Jak cyberprzestępcy korzystają z backdoorów i ransomware do wymuszeń?

Klaudia Ciesielska
5 min

IBM Security opublikował doroczny raport X-Force Threat Intelligence Index według którego w latach 2021-2022 nieznacznie tylko spadł udział incydentów bezpieczeństwa opartych na atakach typu ransomware (4 punkty procentowe), za to podniosła się skuteczność wykrywania i zapobiegania takim atakom. Raport pokazuje też, że atakujący wciąż rozwijają swoje techniki, co doprowadziło do skrócenia średniego czasu przeprowadzenia ataku ransomware z 2 miesięcy do niecałych 4 dni.

Według najnowszego raportu IBM Security, najczęściej stosowaną metodą ataku było wykorzystanie luk typu backdoor, które umożliwiają zdalny dostęp do systemów. Około 67% przypadków wykorzystujących tę lukę w zabezpieczeniach było związanych z atakami ransomware, przy czym obrońcy byli w stanie te zagrożenia wykryć odpowiednio wcześnie, zanim ransomware zadziałał.

Wzrost popularności backdoorów można częściowo przypisać ich wysokiej wartości rynkowej. Zespół IBM X-Force zaobserwował, że cyberprzestępcy sprzedają backdoory nawet za 10 000 USD, podczas gdy zysk ze sprzedaży danych skradzionej karty kredytowej może być nawet mniejszy niż 10 USD.

REKLAMA

IBM Security X-Force Threat Intelligence Index pokazuje dotychczasowe i nowe trendy oraz wzorce ataków, bazując na danych pochodzących z miliardów źródeł, m.in. urządzeń sieciowych, stacji roboczych czy ze zgłoszeń incydentów. 

Główne wnioski z najnowszego raportu IBM Security:

– Najczęstszym skutkiem cyberataków w 2022 r. było wymuszenie. Dochodzi do niego
w wyniku ataku typu ransomware lub poprzez nieuprawniony dostęp do służbowej poczty e-mail. Najwięcej wymuszeń odnotowano w Europie (44% zaobserwowanych przypadków), gdzie cyberprzestępcy starali się wykorzystywać napięcia geopolityczne. 

– Cyberprzestępcy wykorzystują pocztę elektroniczną. W 2022 roku odnotowano znaczny wzrost prób przechwycenia korespondencji. Hakerzy podszywają się pod pracowników
i wykorzystują przejęte konta e-mail do prowadzenia konwersacji. Zespół IBM X-Force zaobserwował wzrost liczby miesięcznych prób o 100% w porównaniu do danych z 2021 roku.

– Starsze Exploity są wciąż skuteczne. Ponieważ liczba podatności wzrosła osiągając kolejny rekord, stosunek liczby znanych exploitów zmniejszył się o 10 punktów procentowych od 2018 do 2022 roku. Jak wynika z raportu, starsze exploity uruchamiające znany malware jak WannaCry i Conficker wciąż funkcjonują i rozprzestrzeniają się.

Presja na wymuszenia

Cyberprzestępcy często atakują najbardziej wrażliwe branże, firmy i regiony. Schematy wymuszeń polegają na wywieraniu silnej presji psychologicznej, skłaniającej ofiary cyberataku do zapłaty. W 2022 roku branża produkcyjna, już drugi rok z rzędu, należała do najczęściej atakowanej. Zakłady produkcyjne są atrakcyjnym celem tego typu ataków, ponieważ wykazują bardzo małą tolerancję na przestoje.

Ransomware jako sposób wymuszenia jest już dobrze znaną metodą cyberprzestępców, ale opracowują oni coraz to nowsze i skuteczniejsze formy wymuszeń. Jednym z najnowszych trendów jest wykorzystywanie skradzionych danych do atakowania kolejnych ofiar, co dodatkowo zwiększa presję na zinfiltrowane organizacje. Cyberprzestępcy będą kontynuować nagabywanie docelowych ofiar, aby zwiększać zarówno potencjalne koszty jak i psychologiczny wpływ ataku. Dlatego niezwykle ważne jest, aby firmy posiadały opracowany plan reagowania na incydenty, który uwzględnia również wpływ ataku na pozostałe podmioty (np. kontrahentów) i osoby (np. klientów)

Rosnąca liczba przejmowanych wątków

Aktywność cyberprzestępców w obszarze przejmowania korespondencji e-mail wzrosła
w zeszłym roku, a liczba miesięcznych prób tego typu podwoiła się w porównaniu z danymi z 2021 r. W ciągu roku IBM X-Force wykrył, że cyberprzestępcy wykorzystywali tę taktykę do infekowania złośliwym oprogramowaniem, np. Emotet, Qakbot czy IcedID, które często prowadziło do infekcji ransomware.

Biorąc pod uwagę, że w zeszłym roku phishing był głównym źródłem cyberataków oraz gwałtownie wzrosła aktywność przejmowania wątków, staje się widoczne, że atakujący wykorzystują zaufanie użytkowników pokładane w poczcie e-mail.

Organizacje powinny więc prowadzić szkolenia dla pracowników, aby zmniejszać ryzyko związane z potencjalnymi zagrożeniami tego rodzaju.

Mind the Gap: Wykorzystywanie luk w zabezpieczeniach związane z opóźnieniami w opracowywaniu łat.

Stosunek znanych exploitów do podatności od 2018 roku spadł o 10 punktów procentowych. Cyberprzestępcy mają już dostęp do ponad 78 000 znanych exploitów, co ułatwia im wykorzystywanie starszych, wciąż niezałatanych luk w zabezpieczeniach. Przykładowo, luki w zabezpieczeniach prowadzące do infekcji WannaCry wciąż stanowią poważne zagrożenie, chociaż malware ten jest znany od 5 lat. Bazując na danych telemetrycznych MSS (Managed Security Services), od kwietnia 2022 roku zespół IBM X-Force odnotował 800% wzrost ruchu ransomware WannaCry. Ciągłe wykorzystywanie starszych exploitów pokazuje potrzebę doskonalenia i dopracowywania przez organizacje programów zarządzania podatnościami, w tym opartej na analizie ryzyka priorytetyzacji poprawek oraz lepszego zrozumienia ich powierzchni ataku (tzw. Attack Surface).

SOURCES:IBM