BEZPIECZEŃSTWOTegoroczne ataki są przede wszystkim wycelowane w służbę zdrowia – szpitale i...

Tegoroczne ataki są przede wszystkim wycelowane w służbę zdrowia – szpitale i placówki medyczne drugi kwartał z rzędu padały najczęstszymi ofiarami ataków.

Tegoroczne ataki są przede wszystkim wycelowane w służbę zdrowia – szpitale i placówki medyczne drugi kwartał z rzędu padały najczęstszymi ofiarami ataków.

Zespół ekspertów ds. cyberbezpieczeństwa Cisco Talos zaobserwował wzrost liczby ataków mających na celu kradzież danych, podczas których nie dochodziło jednak do szyfrowania plików ani instalacji oprogramowania typu ransomware. W przypadku tego typu ataków cyberprzestępcy po prostu kradną dane ofiary i grożą ich wyciekiem lub sprzedażą. Ataki te stanowiły 30 proc. wszystkich cyberincydentów, które zaobserwował zespół Cisco Talos w drugim kwartale tego roku.

Ransomware był drugim najczęściej obserwowanym zagrożeniem w minionym kwartale, odpowiadając za 17 procent ataków (wzrost z 10 proc.). W analizowanym okresie eksperci Cisco Talos zaobserwowali znane już wcześniej rodziny ransomware, takie jak LockBit i Royal. Kilka typów ransomware, w tym 8base i MoneyMessage, pojawiło się po raz pierwszy.

Skradzione dane uwierzytelniające lub przejęte profile użytkowników były najczęściej obserwowanymi sposobami uzyskiwania początkowego dostępu i występowały w blisko 40 proc. wszystkich ataków.

Służba zdrowia drugi raz z rzędu była najczęściej atakowanym sektorem, stanowiąc cel w 22 procentach ataków. Tuż za nią znalazły się usługi finansowe.

Cyfrowi szantażyści coraz zuchwalsi

Kradzieże danych były najczęściej obserwowanym zagrożeniem w drugim kwartale tego roku, stanowiąc 30 procent wszystkich zagrożeń, które wykrył zespól Cisco Talos. Pokrywa się to z publicznymi doniesieniami o rozkwicie grup przestępczych, kradnących dane i wymuszających okup, lecz niekorzystających przy tym z oprogramowania ransomware szyfrującego pliki.

Choć proceder ten nie jest oczywiście nowością, to jednak liczba incydentów w ostatnim kwartale sugeruje, że finansowo przestępcy coraz częściej postrzegają to jako realny sposób na otrzymanie ostatecznej wypłaty. Przeprowadzanie ataków ransomware prawdopodobnie staje się coraz trudniejsze ze względu na globalne wysiłki organów ścigania i rozwój świadomości niebezpieczeństw w branży, a także wdrażanie mechanizmów obronnych, takich jak zwiększone możliwości wykrywania behawioralnego oraz rozwiązania do wykrywania i reagowania na punktach końcowych (EDR).

W tym kwartale po raz pierwszy w badaniach Cisco Talos odnotowano aktywność grup wymuszających okup RansomHouse i Karakurt. Aktywny od 2021 roku Karakurt zazwyczaj uzyskuje dostęp do środowisk korporacyjncych z przejętych kont użytkowników, phishingu lub – podobnie jak RansomHouse – poprzez wykorzystywanie podatności.

Ransomware stanowił 17 procent całkowitej liczby incydentów odnotowanych przez Cisco Talos w okresie od kwietnia do czerwca, co stanowi niewielki wzrost w porównaniu z 10 procentami w poprzednim kwartale. Ataki ransomware autorstwa 8base i MoneyMessage zostały zaobserwowane po raz pierwszy, a ponadto wykryte zostały znane już wcześniej kampanie LockBit i Royal.

