Oprogramowanie ransomware stanowiło główne zagrożenie w analizowanym kwartale, jednak zaobserwowana została również zbliżona liczba ataków pre-ransomware. Chociaż każdy incydent wiąże się z unikalnymi metodami TTP (taktyki, techniki, procedury), podobieństwa obejmują enumerację hosta, wielokrotne próby pozyskiwania danych uwierzytelniających oraz przejęcie uprawnień za pomocą zidentyfikowanego słabego punktu lub luki w celu przeniesienia się na inne systemy. W przypadkach, w których oprogramowanie ransomware nigdy nie zostało wdrożone, przestępca w momencie wykrycia prawdopodobnie próbował doprowadzić do wycieku danych, co wskazuje, że miał wystarczająco szeroki dostęp, aby wyrządzić znaczące szkody.

W minionym kwartale sektor edukacji był najczęstszą ofiarą ataków, a tuż za nim znalazły się odpowiednio usługi finansowe, systemy rządowe oraz energetyka. Po raz pierwszy od Q4 2021 r., to nie telekomunikacja była najczęściej atakowana. Powód, dla którego sektor edukacyjny był najpopularniejszym celem ataków nie jest znany, należy jednak zauważyć sezonowość tego zjawiska - jest to okres, w którym uczniowie i nauczyciele wracają do szkół.

Zobacz również:

• Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
• Cisco Talos ostrzega przez możliwymi atakami na jej sprzęt sieciowy

W Q3 2022 odnotowano przypadki, w których złodzieje wykorzystali ważne konta do uzyskania początkowego dostępu, zwłaszcza w scenariuszach, gdy konta były źle skonfigurowane, niewłaściwie wyłączone lub miały słabe hasła. W co najmniej dwóch przypadkach w tym kwartale, Talos zbadał możliwość początkowego dostępu przeciwnika poprzez przechwyconą sieć kontrahenta lub jego komputer osobisty.

W prawie 15 % przypadków w tym kwartale, przestępcy zidentyfikowali i/lub wykorzystali źle skonfigurowane aplikacje publiczne. Kolejnym popularnym sposobem była poczta elektroniczna i aktywowanie przez użytkownika złośliwego dokumentu lub linku. W jednym z przypadków ataku na biznesową pocztę elektroniczną (BEC), został wykorzystany thread-hijacking oraz złośliwy link w wiadomości e-mail, który wyglądał jak fałszywa strona uwierzytelniająca.

Brak uwierzytelniania wieloetapowego pozostaje jedną z największych przeszkód dla bezpieczeństwa firm. Prawie 18% spraw analizowanych przez Cisco Talos nie miało MFA lub miało je włączone tylko na kilku kontach i krytycznych usługach. Talos IR często obserwuje incydenty związane z ransomware i phishingiem, którym można było zapobiec, gdyby MFA było prawidłowo włączone w krytycznych usługach, takich jak rozwiązania do wykrywania i reagowania na punkty końcowe (EDR).