Společnost Sophos zveřejnila výroční studii Threat Report: Cybercrime on Main Street 2025, v níž experti analyzovali telemetrická data nashromážděná v roce 2024 z řešení společnosti Sophos, případů reakce na incidenty a služeb typu MDR.
Podle studie zůstává největší hrozbou ransomware, zejména pro malé a středně velké podniky, a těží především ze zastaralých nebo špatně nakonfigurovaných síťových zařízení, která jsou pro kyberzločince hlavní vstupní branou.
Ransomwarové útoky podle Sophosu tvořily v roce 2024 přibližně 70 % případů řešených týmem Sophos Incident Response u zákazníků z řad malých firem, a více než 90 % mezi středně velkými společnostmi s 500 až 5 000 zaměstnanci.
Digitální odpad na perimetru sítě
Kompromitovaná zařízení na okraji sítě – firewally, zařízení pro virtuální privátní sítě a další přístupová zařízení – podle zjištěných údajů představovala 25 % počátečních kompromitací podnikových sítí. Skutečný počet je však pravděpodobně výrazně vyšší.
Pět nejoblíbenějších vstupních bodů pro zločince na perimetru sítě je následujících: s velkým odstupem se na první příčce umístilo zneužití VPN (19 % všech zkoumaných případů), následují kompromitace přístupových údajů (10,4 %), nástroje pro vzdálený přístup přes RDP a RDWeb (8 %), phishing (6,7 %) a jiná síťová zařízení (3 %).
„V posledních letech se útočníci cíleně zaměřují na zařízení na okrajích sítě. Problém ještě zhoršuje rostoucí počet zařízení na konci životnosti,“ hodnotí současný vývoj Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos.
Sophos tento problém nazývá „digitálním odpadem“ a jde o zastaralé produkty, které zahlcují infrastrukturu. Vzhledem k tomu, že jsou tato zařízení dostupná z internetu a jejich záplatování má často nízkou prioritu, představují pro zločince velmi atraktivní cíl pro průnik do sítí.
„Útoky na okrajová zařízení jsou součástí trendu, v rámci kterého útočníci již nepotřebují nasazovat malware na míru. Místo toho mohou zneužít podnikové systémy, zvýšit svou agilitu a skrýt se tam, kam se bezpečnostní specialisté nedívají,“ upozorňuje Gallagher.
Zranitelné nástroje pro vzdálený přístup
Z analýzy dále vyplynulo, že vícefaktorové ověřování (MFA) čím dál častěji neposkytuje dostatečnou ochranu. Útočníci tento bezpečnostní prvek obcházejí zachycením autentizačních tokenů. Útočníci používají phishingovou platformu, aby napodobili proces ověřování a získali přihlašovací údaje oběti.
Tři nejčastější rodiny ransomwaru zaznamenané experty Sophosu v roce 2024 jsou Akira (15,3 % všech zkoumaných případů), Lockbit (13,6 %) a Fog (10,9 %). Ve všech skupinách malwaru vedou útoky typu „command-and-control“. Na prvním místě je Web Shell s 9,8 %, následuje Cobalt Strike s 8 % a Akira s 4,9 %.
Útočníci podle analýzy dávají přednost komerčním nástrojům pro vzdálený přístup. Nejčastěji zneužívanými legitimními a důvěryhodnými nástroji byly PSExec (18,3 % všech zkoumaných případů) a AnyDesk (17,4 %). Celkově se nástroje pro vzdálený přístup podílely na 34 % případů se zásahem služby reakce na incidenty nebo řízené detekce a reakce.
Sociální inženýrství se zlepšuje
Ohodnoťte výrobce a distributory!
Zkoumání v neposlední řadě odhalilo, že útočníci vylepšují své taktiky sociálního inženýrství. Stále častěji zneužívají ke kompromitaci organizací QR kódy (quishing) a kontakt po telefonu (vishing). Používají také taktiku e-mailového bombardování, která spočívá v odeslání tisíců nevyžádaných e-mailů během jedné až dvou hodin.
Platformy poskytující software formou služby (SaaS), které organizace během pandemie covidu hojně využívaly k podpoře práce na dálku a zlepšení celkové bezpečnostní situace, jsou i nadále novými způsoby zneužívány pro sociální inženýrství, počáteční kompromitaci a distribuci malwaru.
Kompromitace firemních e-mailů představuje rostoucí podíl počátečních kompromitací při kyberbezpečnostních incidentech – je využívána k šíření malwaru, krádežím přihlašovacích údajů a sociálnímu inženýrství pro různé kriminální účely.
Zdroj: Sophos
