Cisco Talos prezentuje obraz cyberzagrożeń w pierwszym kwartale 2022 r.

Podobnie jak w roku 2021, ransomware dalej pozostaje najczęściej występującym zagrożeniem w cyberprzestrzeni. W pierwszym kwartale 2022 atakowane były głównie organizacje z branży telekomunikacyjnej, placówki edukacyjne i sektor rządowy. Wiele naruszeń bezpieczeństwa było precyzyjnie wymierzonych i miało na celu pozyskanie konkretnych informacji dotyczących określonych hostów, maszyn uczestniczących w wymianie danych, które miały stać się obiektem ataków.

Początkowym etapem ataków był zwykle phishing mający na celu instalację, po kliknięciu w zainfekowany link lub pobraniu dokumentu, złośliwego oprogramowania, które odpowiadało za przygotowanie do dalszej serii naruszeń. W porównaniu z końcem 2021 roku specjaliści Cisco zaobserwowali również więcej zagrożeń wykorzystujących socjotechnikę oraz prób podszycia się pod zaufane programy i aplikacje.

 

Rozbudowane cyberataki sponsorowane przez rządy

W pierwszym kwartale 2022 roku odnotowano wzrost ataków typu advanced persistent threat (ATP). To złożone, wielostopniowe i prowadzone przez długi czas działania wymierzone w konkretną organizację. Wymagają dużych inwestycji, dlatego stroną atakującą lub sponsorem często są agencje rządowe. Ostatnio stwierdzono aktywność MuddyWater APT finansowanej przez Iran, Mustang Panda powiązanej z Chinami wykorzystującej dyski USB do infekowania trojanem zdalnego dostępu PlugX (RAT) oraz „Deep Panda” stosującej lukę Log4j. Ta podatność była wykorzystywana do obejścia zabezpieczeń instalując dedykowany backdoor. Następnie program PowerShell służący do automatyzacji zadań z obszaru IT, w tym testowania i wdrażania rozwiązań, wydawał polecenie pobrania trzech dodatkowych plików z serwera powiązanego z cyberprzestępcami, które siały spustoszenie w zasobach organizacji.

 

Demokratyzacja ransomware

Na początku tego roku zaobserwowano ataki z wykorzystaniem nowych rodzin ransomware: Cerber (zwanym CerberImposter), Entropy oraz Cuba. Ponadto eksperci z Cisco Talos Incident Response zwrócili uwagę na zróżnicowanie ataków polegających na zablokowaniu dostępu do systemu lub zaszyfrowaniu danych pod żądaniem okupu. Żadna rodzina ransomware nie została zaobserwowana dwukrotnie w incydentach, które zakończyły się w pierwszym kwartale. Taka dywersyfikacja to zdaniem specjalistów ds. bezpieczeństwa Cisco efekt demokratyzacji ransomware, trendu polegającego na darmowym udostępnianiu narzędzi do przeprowadzania cyberataków. Gdy te okazują się skuteczne twórcy złośliwego oprogramowania partycypują w ewentualnych zyskach z okupu.

 

Rekomendacje Cisco Talos Incident Response (CTIR)

Zdaniem specjalistów z zespołu Cisco Talos najlepszą metodą zabezpieczenia przed cyberatakami jest wdrożenie uwierzytelniania wieloskładnikowego we wszystkich krytycznych usługach. MFA (ang. Multi-factor authentication) pozwala zapobiec uzyskaniu dostępu do zasobów organizacji przez osoby niepożądane. Jak podkreślają eksperci Cisco, wielu ataków można uniknąć stosując tę metodę. Przykładowo w minionym kwartale zaobserwowano atak na firmę telekomunikacyjną przeprowadzony za nieświadomym pośrednictwem organizacji partnerskiej odpowiadającej za wsparcie i call center. Cyberprzestępcy uzyskali dostęp do urządzenia Citrix, które nie było zabezpieczone przez MFA.

 

Innowacje zmieniające oblicze świata, budowa bardziej ekologicznego i inteligentnego świata, głównymi tematami Huawei Global Analyst Summit.