Obraz cyberzagrożeń w pierwszym kwartale 2022 r.
-
- Computerworld,
- 05.05.2022, godz. 14:59
Specjaliści ds. cyberbezpieczeństwa z zespołu Cisco Talos Incident Response (CTIR) wskazali najważniejsze aktualne trendy, metody ataków i zaangażowane strony. Za wieloma masywnymi atakami stoją rządy
TheDigitalWay/ Pixabay
Ransomware dalej pozostaje najczęściej występującym zagrożeniem w cyberprzestrzeni. W pierwszym kwartale 2022 atakowane były głównie organizacje z branży telekomunikacyjnej, placówki edukacyjne i sektor rządowy. Wiele naruszeń bezpieczeństwa było precyzyjnie wymierzonych i miało na celu pozyskanie konkretnych informacji dotyczących określonych hostów, maszyn uczestniczących w wymianie danych, które miały stać się obiektem ataków.
Początkowym etapem ataków był zwykle phishing mający na celu instalację, po kliknięciu w zainfekowany link lub pobraniu dokumentu, złośliwego oprogramowania, które odpowiadało za przygotowanie do dalszej serii naruszeń. W porównaniu z końcem 2021 roku specjaliści Cisco zaobserwowali również więcej zagrożeń wykorzystujących socjotechnikę oraz prób podszycia się pod zaufane programy i aplikacje.
Zobacz również:
- Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
- Stan cyberbezpieczeństwa w Polsce w 2023 roku
Rozbudowane cyberataki sponsorowane przez rządy
W pierwszym kwartale 2022 roku odnotowano wzrost ataków typu advanced persistent threat (ATP). To złożone, wielostopniowe i prowadzone przez długi czas działania wymierzone w konkretną organizację. Wymagają dużych inwestycji, dlatego stroną atakującą lub sponsorem często są agencje rządowe. Ostatnio stwierdzono aktywność MuddyWater APT finansowanej przez Iran, Mustang Panda powiązanej z Chinami wykorzystującej dyski USB do infekowania trojanem zdalnego dostępu PlugX (RAT) oraz „Deep Panda” stosującej lukę Log4j. Ta podatność była wykorzystywana do obejścia zabezpieczeń instalując dedykowany backdoor. Następnie program PowerShell służący do automatyzacji zadań z obszaru IT, w tym testowania i wdrażania rozwiązań, wydawał polecenie pobrania trzech dodatkowych plików z serwera powiązanego z cyberprzestępcami, które siały spustoszenie w zasobach organizacji.
Demokratyzacja ransomware
Na początku tego roku zaobserwowano ataki z wykorzystaniem nowych rodzin ransomware: Cerber (zwanym CerberImposter), Entropy oraz Cuba. Ponadto eksperci z Cisco Talos Incident Response zwrócili uwagę na zróżnicowanie ataków polegających na zablokowaniu dostępu do systemu lub zaszyfrowaniu danych pod żądaniem okupu. Żadna rodzina ransomware nie została zaobserwowana dwukrotnie w incydentach, które zakończyły się w pierwszym kwartale. Taka dywersyfikacja to zdaniem specjalistów ds. bezpieczeństwa Cisco efekt demokratyzacji ransomware, trendu polegającego na darmowym udostępnianiu narzędzi do przeprowadzania cyberataków. Gdy te okazują się skuteczne twórcy złośliwego oprogramowania partycypują w ewentualnych zyskach z okupu.
Rekomendacje Cisco Talos Incident Response (CTIR)
Zdaniem specjalistów z zespołu Cisco Talos najlepszą metodą zabezpieczenia przed cyberatakami jest wdrożenie uwierzytelniania wieloskładnikowego we wszystkich krytycznych usługach. MFA (ang. Multi-factor authentication) pozwala zapobiec uzyskaniu dostępu do zasobów organizacji przez osoby niepożądane. Jak podkreślają eksperci Cisco, wielu ataków można uniknąć stosując tę metodę. Przykładowo w minionym kwartale zaobserwowano atak na firmę telekomunikacyjną przeprowadzony za nieświadomym pośrednictwem organizacji partnerskiej odpowiadającej za wsparcie i call center. Cyberprzestępcy uzyskali dostęp do urządzenia Citrix, które nie było zabezpieczone przez MFA.
Źródło: CISCO
