BEZPIECZEŃSTWOAtaki typu web shell po raz pierwszy w historii najpopularniejszym zagrożeniem w...

Ataki typu web shell po raz pierwszy w historii najpopularniejszym zagrożeniem w cyberprzestrzeni wg ekspertów Cisco Talos

Ataki typu web shell po raz pierwszy w historii najpopularniejszym zagrożeniem w cyberprzestrzeni wg ekspertów Cisco Talos

Najważniejsze informacje:

  • Znaczący wzrost liczby ataków typu web shell w pierwszym kwartale 2023 roku podkreśla potrzebę wieloczynnikowego uwierzytelniania kont użytkowników;
  • Odsetek udanych ataków ransomware zmniejszył się o połowę, ale aktywności poprzedzające tę formę wyłudzeń pozostały na stałym, wysokim poziomie;
  • Loadery coraz częściej są przemycane pod postacią złośliwych dokumentów OneNote;
  • W analizowanym okresie, głównym celem atakujących był sektor opieki zdrowotnej.

Liczba ataków typu malware za pośrednictwem powłok internetowych (web shell) zdecydowanie wzrosła w pierwszych trzech miesiącach 2023 roku. Według analiz Cisco Talos, była to najpopularniejsza forma ataku i stanowiła aż jedną czwartą wszystkich incydentów badanych w tym okresie. Równocześnie odsetek wykrytych ataków typu ransomware spadł z 20% do 10%. Nie można jednak mówić o spadku popularności tej formy ataków – jedna piąta wszystkich zaobserwowanych działań cyberprzestępców została skatalogowana jako przygotowania do tej formy cyfrowych przestępstw.

Cisco Talos, jedna z największych na świecie komercyjnych organizacji zajmujących się badaniem cyberzagrożeń, opublikował swoją cykliczną analizę zagrożeń za pierwszy kwartał 2023 roku. Według badania, publicznie dostępne aplikacje internetowe były w tym okresie głównym celem atakujących. Prawie połowa wszystkich ataków (45%) wykorzystywała takie aplikacje jako początkowy wektor do uzyskania dostępu do systemów. W porównaniu z poprzednim kwartałem stanowi to wzrost o 15%.

Wiele z tych ataków wykorzystywało powłoki internetowe (web shell), które kompromitowały serwery dostępne przez Internet. Taka forma cyberprzestępstwa polega na zamaskowaniu złośliwego skryptu pod przykrywką normalnego pliku i otwierając backdoor do serwera WWW, który następnie używany jest przez cały okres infiltracji.

Według analityków Talosa, napastnicy korzystali z faktu, że wiele kont użytkowników aplikacji internetowych było chronionych jedynie słabymi hasłami lub uwierzytelnianiem jednoczynnikowym.

Wzmocniona obrona przed ransomware udaremniła większe ataki – np. Vice Society

Zagrożenie ze strony oprogramowania ransomware pozostaje wysokie. Mimo że Cisco Talos zaobserwowało w I kwartale ogólny spadek udanych przypadków wyłudzeń, aktywność ransomware pozostaje ogólnie wysoka. Tak zwane działania pre-ransomware stanowiły około jednej piątej wszystkich ataków, więc w najbliższych miesiącach można spodziewać się ponownego wzrostu przestępstw zakończonych powodzeniem. Cisco Talos było w stanie przypisać wiele działań przygotowawczych do ataku najpopularniejszym grupom ransomware, takim jak Vice Society. Zdaniem badaczy szybka interwencja zespołów ds. bezpieczeństwa firm będących ofiarami pomogła powstrzymać ataki, zanim doszło do szyfrowania.

W pierwszym kwartale 2023 roku głównym celem przestępców był sektor opieki zdrowotnej, a tuż za nim handel detaliczny, nieruchomości i branża hotelarska.

Dokumenty OneNote jako narzędzie atakujących

Inny popularny rodzaj złośliwego oprogramowania, tzw. commodity malware, był już na fali wzrostowej w zeszłym roku. Jest on wykorzystywany przez cyberprzestępców na różnych etapach ich działalności. W pierwszym kwartale 2023 roku po raz kolejny pojawiły się commodity loadery, takie jak Qakbot, które były widoczne już wcześniej. Qakbot często wykorzystywał złośliwe dokumenty OneNote, jednak wątek złośliwych załączników OneNote zaobserwowano również w innych formach ataków. Według analiz zespołu Cisco Talos, cyberprzestępcy nadal eksperymentują z typami plików, które nie opierają się na makrach. Microsoft zaczął wyłączać makra domyślnie w swoich aplikacjach w lipcu 2022 roku. Problem dotyczy również innych aplikacji, które przenoszą i zarządzają innymi plikami.

Inne wnioski analityków Cisco Talos z pierwszego kwartału 2023 roku:

  • Trzydzieści procent zaobserwowanych ofiar albo nie miało włączonego uwierzytelniania wieloskładnikowego (MFA), albo miało je włączone tylko dla kilku kont i usług krytycznych;
  • Ostatnie sukcesy organów ścigania w rozbijaniu dużych gangów ransomware (np. Hive) przynoszą efekty. Stwarza to jednak miejsce dla nowych grup cyberprzestępczych. Na przykład, w minionym kwartale wzmocnił swoje działania gang oferujący Ransomware-as-a-Service (RaaS) – Daixin Ransomware;
  • Zestaw narzędzi open-source do zbierania danych uwierzytelniających Mimikatz został wykorzystany w prawie 60 procentach ataków ransomware i pre-ransomware w tym kwartale. Mimikatz służy do kradzieży identyfikatorów logowania, haseł i tokenów uwierzytelniania ze skompromitowanych systemów Windows.

NAJNOWSZE ARTYKUŁY

- Reklama -Osteopatia Kraków

POLECAMY

Chiny: od „cudownego wzrostu” do nowej rzeczywistości

0
Chiny potrzebują nowych źródeł wzrostu – sektor nieruchomości: od bohatera do zera, spowolnienie inwestycji zagranicznych (w grę wchodzą zarówno krótkoterminowe czynniki taktyczne, jak i długoterminowe czynniki strukturalne) Popyt zagraniczny: rola Chin jako krytycznego...