16. edycja dorocznego raportu „M-Trends” firmy Mandiant przynosi szereg informacji o nowych trendach i zjawiskach w cyberbezpieczeństwie. Dowiadujemy się m.in., że cyberprzestępcy potrzebują mniej czasu na eksplorację środowiska ofiary po włamaniu a chmury stały się ich zwierzyną łowną.
Mandiant to globalny dostawca usług doradczych w obszarze cyberbezpieczeństwa oraz wykrywania i reagowania na incydenty. W 2022 roku. firma została kupiona przez Google.
Którędy przychodzi zło?
Jak się okazuje, najczęściej wykorzystywanymi wektorami ataku w 2024 roku były: eksploity (33%), skradzione dane uwierzytelniające (16%), phishing emailowy (14%), naruszenie bezpieczeństwa w sieci (9%), wcześniejsze (zaprzeszłe) złamanie zabezpieczeń (8%).
Eksploity były w badaniach Mandiant najpowszechniejszym początkowym źródłem ataku po raz piąty z rzędu. Mimo to od 2023 roku, kiedy to 38% włamań było związanych z wykorzystaniem eksploitów widoczny jest powrót do poziomu z roku 2022. Subtelne zmiany rozkładu wektorów ataku mogą świadczyć o stopniowym udrożnieniu wielu dróg włamania. Z kolei powszechne wykorzystywanie otwartych wcześniej ścieżek włamywaczy według Mandiant dowodzi prężnego działania rynku wtórnego wśród cyberprzestępców.
Skradzione dane uwierzytelniające wyprzedziły phishing e-mailowy jako drugi najczęściej obserwowany wektor infekcji, choć w 2023 roku skradzione dane uwierzytelniające dały początek tylko w 10% włamań. Phishing e-mailowy pozostaje nadal powszechną i skuteczną metodą uzyskania początkowego dostępu, ale cyberprzestępcy mogą uzyskać dane uwierzytelniające na różne sposoby, na przykład kupując je na podziemnych forach, eksplorując duże wycieki danych albo skanując i infekując masowo użytkowników keyloggerami i infoostealerami. Oczywiście współwystępowanie phishingu i kradzieży danych podkreśla niezmiennie istotne znaczenie uwierzytelniania wieloskładnikowego (MFA).
Wektor sieciowy zyskał z 5% do 9%. Atakujący wykorzystywali złośliwe reklamy, zatruwanie wyszukiwarek (SEO) i zainfekowane strony internetowe. Zagrożeniom internetowym można zapobiegać poprzez blokowanie skryptów w punktach końcowych, filtrowanie treści pod kątem złośliwych przekierowań i oprogramowania, zasady dotyczące przechowywania danych uwierzytelniających przeglądarki oraz konsekwentne łatanie wszystkich systemów, powiedział Mandiant.
W 2024 roku najczęściej wykorzystywanymi podatnościami były:
- CVE-2024-3400, umożliwiająca wstrzykiwanie poleceń w funkcji GlobalProtect systemu Palo Alto Networks PAN-OS;
- CVE-2023-46805 i CVE-2024-21887, pozwalające na obejście uwierzytelniania i wstrzyknięcie polecenia w Ivanti Connect Secure VPN;
- CVE-2023-48788, czyli luka SQL injection w serwerze FortiClient Endpoint Management Server.
Cyberprzestępca pilnie donosi
Najczęściej atakowane są firmy sektora finansowego – w statystyce incydentów na które reaguje Mandiant dotyczyła ich nieomal jedna piąta. Podobny rozkład incydentów – między 9 a 11% dotyczy sektora usług profesjonalnych, high-tech, administracji i zdrowia.
Większość zhakowanych podmiotów dowiedziała się o włamaniu ze źródła zewnętrznego (57%). Obejmują one zarówno powiadomienia od cyberprzestępców jak i innych firm/podmiotów. Informacji od cyberprzestępców towarzyszy z reguły nota z żądaniem okupu. W 14% przypadków firmy w ten sposób właśnie dowiedziały się, że padły ofiarą włamania. Powiadomienia od podmiotów zewnętrznych, takich jak organy ścigania lub firmy zajmujące się cyberbezpieczeństwem, to 43% wszystkich źródeł wykrywania. Własnymi siłami firmy w 2024 roku były w stanie wykryć 43% przypadków włamania. To liczby zbliżone do sytuacji z roku 2023.
