26 proc. spośród wszystkich działań podejmowanych w 2023 r. przez zespół reagowania na incydenty Cisco Talos Incident Response dotyczyło ataków z wykorzystaniem przejętych kont użytkowników. W dzisiejszych czasach cyberprzestępcy nie muszą już nikogo i niczego hakować – wystarczy, że zdobędą dane logowania.
Nielegalne pozyskanie danych logowania do kont użytkowników pozwala atakującym uzyskać dostęp do systemu, pozostawać tam w ukryciu i wykradać dane, jak również rozszerzać zakres posiadanych uprawnień i infiltrować kolejne obszary firmowej sieci. To druga najczęstsza metoda ataków spośród wszystkich technik cyberprzestępczych wymienionych w ogólnodostępnej bazie wiedzy MITRE ATT&CK, którą eksperci z zespołu Cisco Talos zaobserwowali w gromadzonych przez siebie danych telemetrycznych w 2023 r.
Biorąc pod uwagę tylko statystyki Cisco Talos z ostatniego kwartału ubiegłego roku, napastnicy równie często uzyskiwali nieuprawniony, inicjalny dostęp do zasobów poprzez zastosowanie przejętych loginów i haseł do legalnych kont, jak wykorzystywanie podatności w publicznie dostępnych aplikacjach sieciowych. Co trzecie wykryte narzędzie, jakim posługiwali się cyberprzestępcy, służyło do uzyskiwania dostępu i gromadzenia danych uwierzytelniających.
Zdaniem specjalistów z Cisco Talos popularność tego typu ataków ma trojakie podłoże:
- Większość firm uważa, że cyberataki będą pochodzić „z zewnątrz”.
Ataki możliwe dzięki przejęciu danych logowania przebiegają niejako „od wewnątrz”. Po uzyskaniu początkowego dostępu napastnik pozostaje niewidoczny w sieci i jeżeli nie próbuje przeniknąć do głębszych warstw infrastruktury, ma szansę uniknąć wykrycia – zwłaszcza jeżeli w danej organizacji nie ma segmentacji sieci. Wykorzystanie luki w zabezpieczeniach może zapewnić atakującemu dostęp, ale dalsze funkcjonowanie „poza zasięgiem radaru” umożliwiają autoryzowane dane uwierzytelniające.
- Skradzione dane uwierzytelniające są przedmiotem handlu w sieci dark web.
Niektórzy uczestnicy cyberprzestępczego podziemia wykradają dane uwierzytelniające tylko po to, aby sprzedać je oferentowi, który zaproponuje najwyższą cenę. Nabywcy mogą następnie wykorzystywać je do prowadzenia ukierunkowanych kampanii ransomware albo w celach szpiegowskich. Im szersze uprawnienia konta (na przykład pracowników działów finansów lub mających dostęp do urządzeń sieciowych), tym wyższa cena.
- Atakujący wykorzystują współczesne trendy.
Rośnie popularność rozwiązań chmurowych, z coraz większą liczbą usług i aplikacji łączymy się zdalnie, a dostęp do zasobów firmowych uzyskujemy również za pośrednictwem urządzeń prywatnych (tylko w obrębie Cisco odnotowuje się obecnie 1,5 mld żądań uwierzytelniania wieloskładnikowego miesięcznie za pośrednictwem usługi Cisco Duo). W tych warunkach uzyskanie dostępu do sieci poprzez włamanie siłowe jest z perspektywy atakującego nieoptymalne – łatwiej o udany atak tożsamościowy, poprzedzony kradzieżą danych logowania.
Raport Cisco Talos Incident Response Quarterly Trends podaje, że brak uwierzytelniania wieloskładnikowego lub jego niewłaściwa implementacja jest najważniejszą słabością systemów bezpieczeństwa. Według danych firmy Oort, którą Cisco przejęło w 2023 r., 40 proc. jej korporacyjnych klientów nie ma wdrożonego MFA lub używa niewydolnego systemu autoryzacji, na przykład wiadomości SMS.