Atakujący coraz częściej podejmują praktyczne podejście do włamań do sieci, zwykle unikając używania złośliwego oprogramowania; skróciły również czas potrzebny na przejście od początkowego naruszenia bezpieczeństwa do zainfekowania innych systemów w sieci.
Tak twierdzi firma CrowdStrike świadcząca usługi w zakresie cyberbezpieczeństwa, która stwierdziła w raporcie opublikowanym we wtorek, że zarówno ataki ukierunkowane, jak i interaktywne włamania ogólnie wzrosły. Według danych telemetrycznych firmy, w ciągu 12 miesięcy kończących się w czerwcu ataki ukierunkowane stanowiły 18% wszystkich ataków, w porównaniu z 14% w poprzednich 12 miesiącach.
Firma stwierdziła, że osoby atakujące skupiły się również na interaktywnych włamaniach, które wykorzystują praktyczne podejście do kompromisów, przy prawie 50% wzroście takich ataków. Nic dziwnego, że wzrost liczby bezpośrednich ataków oznaczał mniejszą zależność od złośliwego oprogramowania — 71% wszystkich zdarzeń wykrytych przez CrowdStrike wskazywało na aktywność wolną od złośliwego oprogramowania.
Sektor technologii nadal był celem większości ataków, przy czym prawie 20% ataków było ukierunkowanych na sektor przemysłowy, podczas gdy telekomunikacja zajęła drugie miejsce pod względem liczby ataków (10%), a produkcja odpowiada za około 8% ataków. Ataki cyberprzestępcze stanowiły 43% wszystkich incydentów bezpieczeństwa zbadanych przez CrowdStrike, — podała firma w raporcie.
Wzrost liczby cyberataków na państwa narodowe
Zmiany w taktyce cyberataków wynikają z wyspecjalizowanej oferty cyberprzestępczości i wzrostu ataków na państwa narodowe, mówi Param Singh, wiceprezes grupy Falcon OverWatch w CrowdStrike.
„Gwałtowny wzrost jest częściowo napędzany przez ewoluujący krajobraz e-przestępczości, w którym pojawiła się bezprecedensowa liczba nowych grup przeciwników o motywach przestępczych, które pojawiły się i dołączyły do owczarni, próbując wykorzystać lukratywne możliwości zarobku” – mówi. „Dodatkowo, w odpowiedzi na zmieniający się krajobraz geopolityczny i globalne wydarzenia makroekonomiczne, nastąpił przedłużający się wzrost ukierunkowanej aktywności włamań ze strony przeciwników państwowych”.
Więcej skompromitowanych danych uwierzytelniających i więcej usług oznacza, że przeciwnicy są w stanie szybko wybrać podatne na ataki systemy i uzyskiwać dostęp zasadniczo na żądanie, co prowadzi do szybszego przełamania, mówi. Jednocześnie, ponieważ zaawansowani aktorzy mogą korzystać z tych samych narzędzi dostępu do usług, są w stanie zdobyć przyczółek i interaktywnie zhakować swoją ofiarę.
Krótszy czas ucieczki normalnie sugerowałby, że napastnicy używają większej automatyzacji, ale łowcy zagrożeń z CrowdStrike odkryli, że napastnicy częściej używają hakowania interaktywnego. Singh mówi, że w grę wchodzą dwa odrębne trendy.
„Ciągły wzrost liczby ransomware-as-a-service i sieci stowarzyszonych wraz z rosnącym rozpowszechnieniem działalności brokerów dostępu składają się na jedno: niższą barierę wejścia dla przeciwników motywowanych przestępczością” — mówi Singh. „W praktyce przekłada się to na to, że przeciwnicy są w stanie zoperacjonalizować atak i zarówno uzyskują łatwiejszy początkowy dostęp, jak i przechodzą w bok do dodatkowych hostów szybciej niż wcześniej”.
CrowdStrike wskazał na konflikt rosyjsko-ukraiński jako jeden z czynników wzrostu ataków ukierunkowanych, ale według danych firmy Chiny pozostają najbardziej skutecznym atakującym.
„Spojrzenie wstecz na liczne geopolityczne i makroglobalne wydarzenia, które miały miejsce, pokazało, że zarówno Chiny, jak i Rosja są otwarte” – mówi Singh. „Chociaż większa część złośliwej działalności, którą można przypisać, została powiązana z przeciwnikami z China-nexus, według naszej oceny rosyjscy przeciwnicy nadal działają. Jednak możliwe jest, że ta aktywność należy obecnie do nieprzypisanej kategorii włamań”.
Tajemniczy napastnicy
Tymczasem odsetek wykrytych incydentów bezpieczeństwa, które pozostają nieprzypisane, jest nadal wysoki. W ciągu 12 miesięcy kończących się w czerwcu 2022 r. 38% kampanii włamań nie można było pozytywnie przypisać do określonej grupy, mniej więcej tyle samo (39%), co w poprzednich 12 miesiącach.
„[T] tutaj często jest niewiele możliwych do zidentyfikowania artefaktów lub przykładów wskazujących na rzemiosło handlowe do zbadania, co uniemożliwia przypisanie z dużą pewnością”, stwierdził CrowdStrike w Raport. „Problemy te są potęgowane przez ciągłe zacieranie się granic między e-przestępczością a ukierunkowanym handlem i narzędziami włamań, co również ogranicza atrybucję o wysokim stopniu pewności”.
Aby nadążyć za szybkością atakujących i przerwać ich łańcuch ataków, obrońcy muszą zarówno wdrażać kontrole oparte na technologii, jak i korzystać z usług wykrywania zagrożeń opartych na ludziach, aby wychwytywać oznaki atakujących i obalać ich zautomatyzowane ataki i ręczne hakowanie.
„Jeśli chodzi o przerwanie tego łańcucha, w rzeczywistości przeciwnicy poruszają się szybciej, w niektórych przypadkach w zaledwie kilka minut” — mówi Singh. „Połączenie tej obserwacji z rosnącym rozpowszechnieniem przejętego konta z malejącą zależnością od złośliwego oprogramowania oznacza, że obrońcy muszą rozszerzyć swoje możliwości obronne poza samą technologię”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
