Cisco Talos opublikowało swoją cykliczną analizę zagrożeń za pierwszy kwartał 2023 roku. Według analiz, liczba ataków typu malware za pośrednictwem powłok internetowych (web shell) zdecydowanie wzrosła w pierwszych trzech miesiącach 2023 roku. Była to więc najpopularniejsza forma ataku, stanowiąc aż 25% wszystkich incydentów badanych w tym okresie. Równocześnie odsetek wykrytych ataków typu ransomware spadł z 20% do 10%. Nie można jednak mówić o spadku popularności tej formy ataków – jedna piąta wszystkich zaobserwowanych działań cyberprzestępców została skatalogowana jako przygotowania do tej formy cyfrowych przestępstw.

Z badania wynika że także, publicznie dostępne aplikacje internetowe były w tym okresie głównym celem atakujących. Prawie połowa wszystkich ataków (45%) wykorzystywała takie aplikacje jako początkowy wektor do uzyskania dostępu do systemów. To wzrost o 15% w ciągu kwartału.

Zobacz również:

• Krajobraz zagrożeń mijającego roku – podsumowanie Cisco
• Co trzecia firma w Polsce z cyberincydentem

Wiele z tych ataków wykorzystywało powłoki internetowe (web shell), które kompromitowały serwery dostępne przez Internet. Taki atak polega na zamaskowaniu złośliwego skryptu pod przykrywką normalnego pliku i otwierając backdoor do serwera WWW, który następnie używany jest przez cały okres infiltracji. Według analityków, napastnicy korzystali z faktu, że wiele kont użytkowników aplikacji internetowych było chronionych jedynie słabymi hasłami lub uwierzytelnianiem jednoczynnikowym.

Zagrożenie ze strony oprogramowania ransomware pozostaje wysokie. Mimo że Cisco Talos zaobserwowało w I kwartale ogólny spadek udanych przypadków wyłudzeń, aktywność ransomware pozostaje ogólnie wysoka. Tak zwane działania pre-ransomware stanowiły około jednej piątej wszystkich ataków, więc w najbliższych miesiącach można spodziewać się ponownego wzrostu przestępstw zakończonych powodzeniem. Cisco Talos zidentyfikowało grupy ransomware (np. Vice Society) stojące za wieloma przygotowaniami do ataku. firm będących ofiarami pomogła powstrzymać ataki, zanim doszło do szyfrowania.

W pierwszym kwartale 2023 roku głównym celem przestępców był sektor opieki zdrowotnej, a tuż za nim handel detaliczny, nieruchomości i branża hotelarska.

Cyberataki z użyciem dokumentów OneNote

Inny popularny rodzaj złośliwego oprogramowania, tzw. commodity malware, zyskiwał na popularności w zeszłym roku. Jest on wykorzystywany przez cyberprzestępców na różnych etapach ich działalności. W pierwszym kwartale 2023 roku po raz kolejny pojawiły się commodity loadery, takie jak Qakbot, które były widoczne już wcześniej. Qakbot często wykorzystywał złośliwe dokumenty OneNote, jednak wątek złośliwych załączników OneNote zaobserwowano również w innych formach ataków. Według analiz zespołu Cisco Talos, cyberprzestępcy nadal eksperymentują z typami plików, które nie opierają się na makrach. Microsoft zaczął wyłączać makra domyślnie w swoich aplikacjach w lipcu 2022 roku. Problem dotyczy również innych aplikacji, które przenoszą i zarządzają innymi plikami.

Inne wnioski analityków Cisco Talos z pierwszego kwartału 2023 roku:

• Trzydzieści procent zaobserwowanych ofiar albo nie miało włączonego uwierzytelniania wieloskładnikowego (MFA), albo miało je włączone tylko dla kilku kont i usług krytycznych;

• Ostatnie sukcesy organów ścigania w rozbijaniu dużych gangów ransomware (np. Hive) przynoszą efekty. Stwarza to jednak miejsce dla nowych grup cyberprzestępczych. Na przykład, w minionym kwartale wzmocnił swoje działania gang oferujący Ransomware-as-a-Service (RaaS) - Daixin Ransomware;

• Zestaw narzędzi open-source do zbierania danych uwierzytelniających Mimikatz został wykorzystany w prawie 60 procentach ataków ransomware i pre-ransomware w tym kwartale. Mimikatz służy do kradzieży identyfikatorów logowania, haseł i tokenów uwierzytelniania ze skompromitowanych systemów Windows.

Źródło: Blog Cisco Talos