Tu nie ma niespodzianki - ataki typu ransomware nadal mają się świetnie i zagrażały przedsiębiorcom, a LockBit utrzymał pierwsze miejsce na liście już drugi rok z rzędu. Najczęściej atakowanym sektorem była opieka zdrowotna, ponieważ atakujący nadal koncentrowali się na tych podmiotach, które mają kluczowe znaczenie w kwestii bezpieczeństwa cyfrowego i jednocześnie niską tolerancję na przestoje w funkcjonowaniu.

Atakujący, tacy jak np. grupa Clop, wdrażali tzw. exploity zero-day, czyli programy wykorzystujące błędy w oprogramowaniu pojawiające się na rynku zanim producenci zdołają wypuścić oficjalne poprawki do systemów, co dotychczas było schematem działania kojarzonym głównie z atakami typu APT. W tym samym czasie wyciek kodu źródłowego ransomware pozwalał na „wejście do gry” mniej wykwalifikowanym cyberprzestępcom. Dodatkowo, analitycy Cisco zaobserwowali jeszcze jeden trend, który skomplikował krajobraz zagrożeń, mianowicie to, że atakujący wykorzystujący ransomware wymuszając okup skupiali się od razu na ujawnieniu wrażliwych danych, zamiast na ich wcześniejszym szyfrowaniu jak miało to często miejsce wcześniej.

Zobacz również:

• Cyberobrona? Mamy w planach
• „Greatness” – nowe pishing aaS
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Commodity loaders, czyli programy służące do ładowania złośliwego kodu, są nadal używane w przypadku ransomware, wykorzystując typy oprogramowania zbliżone do tych z 2022 roku, m.in. Qakbot czy IcedID, czyli najpopularniejsze trojany skierowane w branżę finansową. Znalazło to potwierdzenie w badaniach Cisco, które wykazały, że gros ataków dotyczyło właśnie sektora usług finansowych i transportu, a więc obszarów chętnie atakowanych przez osoby wykorzystujące ten typ ataków. Co ciekawe, mechanizmy te zaczynają być pozycjonowane jako „wysublimowane mechanizmy dostarczania złośliwych ładunków” bez konotacji z konkretną branżą czy sektorem gospodarki. Obsługujący je cyberprzestępcy szkolą się natomiast w nowych sposobach na ominięcie czujności potencjalnych ofiar i chociaż mijający rok przyniósł udaną próbę wyeliminowania dużego botnetu Qakbot, eksperci Cisco przekonują, że nie oznacza to, iż zagrożenie zniknęło całkowicie.

Jednym z nowszych trendów ponadregionalnych, który zaobserwowali eksperci Cisco Talos, jest wzrost liczby ataków z wykorzystaniem APT i ransomware na urządzenia sieciowe. Obie grupy ataków polegają na wykorzystaniu ujawnionych niedawno luk w zabezpieczeniach lub słabych danych uwierzytelniających, co było jedną z głównych słabości w analizowanych przypadkach. Powody ataków były przeważnie takie same: urządzenia sieciowe mają dla organizacji ogromną wartość, a jednocześnie wiele słabych punktów.

Niestabilność geopolityczna przejawia się w zwiększonej aktywności APT. Dla przykładu, zmiany relacji Zachodu z krajami Azji i Pacyfiku przynosiły ośmielenie działań grup chińskich wyrażane większymi zniszczeniami w wyniku cyberataków. Miało to także odbicie w atakach na sektor telekomunikacji, którego infrastruktura jest często elementem infrastruktury krytycznej w strategicznie ważnych rejonach, np. takich jak Guam czy Tajwan.

Natomiast w przypadku rosyjskich ataków APT, grupy Gamaredon czy Turla ze zdwojoną siłą atakowały Ukrainę, jednak ogólna aktywność rosyjskich ataków w 2023 roku nie oddawała pełni możliwości cyberzagrożeń tego źródła widocznych w przeszłości, prawdopodobnie z powodu wzmożonego zbiorowego wysiłku na rzecz cyberobrony atakowanych podmiotów.