Ataki ransomware oraz działania pre-ransomware stanowiły aż 40 procent zagrożeń cyberbezpieczeństwa zaobserwowanych w minionym kwartale – wynika z raportu Talos Incident Response Trends za trzeci kwartał 2022. Najaktywniejsze były organizacje cyberprzestępcze Vice Society oraz Hive, natomiast najczęstszym obiektem ataków stały się placówki oświatowe, usługi finansowe, systemy rządowe oraz energetyka. Na horyzoncie znajdują się również kolejne niebezpieczeństwa – atakujący używają nowych frameworków Manjusaka i Alchimist czy też LockBit Black, służący do budowy szyfratora ransomware LockBit 3.0, który wyciekł do sieci pod koniec września.
Zgodnie z utrzymującym się trendem, napastnicy często wykorzystywali ważne konta do uzyskania pierwszego dostępu, co było szczególnie widoczne w przypadku kont źle skonfigurowanych lub tych posiadających słabe hasła.
Ransomware oraz pre-ransomware stanowiły 40% wszystkich ataków w Q3 2022
Należący do Cisco zespół Talos Incident Response po raz pierwszy zaobserwował zbliżoną liczbę ataków ransomware oraz pre-ransomware, które łącznie stanowiły aż 40% wszystkich zagrożeń w trzecim kwartale 2022 roku. Należy zaznaczyć, że ciężko jest oszacować dokładną sumę wszystkich ataków pre-ransomware, jeśli ransomware nie uaktywni się. Znalezione w systemach oprogramowanie Cobalt Strike, narzędzia do zbierania danych uwierzytelniających (Mimikatz) oraz techniki enumeracji i wykrywania pozwalają wykrywać domniemane próby ataków.
W Q3 2022 na stronach internetowych i w repozytoriach pojawiły się narzędzia i skrypty, które wspierają operacje cyberprzestępców na różnych etapach ataku. Działalność ta zbiega się w czasie ze wzrostem wykorzystania innych narzędzi podwójnego zastosowania, takich jak legalne narzędzie wykorzystywane w tzw. działaniach red-teamingu (kontrolowane ataki socjotechniczne) Brute Ratel oraz niedawno odkryte frameworki ataków Manjusaka i Alchimist.
Zespół Cisco Talos odnotował dużą aktywność dwóch popularnych grup cyberprzestępczych – Vice Society i Hive. W ostatnich miesiącach zyskuje na popularności również Black Basta, która po raz pierwszy pojawiła się w kwietniu 2022 roku. Nie była ona wcześniej na radarze Talosa.
Talos monitoruje również “LockBit Black”, który wyciekł pod koniec września 2022 r. Jest to kolejne z niepowodzeń, jakich grupa cybeprzestępcza LockBit doświadczyła w ostatnich miesiącach, w tym ataków (DDoS) skierowanych w ich stronę. Talos zaczął śledzić nową grupę ransomware o nazwie “BlooDy Gang”, która podobno wykorzystała wspomniany konstruktor LockBit 3.0 w ostatnich atakach.
Przestępcy wykorzystują różne ogólnodostępne narzędzia i skrypty hostowane na repozytoriach GitHub lub do pobrania z witryn internetowych innych firm. Talos obserwuje zastosowanie narzędzi bezpieczeństwa i tych wykorzystywanych w ramach działań red-teaming, takie jak zmodowany framework Cobalt Strike oraz narzędzia do rozpoznania Active Directory – ADFind i BloodHound. Jednak obecność tych dodatkowych skryptów i narzędzi wskazuje, że złodzieje nadal korzystają z popularnych zasobów, co utrudnia identyfikację.
Warto zauważyć, że większość publicznie dostępnych narzędzi wykorzystanych w tym kwartale wydaje się skupiać na uzyskiwaniu dostępu i zbieraniu danych uwierzytelniających, co podkreśla rolę, jaką narzędzia te odgrywają w potencjalnym wspieraniu celów cyberprzestępców.
Wzrost liczby działań pre-ransomware
Oprogramowanie ransomware stanowiło główne zagrożenie w analizowanym kwartale, jednak zaobserwowana została również zbliżona liczba ataków pre-ransomware. Chociaż każdy incydent wiąże się z unikalnymi metodami TTP (taktyki, techniki, procedury), podobieństwa obejmują enumerację hosta, wielokrotne próby pozyskiwania danych uwierzytelniających oraz przejęcie uprawnień za pomocą zidentyfikowanego słabego punktu lub luki w celu przeniesienia się na inne systemy. W przypadkach, w których oprogramowanie ransomware nigdy nie zostało wdrożone, przestępca w momencie wykrycia prawdopodobnie próbował doprowadzić do wycieku danych, co wskazuje, że miał wystarczająco szeroki dostęp, aby wyrządzić znaczące szkody.
Oświata na celowniku cyberprzestępców
W minionym kwartale sektor edukacji był najczęstszą ofiarą ataków, a tuż za nim znalazły się odpowiednio usługi finansowe, systemy rządowe oraz energetyka. Po raz pierwszy od Q4 2021 r., to nie telekomunikacja była najczęściej atakowana. Powód, dla którego sektor edukacyjny był najpopularniejszym celem ataków nie jest znany, należy jednak zauważyć sezonowość tego zjawiska – jest to okres, w którym uczniowie i nauczyciele wracają do szkół.
Wektory początkowe
W Q3 2022 odnotowano przypadki, w których złodzieje wykorzystali ważne konta do uzyskania początkowego dostępu, zwłaszcza w scenariuszach, gdy konta były źle skonfigurowane, niewłaściwie wyłączone lub miały słabe hasła. W co najmniej dwóch przypadkach w tym kwartale, Talos zbadał możliwość początkowego dostępu przeciwnika poprzez przechwyconą sieć kontrahenta lub jego komputer osobisty.
W prawie 15 procentach przypadków w tym kwartale, przestępcy zidentyfikowali i/lub wykorzystali źle skonfigurowane aplikacje publiczne. Kolejnym popularnym sposobem była poczta elektroniczna i aktywowanie przez użytkownika złośliwego dokumentu lub linku. W jednym z przypadków ataku na biznesową pocztę elektroniczną (BEC), został wykorzystany thread-hijacking oraz złośliwy link w wiadomości e-mail, który wyglądał jak fałszywa strona uwierzytelniająca.
Brak uwierzytelniania wieloetapowego pozostaje jedną z największych przeszkód dla bezpieczeństwa firm. Prawie 18% spraw analizowanych przez Cisco Talos nie miało MFA lub miało je włączone tylko na kilku kontach i krytycznych usługach. Talos IR często obserwuje incydenty związane z ransomware i phishingiem, którym można było zapobiec, gdyby MFA było prawidłowo włączone w krytycznych usługach, takich jak rozwiązania do wykrywania i reagowania na punkty końcowe (EDR). Talos IR zaleca wyłączenie dostępu VPN dla wszystkich kont, które nie korzystają z uwierzytelniania dwuskładnikowego.
W 27% przypadków hasła lub dostęp do kont nie zostały odpowiednio skonfigurowane/wyłączone, co spowodowało, że konta te pozostały aktywne i umożliwiło napastnikom wykorzystanie ważnych danych uwierzytelniających do wejścia do środowiska. W kilku przypadkach organizacje nie wyłączyły odpowiednio dostępu do kont po odejściu pracownika z organizacji. W takich wypadkach eksperci Talos zalecają wyłączenie lub usunięcie nieaktywnych kont, aby zapobiec podejrzanej aktywności.
Niemiecki urząd antymonopolowy rozszerza badanie Amazona na podstawie nowych przepisów