Typografia
  • Najmniejsza Mała Średnia Większa Największa
  • Obecna Helvetica Segoe Georgia Times

Z najnowszego raportu Cisco Talos wynika, że w drugim kwartale 2024 roku branża technologiczna była najbardziej narażona na ataki hakerskie. Na drugim miejscu znalazły się sektory ochrony zdrowia, farmacji oraz handlu detalicznego. Raport ten podkreśla również rosnące znaczenie uwierzytelniania wieloskładnikowego (MFA) jako kluczowego elementu w obronie przed cyberatakami, zwłaszcza tymi związanymi z ransomware. Mimo to, wiele firm nadal nie stosuje tego środka, co prowadzi do poważnych naruszeń bezpieczeństwa.

Wzrost zagrożeń w branży technologicznej

Firmy technologiczne stały się głównym celem cyberprzestępców, co odzwierciedla 24% wszystkich incydentów bezpieczeństwa odnotowanych w drugim kwartale 2024 roku, co stanowi wzrost o 30% w porównaniu do poprzedniego okresu. Organizacje z tego sektora są postrzegane jako brama do innych firm, ponieważ odgrywają kluczową rolę w dostarczaniu infrastruktury cyfrowej i usług dla różnych branż. Ze względu na swoją krytyczną rolę w infrastrukturze, są one bardziej narażone na przestoje, co czyni je atrakcyjnymi celami dla hakerów żądających okupu.

Ransomware i BEC dominują wśród zagrożeń

Ransomware oraz ataki typu Business Email Compromise (BEC) stanowiły łącznie 60% wszystkich przypadków, którymi zajmował się Cisco Talos. Pomimo spadku liczby incydentów BEC w porównaniu do pierwszego kwartału, te oszustwa nadal dominowały jako jedno z głównych zagrożeń. W atakach BEC cyberprzestępcy często wykorzystują fałszywe konta e-mail lub uzyskują dostęp do prawdziwych kont, aby wyłudzić dane wrażliwe, takie jak hasła do logowania lub nakłonić pracowników do przekazania środków na fałszywe konta bankowe.

Hakerzy stosują także phishing za pomocą SMS-ów, tzw. smishing, aby nakłonić ofiary do ujawnienia danych osobowych lub kliknięcia w złośliwe linki. Cisco Talos zauważa, że smishing staje się coraz popularniejszym wektorem ataku, co wymaga od firm większej ostrożności w ochronie swoich zasobów.

Wykorzystanie skradzionych danych uwierzytelniających

Jednym z głównych sposobów uzyskiwania początkowego dostępu przez hakerów było wykorzystanie skradzionych danych uwierzytelniających. Ten sposób ataku stanowił aż 60% wszystkich incydentów w drugim kwartale 2024 roku, co oznacza wzrost o 25% w stosunku do poprzedniego kwartału. Szczególną uwagę poświęcono urządzeniom sieciowym, które były celem 24% wszystkich ataków. Cyberprzestępcy często stosują techniki łamania haseł, skanowania luk w zabezpieczeniach i eksploitowania urządzeń sieciowych, aby uzyskać dostęp do poufnych danych i przekierować ruch sieciowy.

Regularne aktualizacje i monitorowanie urządzeń sieciowych są kluczowe w zapobieganiu takim atakom. W przypadku naruszenia zabezpieczeń hakerzy mogą uzyskać pełen dostęp do wewnętrznych zasobów organizacji i monitorować ruch sieciowy, co może prowadzić do poważnych naruszeń danych.

PowerShell jako narzędzie ataków

Cisco Talos odnotował znaczący wzrost w wykorzystaniu PowerShell przez hakerów – technikę tę stosowano w 41% wszystkich interwencji w drugim kwartale, co oznacza wzrost o 33% w porównaniu do poprzedniego kwartału. PowerShell, będący narzędziem zarządzania i automatyzacji systemów operacyjnych Windows, jest wykorzystywany przez cyberprzestępców do przeprowadzania złośliwych działań, takich jak uruchamianie złośliwego kodu i eskalacja uprawnień.

Uwierzytelnianie wieloskładnikowe kluczem do zabezpieczeń

Brak uwierzytelniania wieloskładnikowego (MFA) jest jednym z największych problemów w dziedzinie cyberbezpieczeństwa w 2024 roku. Raport Cisco Talos wskazuje, że brak odpowiedniej implementacji MFA stanowił jeden z głównych czynników przyczyniających się do sukcesu ataków ransomware w 80% przypadków. Hakerzy aktywnie poszukują sieci, które nie stosują MFA lub w których jest ono nieprawidłowo skonfigurowane.

Szczególnie narażone są systemy VPN, które bez odpowiedniego MFA stają się łatwym celem dla cyberprzestępców. Dlatego organizacje muszą priorytetowo traktować wdrożenie dwuskładnikowego uwierzytelniania oraz systemów pojedynczego logowania (SSO), aby zapewnić, że tylko zaufane strony mają dostęp do wrażliwych danych.

Akcja „Operation Endgame” i działania botnetów

Międzynarodowa operacja organów ścigania, znana jako „Operation Endgame”, miała na celu zakłócenie działań botnetów oraz malware typu loader, takich jak IcedID i Pikabot. Choć działania te przyniosły pewien sukces, Cisco Talos nadal monitoruje sytuację i ostrzega, że botnety mogą wznowić swoją działalność po tymczasowym wstrzymaniu operacji.

Wnioski i zalecenia

Aby skutecznie chronić się przed coraz bardziej zaawansowanymi zagrożeniami, organizacje muszą podjąć konkretne działania w zakresie zabezpieczeń. Wdrożenie uwierzytelniania wieloskładnikowego i systemów SSO to podstawowe kroki, które mogą znacząco zmniejszyć ryzyko ataków typu BEC i ransomware.

Dodatkowo, rozwiązania do wykrywania i reagowania na zagrożenia w punktach końcowych, takie jak Cisco Secure Endpoint, mogą pomóc w monitorowaniu aktywności na urządzeniach i w sieci. Narzędzia takie jak Snort i ClamAV są skuteczne w blokowaniu najnowszych wariantów ransomware, takich jak Black Basta i BlackSuit, które były szczególnie aktywne w tym kwartale.

Podsumowując, firmy muszą priorytetowo traktować bezpieczeństwo swoich systemów i wdrożyć kompleksowe podejście do cyberbezpieczeństwa. Tylko poprzez regularne monitorowanie i aktualizację zabezpieczeń mogą skutecznie chronić swoje zasoby przed rosnącą liczbą cyberataków.

 

Kompleksowy wgląd w cyfrowe środowisko firm dzięki integracji rozwiązań Cisco i Splunk