Ataki typu ransomware wciąż uważane są za najbardziej powszechne zagrożenia dla firm. Arsenał cyberprzestępców jest jednak znacznie bardziej rozbudowany. Eksperci Sophos przeanalizowali dane ze 152 incydentów – okazuje się, że w 2022 r. hakerzy korzystali z ponad 500 różnych technik i narzędzi, by uzyskać dostęp do danych.
Informacje zebrane w raporcie zespołu Sophos Incident Response (IR) pochodzą z firm z 31 krajów, działających w 22 różnych branżach. Na ich podstawie specjaliści wyszczególnili aż 118 rodzajów ataków z wykorzystaniem narzędzi LOLBin (legalne oprogramowanie i komponenty wbudowane w system Microsoft Windows). W przeciwieństwie do ransomware, LOLBiny są normalnymi plikami uruchamianymi w systemach operacyjnych. Podczas ataku bardzo trudno jest je zablokować, dlatego korzysta z nich coraz więcej cyberprzestępców.
Luki wykryto już dwa lata. Hakerzy ciągle je wykorzystują
Najczęstszym powodem, dla którego cyberataki kończyły się uzyskaniem dostępu do danych przedsiębiorstw, było niezałatanie podatności w zabezpieczeniach przez zespoły ds. bezpieczeństwa. W połowie analizowanych przypadków hakerzy wykorzystali odkryte jeszcze w 2021 r. luki ProxyShell i Logshell. Cyberprzestępcy często korzystali również z pozyskanych nielegalnie danych uwierzytelniających.
– Można powiedzieć, że obecnie cyberprzestępcy już się nie włamują, a po prostu logują. Wielkość i złożoność krajobrazu zagrożeń rozrosła się do punktu, w którym nie ma jasno określonych miejsc będących furtkami dla hakerów. Dla większości firm minęły czasy samodzielnej i skutecznej ochrony przed cyberatakami. Jednak dostępne są narzędzia i usługi, które mogą odciążyć specjalistów ds. bezpieczeństwa. Dzięki temu mogą oni skupić się na priorytetach biznesowych – mówi John Shier, dyrektor do spraw technologii w firmie Sophos.
Cyberprzestępcy działają coraz szybciej
Ponad 2/3 ataków zbadanych przez zespół Sophos IR zakończyło się zaszyfrowaniem danych przy pomocy ransomware. Złośliwe oprogramowanie pozostaje najpoważniejszym zagrożeniem dla firm. Skrócił się za to średni czas wykrycia obecności cyberprzestępców w infrastrukturze IT – z 15 do 10 dni względem roku 2021 r. W przypadku zainfekowania ransomware z 11 do 9 dni, a w innych rodzajach ataków z 34 do zaledwie 11 dni. W przeciwieństwie do ubiegłych lat średnie czasy wykrycia nie różniły się znacząco między przedsiębiorstwami różnej wielkości i z różnych branż.
– Firmy, które skutecznie wdrożyły wielopoziomową ochronę i stale monitorują zagrożenia, mają najmniejsze straty z powodu ataków. Umocniona ochrona ma też skutek uboczny – aby pozyskać dane. hakerzy muszą przyspieszyć swoje działania. Takie szybsze ataki wymagają z kolei wcześniejszego wykrycia przez systemy zabezpieczające. Rywalizacja między atakującymi a obrońcami będzie się więc zaostrzać. Ci, którzy nie będą aktywnie obserwowali potencjalnych niebezpieczeństw, poniosą największe konsekwencje – podsumowuje John Shier.
O raporcie
Dane z raportu “The Sophos Active Adversary Report for Business Leaders” opracowano na podstawie analiz 152 incydentów naruszenia danych w przedsiębiorstwach. W badaniu uwzględniono firmy z 22 różnych branż, z 31 różnych krajów, w tym w Stanów Zjednoczonych, Kanady, Wielkiej Brytanii, Niemiec, Szwajcarii, Włoch, Austrii, Finlandii, Belgii i Australii.