Równie ciekawe są dane na temat czasu, ile mija od chwili włamania do jego ujawnienia. Mandiant podaje w tym wypadku medianę czasu niejawnego przebywania włamywacza w środowisku ofiary. Ogólna wartość pozostaje zbliżona do danych z 2023 roku. Obecnie wynosi ona ogółem 11 dni. Co ciekawe, najszybciej do ujawnienia dochodzi, kiedy powiadamia o nim sam włamywacz (mediana to 5 dni). Na ujawnienie przy pomocy własnych narzędzi i środków przeciętny podmiot czeka 10 dni, natomiast na informację od innych podmiotów poczeka aż 26 dni (w obu wypadkach to wartość mediany w zbiorze).
Warto jednak na te dane spojrzeć w dłuższej perspektywie czasowej i odnotować, jak istotnie spadła mediana na przestrzeni 14, 10 czy nawet 5 lat. Ogólna mediana czasu przebywania włamywacza w środowisku ofiary wynosiła wówczas odpowiednio 416, 146 i 56 dni.
Skracanie się czasu od włamania do ujawnienia wygląda optymistycznie, jednak szczególnie w przypadku, gdy informację przekaże włamywacz, widać, że dzięki technikom i narzędziom potrzebuje on już mniej czasu na skuteczną ukryte mapowanie i eksploatację zasobów ofiary, szybciej dążąc do monetyzowania swoich działań.
Skracanie czasu eksploracji przez włamywaczy potwierdza mapa rozkładu opracowana dodatkowo przez Mandiant. W latach 2023 i 2024, odsetek dochodzeń, które zostały wykryte w ciągu jednego tygodnia lub krócej, wzrósł z 43,3% do 45,1%.
Motywacje finansowe, szpiegowskie lub nieznane
W ubiegłym roku wśród włamania motywowane finansowo, w których bezpośrednio zaobserwowano bezpośrednio zaobserwowano technikę monetyzacji, stanowiły 35% wszystkich reakcji Mandiant. Włamania prowadzące do zaszyfrowania danych w celu uzyskania okupu stanowiły 21% wszystkich włamań w 2024 roku i około dwie trzecie włamań motywowanych finansowo. Te proporcje są również porównywalne z rokiem 2023, kiedy to ransomware było zaangażowane w 23% wszystkich przypadków i około dwie trzecie włamań motywowanych finansowo.
Tam, gdzie udaje się jasno zidentyfikować motywacje atakujących, najczęstsze są powody finansowe (55%). Ale w przypadku ponad jednej trzeciej włamań (35%) motywacji nie udaje się ustalić. Około 8% włamań to incydenty związane ze szpiegostwem.
Pracownicy na podwójny etacie, chmura na celowniku
Wśród trendów, na które uwagę zwraca raport M-Trends 2025 znalazła się m.in. kwestia infiltracji globalnego rynku pracowników IT przez służby Korei Północnej, wdrażające jako zdalnych wykonawców IT swoich obywateli „na etacie”, kreując im fałszywe tożsamości. Zaobserwowano także, iż cyberprzestępcy atakują oparte na chmurze magazyny scentralizowanych uprawnień, aby uzyskać szeroki dostęp. Na celowniku ich znajdują się także kryptowaluty i łańcuchy bloków, służące do prania pieniędzy i finansowania nielegalnej działalności.
Autorzy raportu przyjrzeli się także włamaniom do środowisk chmurowych. Cyberprzestępcy uzyskują dostęp do środowiska chmury na różne sposoby. Najczęściej obserwowane początkowe wektory infekcji obejmowały phishing e-mailowy (39%), skradzione dane uwierzytelniające (35%), wymianę kart SIM (6%) oraz phishing głosowy lub vishing (6%).
Raport Mandiant odnotował także wykorzystanie wcześniejszej włamań, exploitów, kompromitacji stron trzecich, ataków siłowych. Raport odnotowuje między innymi zjawisko „złośliwych insiderów” – w szczególności północnokoreańskich pracowników IT, których ten komunistyczny reżim wprowadza na globalny rynek pracy. Po zdobyciu pracy gromadzą informacje dostępowe, w tym dotyczące dostępu do systemów w chmurze.
Recepta na 2025 rok
Raport M-Trends zaleca firmom w 2025 roku m.in.:
- wdrożyć warstwowe podejście do bezpieczeństwa, z solidnymi podstawami, jak zarządzanie podatnościami, najmniejsze uprawnienia i hartowanie;
- egzekwować uwierzytelnianie wieloskładnikowe zgodne z FIDO2 na wszystkich kontach użytkowników;
- inwestować w zaawansowane technologie wykrywania i opracowanie planów reagowania na incydenty;
- rozważyć ćwiczenia wykrywania zagrożeń;
- wdrożyć silne mechanizmy kontroli bezpieczeństwa dla migracji i wdrożeń w chmurze;
- regularnie oceniać i audytować środowiska chmurowe pod kątem luk w zabezpieczeniach i błędnych konfiguracji.
