Rośnie liczba cyberataków na biznesową pocztę e-mail

Przeczytaj także: Ataki na firmową pocztę e-mail. Techniki cyberprzestępców i sposoby ochrony

Z analizy Cisco Talos wynika, że najczęstszym sposobem uzyskania początkowego dostępu było wykorzystanie skradzionych danych uwierzytelniających (29 procent przypadków). Duża liczba ataków BEC prawdopodobnie odegrała znaczącą rolę w tym, że istniejące konta były głównym wektorem ataków na firmy w minionym kwartale.

Do tego dochodzą zagrożenia związane z brakiem należytego uwierzytelniania wieloskładnikowego (MFA), które zaobserwowano w prawie połowie przypadków. MFA najczęściej było pokonywane w wyniku nierozważności pracowników – aż w 25 proc. przypadków bezpośrednią przyczyną było akceptowanie przez użytkowników nieautoryzowanych powiadomień push.

Z ustaleń zespołu Cisco Talos wynika, że najczęściej atakowaną branżą był przemysł a tuż za nim uplasował się sektor edukacyjny. Choć wyniki wskazują na kontynuację trendów z końca ubiegłego roku, kiedy wymienione sektory również były najpopularniejszymi celami cyberprzestępców, warto odnotować, że próby ataków na przemysł nasilają się - odnotowano aż 20-procentowy w porównaniu z Q4 2023. W Q1 2024 Cisco Talos zaobserwował szeroki zakres zagrożeń wymierzonych w firmy, w tym ataki motywowane finansowo. Metody były zróżnicowane - BEC i ransomware, a także ataki siłowe (brute force) wymierzone w infrastrukturę wirtualnej sieci prywatnej (VPN).

Wykorzystanie skradzionych danych uwierzytelniających było głównym zaobserwowanym wektorem ataków na sektor produkcyjny w tym kwartale, co stanowi zmianę w stosunku do poprzedniego okresu, kiedy najpopularniejsze było wykorzystywanie luk w aplikacjach publicznych.

Ransomware i phishing niezmiennie popularne wśród cyberprzestępców

W pierwszym kwartale odnotowano spadek liczby ataków ransomware, które stanowiły 17 proc. wszystkich zgłoszeń. Talos IR po raz pierwszy w tym kwartale zareagował na nowe warianty ransomware Phobos i Akira oraz na wcześniej odkryte operacje ransomware - LockBit i Black Basta.

Akira powrócił do używania szyfrowania jako dodatkowej metody wymuszeń, wdrażając teraz wielopłaszczyznową strategię ataku na maszyny z systemami Windows i Linux.

Zespół Cisco Talos odkrył również zestaw phishingowy omijający MFA o nazwie "Tycoon 2FA", który od tego czasu stał się jednym z najbardziej rozpowszechnionych narzędzi cyberprzestępców. Póki co jednak, nie pojawił się on jeszcze w żadnym ataku analizowanym przez zespół Cisco Talos.

Jak obronić się przed potencjalnymi atakami?

• Nawet w przypadku nieuwagi pracowników, uwierzytelnianie wieloskładnikowe to podstawa. Jego brak pozostaje jedną z największych przeszkód dla bezpieczeństwa przedsiębiorstw.
• Wdrożenie MFA i systemu jednokrotnego logowania może zapewnić, że tylko zaufane strony uzyskują dostęp do firmowych kont e-mail, aby zapobiec rozprzestrzenianiu się BEC.
• Rozwiązania do wykrywania i reagowania na punktach końcowych, takie jak Cisco Secure Endpoint, mogą wykrywać niebezpieczną aktywność w sieciach i maszynach organizacji.
• Atakujący często próbowali ominąć MFA w rozwiązaniach EDR, aby wyłączyć ich mechanizmy ostrzegania.
• Sygnatury Snort i ClamAV mogą blokować wiele znanych rodzin ransomware, takich jak Black Basta i Akira.