Wektory ataków

W większości incydentów, na które Cisco Talos odpowiedziało w minionym kwartale, atakujący uzyskali początkowy dostęp wykorzystując przejęte dane uwierzytelniające w celu uzyskania dostępu do prawidłowych kont. Wykorzystanie prawidłowych kont zaobserwowano w prawie 40 procentach wszystkich incydentów, co stanowi 22-procentowy wzrost w porównaniu z 1. kwartałem 2023 roku.

Trudno powiedzieć, w jaki sposób przeciwnicy uzyskali poświadczenia używane do uzyskiwania dostępu do prawidłowych kont. Istnieje wiele sposobów, w jakie dane uwierzytelniające mogą zostać skradzione, takich jak naruszenia danych stron trzecich, złośliwe oprogramowanie przechwytujące informacje, takie jak Redline, czy kampanie phishingowe. Jest to szczególnie możliwe, jeśli pracownicy ponownie używają poświadczeń na wielu kontach, co podkreśla znaczenie stosowania silnych zasad dotyczących haseł i włączania uwierzytelniania wieloskładnikowego na krytycznych serwerach.

Słabe punkty systemów bezpieczeństwa

Brak uwierzytelniania wieloskładnikowego lub niewłaściwe wdrożenie MFA w krytycznych usługach było przyczyną ponad 40 procent ataków, w których zespół Cisco Talos musiał zainterweniować w ubiegłym kwartale. Wielu z nich można było zapobiec, gdyby MFA było włączone w kluczowych usługach, takich jak VPN. W prawie 40 procentach przypadków atakujący byli w stanie wykorzystać naruszone dane uwierzytelniające, aby uzyskać dostęp do prawidłowych kont, z których 90 procent nie miało włączonego uwierzytelniania wieloskładnikowego.

W niektórych przypadkach przeciwnicy byli w stanie ominąć MFA za pomocą ataków wyczerpania/zmęczenia MFA. Ataki wyczerpania MFA mają miejsce, gdy atakujący próbuje wielokrotnie uwierzytelniać się na koncie użytkownika przy użyciu prawidłowych danych uwierzytelniających, aby przytłoczyć ofiary powiadomieniami push MFA, mając nadzieję, że w końcu je zaakceptują, umożliwiając atakującemu pomyślne uwierzytelnienie się na koncie. Identyfikacja i edukacja użytkowników są kluczowymi elementami przeciwdziałania technikom omijania MFA. Zespoły odpowiedzialne za cyberbezpieczeństwo firm muszą edukować pracowników z kim należy się kontaktować w takich sytuacjach, aby ustalić, czy zdarzenie było awarią, czy stanowiło część ataku.

Zespół Cisco Talos zaleca wyłączenie dostępu VPN dla wszystkich kont, które nie mają włączonego MFA. Dodatkowo, Cisco Talos zaleca rozszerzenie MFA dla wszystkich kont użytkowników (np. pracowników, wykonawców, partnerów biznesowych itp.). Zespół Cisco Talos ujawnił, że cyberprzestępcy atakują konta dostawców i podwykonawców (VCA – vendors and contractors), które zazwyczaj mają rozszerzone uprawnienia i dostęp. Konta VCA są często pomijane podczas audytów kont ze względu na zaufanie pokładane w stronie trzeciej, co czyni je łatwym celem dla atakujących. Zalecane jest usuwanie takich kont, gdy nie są one potrzebne i wdrażanie dostępu z najmniejszymi uprawnieniami oraz sprawdzanie czy rejestrowanie i monitorowanie bezpieczeństwa jest włączone dla kont VCA.

NAJNOWSZE ARTYKUŁY

- Reklama -Osteopatia Kraków

POLECAMY

lekarz medycyna technologia

Polski rynek ochrony zdrowia na fali wzrostu – EY prognozuje roczny wzrost o 11%...

0
Z analizy firmy EY wynika, że polski rynek świadczenia usług z zakresu opieki zdrowotnej będzie do 2028 roku rósł w tempie - 11 proc. rocznie. Rozwój stymuluje rosnące finansowanie publiczne i prywatne, które jest...