Ataki ransomware w 2022 r. nadal popularne mimo lepszej wykrywalności, wynika z raportu X-Force Threat Intelligence Index firmy IBM

IBM Security opublikował doroczny raport X-Force Threat Intelligence Index według którego w latach 2021-2022 nieznacznie tylko spadł udział incydentów bezpieczeństwa opartych na atakach typu ransomware (4 punkty procentowe), za to podniosła się skuteczność wykrywania i zapobiegania takim atakom. Raport pokazuje też, że atakujący wciąż rozwijają swoje techniki, co doprowadziło do skrócenia średniego czasu przeprowadzenia ataku ransomware z 2 miesięcy do niecałych 4 dni.

Według najnowszego raportu IBM Security, najczęściej stosowaną metodą ataku było wykorzystanie luk typu backdoor, które umożliwiają zdalny dostęp do systemów. Około 67% przypadków wykorzystujących tę lukę w zabezpieczeniach było związanych z atakami ransomware, przy czym obrońcy byli w stanie te zagrożenia wykryć odpowiednio wcześnie, zanim ransomware zadziałał.

Wzrost popularności backdoorów można częściowo przypisać ich wysokiej wartości rynkowej. Zespół IBM X-Force zaobserwował, że cyberprzestępcy sprzedają backdoory nawet za 10 000 USD, podczas gdy zysk ze sprzedaży danych skradzionej karty kredytowej może być nawet mniejszy niż 10 USD.

IBM Security X-Force Threat Intelligence Index pokazuje dotychczasowe i nowe trendy oraz wzorce ataków, bazując na danych pochodzących z miliardów źródeł, m.in. urządzeń sieciowych, stacji roboczych czy ze zgłoszeń incydentów.

 

Główne wnioski z najnowszego raportu IBM Security:

  • Najczęstszym skutkiem cyberataków w 2022 r. było wymuszenie. Dochodzi do niego w wyniku ataku typu ransomware lub poprzez nieuprawniony dostęp do służbowej poczty e-mail. Najwięcej wymuszeń odnotowano w Europie (44% zaobserwowanych przypadków), gdzie cyberprzestępcy starali się wykorzystywać napięcia geopolityczne.
  • Cyberprzestępcy wykorzystują pocztę elektroniczną. W 2022 roku odnotowano znaczny wzrost prób przechwycenia korespondencji. Hakerzy podszywają się pod pracowników i wykorzystują przejęte konta e-mail do prowadzenia konwersacji. Zespół IBM X-Force zaobserwował wzrost liczby miesięcznych prób o 100% w porównaniu do danych z 2021 roku.
  • Starsze Exploity są wciąż skuteczne. Ponieważ liczba podatności wzrosła osiągając kolejny rekord, stosunek liczby znanych exploitów zmniejszył się o 10 punktów procentowych od 2018 do 2022 roku. Jak wynika z raportu, starsze exploity uruchamiające znany malware jak WannaCry i Conficker wciąż funkcjonują i rozprzestrzeniają się.

 

Presja na wymuszenia

Cyberprzestępcy często atakują najbardziej wrażliwe branże, firmy i regiony. Schematy wymuszeń polegają na wywieraniu silnej presji psychologicznej, skłaniającej ofiary cyberataku do zapłaty. W 2022 roku branża produkcyjna, już drugi rok z rzędu, należała do najczęściej atakowanej. Zakłady produkcyjne są atrakcyjnym celem tego typu ataków, ponieważ wykazują bardzo małą tolerancję na przestoje.

Ransomware jako sposób wymuszenia jest już dobrze znaną metodą cyberprzestępców, ale opracowują oni coraz to nowsze i skuteczniejsze formy wymuszeń. Jednym z najnowszych trendów jest wykorzystywanie skradzionych danych do atakowania kolejnych ofiar, co dodatkowo zwiększa presję na zinfiltrowane organizacje. Cyberprzestępcy będą kontynuować nagabywanie docelowych ofiar, aby zwiększać zarówno potencjalne koszty jak i psychologiczny wpływ ataku. Dlatego niezwykle ważne jest, aby firmy posiadały opracowany plan reagowania na incydenty, który uwzględnia również wpływ ataku na pozostałe podmioty (np. kontrahentów) i osoby (np. klientów)

