustaniem komunikacji z serwerami command and control (C2) wynosił 83 dni, co stanowi ponad 1000-krotny wzrost w porównaniu z okresem sprzed pięciu lat. Jest to kolejny przykład, w którym skrócenie czasu reakcji ma kluczowe znaczenie, ponieważ im dłużej botnety mogą działać w firmach, tym większe szkody i ryzyko dla ich działalności.