13
Pt, Cze
T2S

Typografia
  • Najmniejsza Mała Średnia Większa Największa
  • Obecna Helvetica Segoe Georgia Times

W IV kwartale 2024 roku cyberprzestępcy coraz częściej wykorzystywali web shell do przeprowadzania ataków na podatne aplikacje internetowe. W przeciwieństwie do wcześniejszych miesięcy, gdzie dominującą metodą było przejmowanie legalnych kont użytkowników, hakerzy zaczęli masowo wykorzystywać luki w zabezpieczeniach publicznie dostępnych aplikacji. Trend ten pokazuje, że organizacje muszą skupić się na zarządzaniu podatnościami oraz szybkim wdrażaniu aktualizacji zabezpieczeń.

Z raportu Cisco Talos wynika, że choć w IV kwartale 2024 roku aktywność ransomware nieznacznie spadła, to w okresie okołoświątecznym zagrożenie to ponownie wzrosło, głównie za sprawą grupy BlackBasta. To pokazuje, że ransomware wciąż stanowi poważne ryzyko i może powrócić ze zdwojoną siłą w 2025 roku.

Trendy w cyberatakach

W IV kwartale 2024 roku 35% incydentów związanych było z wykorzystaniem open-source’owych i publicznie dostępnych interfejsów web shell do przejmowania niezaktualizowanych aplikacji internetowych. To znaczący wzrost w porównaniu do 10% w poprzednim kwartale. Atakujący wykorzystywali zarówno nowe narzędzia, jak i sprawdzone techniki, co podkreśla znaczenie monitorowania aplikacji i skutecznego zarządzania uprawnieniami.

Ataki ransomware oraz pre-ransomware stanowiły blisko 30% analizowanych przypadków, co oznacza niewielki spadek w porównaniu do 40% w poprzednim kwartale. Pojawiły się nowe zagrożenia, takie jak Interlock ransomware, a grupy BlackBasta i RansomHub pozostawały aktywne. Średni czas obecności hakerów w sieci przed uruchomieniem szyfratora wynosił od 17 do 44 dni. W jednym z przypadków związanych z RansomHub atakujący mieli dostęp do systemu przez ponad miesiąc, zanim uruchomili ransomware.

Kluczowe wnioski

1. Wzrost liczby incydentów związanych z przejęciem kont

Brak skutecznego uwierzytelniania wieloskładnikowego (MFA) stanowił kluczowy czynnik podatności – w 75% przypadków atakujący uzyskali dostęp poprzez przejęcie kont użytkowników. Grupa BlackBasta wykorzystała socjotechnikę, podszywając się pod dział IT ofiary w celu zdobycia danych logowania.

W 100% analizowanych przypadków ransomware wykryto użycie narzędzi do zdalnego dostępu. Najczęściej stosowanym rozwiązaniem był Splashtop (75% incydentów), a także Atera, Netop, AnyDesk i LogMeIn.

2. Nowe metody uzyskiwania początkowego dostępu

Eksploatacja podatnych aplikacji internetowych stała się dominującą metodą ataku, odpowiadając za 40% incydentów. Wzrost liczby ataków tego typu podkreśla konieczność skutecznego zarządzania podatnościami oraz regularnych aktualizacji.

3. Wzrost ataków password spraying

Od grudnia 2024 roku Cisco Talos zaobserwowało wzrost ataków typu password spraying, prowadzących do masowego blokowania kont i odmowy dostępu do VPN. W jednym z incydentów wykryto 13 milionów prób logowania w ciągu 24 godzin, co sugeruje wykorzystanie zautomatyzowanych narzędzi do tego typu ataków.

4. Najczęściej atakowane sektory

Sektor edukacyjny był najbardziej narażony, odpowiadając za niemal 30% wszystkich przypadków ransomware. Wynika to z ograniczonych zasobów IT w placówkach edukacyjnych oraz dużej liczby użytkowników, co zwiększa podatność na ataki socjotechniczne.

Zalecenia Cisco Talos dotyczące cyberbezpieczeństwa

Aby zminimalizować ryzyko cyberataków, organizacje powinny skoncentrować się na kilku kluczowych obszarach:

  1. Wdrożenie uwierzytelniania wieloskładnikowego (MFA) – we wszystkich przypadkach ataków ransomware organizacje miały niewłaściwie skonfigurowane MFA lub mechanizm ten został złamany.

  2. Regularne aktualizowanie systemów – 15% incydentów wynikało z korzystania z przestarzałego oprogramowania.

  3. Segmentacja sieci i ograniczenie dostępu do zasobów administracyjnych – 40% ataków z wykorzystaniem web shell było możliwych z powodu słabej segmentacji sieci.

  4. Zastosowanie skutecznych narzędzi EDR (Endpoint Detection and Response) – 25% incydentów wynikało z braku odpowiednich rozwiązań lub ich błędnej konfiguracji.

  5. Monitorowanie dostępu do systemów IT – organizacje powinny wdrożyć ścisłe kontrolowanie logowań i dostępu użytkowników do kluczowych zasobów IT.

  6. Edukacja użytkowników – wielu ataków można uniknąć dzięki szkoleniom z zakresu cyberbezpieczeństwa i zwiększaniu świadomości zagrożeń wśród pracowników.

Podsumowanie

IV kwartał 2024 roku przyniósł wyraźny wzrost liczby ataków na podatne aplikacje internetowe, często przy użyciu narzędzi do zdalnego zarządzania serwerami. Kluczowe dla organizacji pozostaje stosowanie dobrych praktyk cyberbezpieczeństwa, zwłaszcza w zakresie MFA, segmentacji sieci oraz regularnych aktualizacji systemów. Eksperci Cisco Talos przypominają, że cyberbezpieczeństwo to proces wymagający nieustannego monitorowania, dostosowywania strategii oraz edukacji użytkowników.

 

Cisco Talos ostrzega przed nową kampanią cyberprzestępczą wymierzoną w polskich użytkowników