 

Rosnąca liczba przejmowanych wątków

Aktywność cyberprzestępców w obszarze przejmowania korespondencji e-mail wzrosła
w zeszłym roku, a liczba miesięcznych prób tego typu podwoiła się w porównaniu z danymi z 2021 r. W ciągu roku IBM X-Force wykrył, że cyberprzestępcy wykorzystywali tę taktykę do infekowania złośliwym oprogramowaniem, np. Emotet, Qakbot czy IcedID, które często prowadziło do infekcji ransomware.

Biorąc pod uwagę, że w zeszłym roku phishing był głównym źródłem cyberataków oraz gwałtownie wzrosła aktywność przejmowania wątków, staje się widoczne, że atakujący wykorzystują zaufanie użytkowników pokładane w poczcie e-mail.

Organizacje powinny więc prowadzić szkolenia dla pracowników, aby zmniejszać ryzyko związane z potencjalnymi zagrożeniami tego rodzaju.

Mind the Gap: Wykorzystywanie luk w zabezpieczeniach związane z opóźnieniami w opracowywaniu łat.

Stosunek znanych exploitów do podatności od 2018 roku spadł o 10 punktów procentowych. Cyberprzestępcy mają już dostęp do ponad 78 000 znanych exploitów, co ułatwia im wykorzystywanie starszych, wciąż niezałatanych luk w zabezpieczeniach. Przykładowo, luki w zabezpieczeniach prowadzące do infekcji WannaCry wciąż stanowią poważne zagrożenie, chociaż malware ten jest znany od 5 lat. Bazując na danych telemetrycznych MSS (Managed Security Services), od kwietnia 2022 roku zespół IBM X-Force odnotował 800% wzrost ruchu ransomware WannaCry. Ciągłe wykorzystywanie starszych exploitów pokazuje potrzebę doskonalenia i dopracowywania przez organizacje programów zarządzania podatnościami, w tym opartej na analizie ryzyka priorytetyzacji poprawek oraz lepszego zrozumienia ich powierzchni ataku (tzw. Attack Surface).

 

Dodatkowe wnioski z raportu:

  • Phisherzy „porzucają” działania związane z danymi kart kredytowych. Liczba cyberprzestępstw nastawionych na dane kart kredytowych w kampaniach phishingowych spadła w ciągu roku o 52%. Taka zmiana pokazuje, że priorytetem dla atakujących stały się dane osobowe, które można wykorzystać do innych oszustw lub sprzedać w dark webie za wyższą cenę niż dane kart kredytowych.
  • Ameryka Północna odczuła skutki ataków wymierzonych w sektor energetyczny.
    Globalni gracze kontynuują próby wpływania na i tak już zaburzony rynek światowego handlu energią, w efekcie czego w 2022 roku sektor energetyczny utrzymał 4. pozycję na liście najczęściej atakowanych branż. W minionym roku północnoamerykańskie firmy z branży energetycznej były celem 46% wszystkich odnotowanych ataków na firmy energetyczne na świecie, co stanowi wzrost o 25% w porównaniu z poziomem z 2021 r.
  • Azja na szczycie listy. W tym regionie odnotowano prawie jedną trzecią wszystkich ataków, na które odpowiedział IBM X-Force w 2022 roku. Tym samym Azja odnotowała więcej cyberataków niż jakikolwiek inny region. Branża produkcyjna była celem prawie połowy wszystkich incydentów, zaobserwowanych w Azji w zeszłym roku.

 

Pobierz pełną wersję raportu

Raport zawiera dane zebrane przez IBM w 2022 roku w skali globalnej i dostarcza szczegółowych informacji o światowej mapie zagrożeń, celem poinformowania społeczności zajmującej się cyberbezpieczeństwem o najbardziej istotnych zagrożeniach dla wszystkich organizacji.

 

„Najbardziej dynamiczna branża na świecie” – podkreśla Andrzej Przybyło, prezes Grupy AB, gość specjalny naszego nowego podcastu IT Reseller Insight