Firma Netskope, lider w dziedzinie SASE (Secure Access Service Edge) oraz cyberbezpieczeństwa działająca od tego roku także w Polsce, opublikowała raport analizujący skalę cyberataków na świecie w pierwszych trzech kwartałach 2023 roku wśród jej klientów. Z analizy wynika, że najbardziej aktywne są grupy cyberprzestępców z Rosji, które skupiają się na atakach mających przynieść korzyści finansowe. Natomiast hakerzy z Chin skupiają się na aktywnościach, których celem jest zakłócenia działalności czy kradzież własności intelektualnej firm i organizacji mających znaczenie w sferze geopolitycznej np. władz lokalnych, organizacji rządowych i samorządowych, banków czy instytucji sektora zdrowia. Najwięcej cyberataków przeprowadziła przestępcza rosyjska organizacja Wizard Spider. Z analizy Netskope wynika także, że najczęściej były atakowane organizacje i firmy z Australii oraz Ameryki Północnej, a Europa znalazła się na 3 miejscu.
Najbardziej aktywne grupy przestępcze
Analitycy firmy Netskope odkryli, że największe grupy cyberprzestępcze miały siedzibę głównie w Rosji, ale także w Ukrainie. Natomiast z Chin zanotowano najwięcej aktywności zwiększających zagrożenia geopolityczne. W badanym okresie czołową grupą próbującą atakować użytkowników platformy Netskope Security Cloud była organizacja Wizard Spider. Jest to grupą przestępcza, której przypisuje się stworzenie osławionego, stale ewoluującego złośliwego oprogramowania TrickBot. Inne aktywne grupy przestępcze wykorzystujące w dużej mierze oprogramowanie ransomware to między innymi TA505 czyli twórcy ransomware Clop i FIN7. Cyberataki grup motywowanych geopolitycznie są ukierunkowane na konkretne regiony i branże, których celem jest między innymi zakłócenie działań firm i organizacji lub kradzież własności intelektualnej, w przeciwieństwie do działań grup cyberprzestępców motywowanych finansowo.
Zagrożenia sektorowe i regionalne
Według ustaleń Netskope, w branżach usług finansowych i opieki zdrowotnej zaobserwowano znacznie wyższy odsetek aktywności przypisywanej grupom stanowiącym zagrożenie geopolityczne. W tych sektorach prawie połowa zaobserwowanej aktywności pochodzi od tych grup przeciwników, w przeciwieństwie do organizacji motywowanych finansowo. Natomiast w sektorach takich jak produkcja, władze centralne i samorządowe, instytucje edukacyjne oraz firmy technologiczne odnotowano mniej niż 15% aktywności pochodzącej od podmiotów motywowanych geopolitycznie, podczas gdy pozostałe zagrożenia miały podłoże finansowe.
Z perspektywy regionalnej, Australia i Ameryka Północna odnotowały najwyższy odsetek ataków ze strony podmiotów, które można zakwalifikować jako grupy przestępcze, podczas gdy inne części świata, takie jak Afryka, Azja, Ameryka Łacińska i Bliski Wschód, przodowały w atakach motywowanych geopolitycznie. Jeśli chodzi o Europę to 47% ataków pochodziło z Rosji, ponad 6% z Bliskiego Wschodu, ponad 30% z Chin, a reszta z innych regionów świata.
Najpopularniejsze techniki
Linki spearphishingowe i załączniki są jak dotąd najpopularniejszymi technikami uzyskiwania dostępu do komputerów użytkowników w 2023 r., a od sierpnia przestępcy byli trzykrotnie skuteczniejsi w nakłanianiu ofiar do pobierania załączników spearphishingowych w porównaniu z końcem 2022 roku. Chociaż poczta elektroniczna nadal jest popularnym kanałem wykorzystywanym przez hakerów, wskaźnik sukcesu jest niski ze względu na zaawansowane filtry antyphishingowe i świadomość użytkowników. Jednakże w ostatnim czasie przestępcy z powodzeniem wykorzystują osobiste konta e-mail.
Jak dotąd w 2023 r. 16 razy więcej użytkowników próbowało pobrać załącznik phishingowy z osobistej aplikacji poczty internetowej w porównaniu z administrowanymi przez firmy aplikacjami poczty internetowej. 55% złośliwego oprogramowania, które użytkownicy próbowali pobrać, zostało dostarczone za pośrednictwem aplikacji w chmurze, co czyni te aplikacje głównym narzędziem skutecznego przenoszenia złośliwego oprogramowania. Najpopularniejsza aplikacja chmurowa w przedsiębiorstwach, Microsoft OneDrive, była odpowiedzialna za ponad jedną czwartą wszystkich pobrań złośliwego oprogramowania w chmurze.
„Jeśli firmy i organizacje będą potrafiły dostrzec, kim są ich najgroźniejsi przeciwnicy i jakie są ich motywacje, będą mogły przyjrzeć się swoim mechanizmom obronnym i odpowiedzieć sobie na pytanie jakie zabezpieczenia zostały wdrożone przeciwko tym taktykom i technikom i dostosować odpowiednie strategie obronne. Jeśli firma potrafi skutecznie bronić się przed naczęściej stosowanymi technikami cyberprzestępców, to jest w stanie skutecznie stawić czoło naprawdę dużej grupie potencjalnych napastników. Tylko w takich wypadku, bez względu na to jaka grupa cyberprzestępców będzie próbowała ukraść nasze dane czy własność intelektualną, firmy i organizacje będą miały odpowiednie zabezpieczenia. „ powiedział Ray Canzanese, Threat Research Director w Netskope Threat Labs.
Kluczowe wnioski dla firm
W oparciu o te zidentyfikowane techniki, Netskope zaleca organizacjom ocenę ich zabezpieczeń w celu określenia, w jaki sposób ich strategia cyberbezpieczeństwa musi być rozwijana. Organizacje powinny być przygotowane do skutecznej obrony przed najbardziej rozpowszechnionymi technikami, takimi jak:
-
Linki i załączniki spearphishingowe – zaleca się wdrożenie zabezpieczeń antyphishingowych, które wykraczają poza pocztę elektroniczną, aby zapewnić użytkownikom ochronę przed linkami spearphishingowymi, niezależnie od tego, skąd one pochodzą
-
Złośliwe linki i pliki – należy upewnić się, że typy plików wysokiego ryzyka, takie jak pliki wykonywalne i archiwa, są dokładnie sprawdzane przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem
-
Protokoły sieciowe i eksfiltracja przez sieć C2 – należy zapewnić wykrywanie i zapobieganie atakom za pomocą sieciowych protokołów C2 przy użyciu SWG i IPS w celu identyfikacji komunikacji ze znaną infrastrukturą C2 i typowych wzorców C2.
Źródło: Netskope (fragment raportu).