W IV kwartale 2024 roku cyberprzestępcy coraz częściej wykorzystywali web shell do atakowania podatnych aplikacji internetowych, zmieniając swoje podejście do uzyskiwania początkowego dostępu. Zamiast przejmować legalne konta użytkowników – co było dominującą metodą we wcześniejszych miesiącach – zaczęli w większym stopniu wykorzystywać luki bezpieczeństwa i niezałatane, publicznie dostępne aplikacje.
Z raportu Cisco Talos wynika również, że choć w IV kwartale 2024 roku aktywność ransomware nieco spadła, to w okresie okołoświątecznym zagrożenie to ponownie się nasiliło, głównie za sprawą grupy BlackBasta. Sugeruje to, że ransomware nadal stanowi istotne ryzyko i może powrócić ze zdwojoną siłą w 2025 roku – dlatego organizacje nie mogą pozwolić sobie na utratę czujności.
Trendy w cyberatakach
W przypadku 35% incydentów w IV kwartale cyberprzestępcy wykorzystali open-source’owe i publicznie dostępne interfejsy web shell do atakowania niezaktualizowanych aplikacji internetowych. Stanowiło to znaczny wzrost w porównaniu do niecałych 10% w poprzednim kwartale. Hakerzy stosowali zarówno nowe narzędzia, jak i sprawdzone techniki, co podkreśla znaczenie skutecznego monitorowania aplikacji i wdrażania polityk zarządzania uprawnieniami.
Ataki ransomware, pre-ransomware oraz powiązane techniki szantażu z wykorzystaniem skradzionych danych odpowiadały za blisko 30% analizowanych przypadków, co oznacza niewielki spadek w porównaniu do 40% z poprzedniego kwartału. Pojawiły się również nowe zagrożenia, takie jak Interlock ransomware, przy jednoczesnej aktywności grup BlackBasta i RansomHub.
Analiza przeprowadzona przez Cisco Talos wykazała, że średni czas obecności atakujących w sieci przed uruchomieniem szyfratora wynosił od 17 do 44 dni. W jednym z przypadków związanych z grupą RansomHub hakerzy mieli dostęp do systemu przez ponad miesiąc, zanim uruchomili ransomware, przeprowadzając skanowanie sieci i kradnąc dane uwierzytelniające.
Kluczowe wnioski z ostatniego kwartału
- Wzrost liczby incydentów związanych z przejęciem kont
Brak skutecznych mechanizmów uwierzytelniania wieloskładnikowego (MFA) okazał się kluczowym czynnikiem podatności na ataki ransomware – w 75% przypadków atakujący uzyskali dostęp do systemów dzięki przejęciu kont użytkowników. W jednym z przypadków operatorzy BlackBasta podszyli się pod dział IT ofiary, stosując socjotechnikę w celu przejęcia danych logowania.
Warto również zauważyć, że w niemal wszystkich analizowanych przez Cisco Talos atakach ransomware wykryto użycie narzędzi zdalnego dostępu – w poprzednim kwartale wskaźnik ten wynosił jedynie 13%. Najczęściej stosowane narzędzia to Splashtop (75% incydentów), a także Atera, Netop, AnyDesk i LogMeIn.
- Nowe metody uzyskiwania początkowego dostępu
Eksploatacja podatnych aplikacji publicznych stała się dominującą metodą uzyskiwania początkowego dostępu, odpowiadając za 40% incydentów, w których możliwe było określenie sposobu uzyskania dostępu. W poprzednich kwartałach głównym wektorem ataków było przejmowanie kont użytkowników. Wzrost liczby ataków na aplikacje oraz ransomware podkreśla konieczność skutecznego zarządzania podatnościami i regularnych aktualizacji systemów.
- Wzrost ataków password spraying
Od początku grudnia 2024 roku Cisco Talos odnotowało wzrost ataków typu password spraying (wielkokrotne próby odgadnięcia i użycia hasła w krótkim czasie), które prowadziły do masowego blokowania kont użytkowników i odmowy dostępu do usług VPN. W jednym z incydentów wykryto niemal 13 milionów prób logowania w ciągu 24 godzin, co wskazuje na wykorzystanie zautomatyzowanych narzędzi do tego typu ataków.
- Najczęściej atakowane sektory
Sektor edukacyjny pozostawał najbardziej narażoną branżą, odpowiadając za niemal 30% wszystkich przypadków ransomware drugi kwartał z rzędu. Prawdopodobnie wynika to z ograniczonych zasobów IT w placówkach edukacyjnych oraz dużej liczby użytkowników, co zwiększa podatność na ataki socjotechniczne.
Zalecenia Cisco Talos dotyczące cyberbezpieczeństwa
Aby zminimalizować ryzyko ataków, organizacje powinny skoncentrować się na kilku kluczowych obszarach:
- Wdrożenie uwierzytelniania wieloskładnikowego (MFA) – we wszystkich przypadkach ataków ransomware organizacje miały niewłaściwie skonfigurowane MFA lub mechanizm ten został pomyślnie złamany przez cyberprzestępców.
- Regularne aktualizowanie systemów i usuwanie podatności – 15% incydentów było wynikiem korzystania z przestarzałego oprogramowania.
- Segmentacja sieci i ograniczenie dostępu do zasobów administracyjnych – 40% ataków z wykorzystaniem web shell było możliwych z powodu słabej segmentacji sieci.
- Zastosowanie skutecznych narzędzi EDR (Endpoint Detection and Response) – 25% incydentów wynikało z braku odpowiednich rozwiązań lub ich błędnej konfiguracji.
IV kwartał 2024 roku przyniósł wyraźny wzrost liczby ataków na podatne aplikacje internetowe, często przy użyciu narzędzi do zdalnego zarządzania serwerami. Kluczowe dla organizacji pozostaje stosowanie dobrych praktyk cyberbezpieczeństwa, zwłaszcza w zakresie MFA, segmentacji sieci oraz regularnych aktualizacji systemów. Eksperci Cisco Talos stale przypominają, że cyberbezpieczeństwo to proces, który wymaga nieustannego monitorowania, dostosowywania strategii oraz edukacji użytkowników.