Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
W ostatnim kwartale 2024 roku badacze zauważyli zmiany, jeśli chodzi o cyberbezpieczeństwo firm – cyberprzestępcy zmienili podejście do uzyskiwania początkowego dostępu do systemów, coraz częściej wykorzystując web shell. Według raportu Cisco Talos, zamiast tradycyjnego przejmowania legalnych kont użytkowników, hakerzy skoncentrowali się na lukach bezpieczeństwa i niezałatanych, publicznie dostępnych aplikacjach.
W 35% incydentów w IV kwartale przestępcy korzystali z open-source’owych interfejsów web shell do atakowania niezaktualizowanych aplikacji internetowych. To znaczący wzrost w porównaniu do 10% z poprzedniego kwartału. Eksperci podkreślają, że ten trend wymaga skuteczniejszego monitorowania aplikacji oraz wdrażania polityk zarządzania uprawnieniami.
Ransomware: tymczasowy spadek i świąteczne wzmożenie ataków
Chociaż aktywność ransomware nieco osłabła w IV kwartale, w okresie okołoświątecznym ponownie wzrosła, głównie za sprawą grupy BlackBasta. To pokazuje, że zagrożenie to wciąż pozostaje istotnym ryzykiem, a w 2025 roku może powrócić ze zdwojoną siłą.
Ransomware, pre-ransomware oraz techniki szantażu z wykorzystaniem skradzionych danych stanowiły blisko 30% analizowanych przypadków – w porównaniu do 40% w poprzednim kwartale. Cisco Talos zwraca również uwagę na nowe zagrożenia, takie jak Interlock ransomware, przy jednoczesnej aktywności grup BlackBasta i RansomHub.
Cyberbezpieczeństwo i kluczowa luka
W 75% przypadków atakujący uzyskali dostęp do systemów poprzez przejęcie kont użytkowników, co było możliwe z powodu braku skutecznego uwierzytelniania wieloskładnikowego (MFA). Operatorzy BlackBasta w jednym z incydentów wykorzystali socjotechnikę, podszywając się pod dział IT ofiary w celu przejęcia danych logowania.
Ponadto, w niemal wszystkich atakach ransomware wykryto użycie narzędzi zdalnego dostępu. W poprzednim kwartale wskaźnik ten wynosił jedynie 13%, a w IV kwartale już 75% incydentów obejmowało wykorzystanie Splashtop, Atera, Netop, AnyDesk lub LogMeIn.
Eksploatacja podatnych aplikacji jako nowa dominująca metoda
Eksploatacja podatnych aplikacji publicznych stała się najczęstszą metodą uzyskiwania początkowego dostępu, odpowiadając za 40% przypadków. Wcześniej dominowało przejmowanie kont użytkowników. Ten wzrost ataków oraz ich konsekwencje podkreślają konieczność skutecznego zarządzania podatnościami oraz regularnych aktualizacji systemów.
Wzrost ataków typu password spraying
Od grudnia 2024 roku Cisco Talos odnotowało wzrost ataków password spraying. Hakerzy masowo próbowali odgadnąć i używać haseł w krótkim czasie, co prowadziło do blokowania kont użytkowników i utrudnienia dostępu do usług VPN. W jednym przypadku zanotowano niemal 13 milionów prób logowania w ciągu 24 godzin, co świadczy o wykorzystaniu zaawansowanych, zautomatyzowanych narzędzi.
Najczęściej atakowane sektory
Sektor edukacyjny po raz kolejny pozostawał najbardziej narażoną branżą, odpowiadając za niemal 30% wszystkich przypadków ransomware. Przyczyną jest ograniczony budżet IT placówek edukacyjnych oraz duża liczba użytkowników, co zwiększa podatność na ataki socjotechniczne.
Zalecenia Cisco Talos dla organizacji
Aby ograniczyć ryzyko ataków, Cisco Talos zaleca:
- Wdrożenie MFA – większość organizacji dotkniętych ransomware miała niewłaściwie skonfigurowane MFA lub mechanizm ten został złamany.
- Regularne aktualizacje – 15% incydentów wynikało z użycia przestarzałego oprogramowania.
- Segmentację sieci – 40% ataków web shell było możliwych z powodu słabej segmentacji sieci.
- Zastosowanie narzędzi EDR (Endpoint Detection and Response) – w 25% przypadków brakowało odpowiednich zabezpieczeń lub były one źle skonfigurowane.
IV kwartał 2024 roku przyniósł istotne zmiany w krajobrazie cyberzagrożeń. Ataki na podatne aplikacje internetowe stały się częstsze, a ransomware nadal stanowi poważne zagrożenie. Organizacje muszą konsekwentnie wdrażać skuteczne strategie cyberbezpieczeństwa, w tym MFA, segmentację sieci oraz regularne aktualizacje systemów. Eksperci podkreślają, że ochrona przed cyberatakami to proces wymagający stałego monitorowania, dostosowywania strategii oraz edukacji użytkowników.
