Група боротьби з кіберзагрозами Cisco Talos Incident Response (CTIR) розповіла про головні події на ринку кібербезпеки в 2021 році. На тлі пандемії, яка спричинила за собою низку специфічних проблем ІБ, фахівцям з ІБ довелося мати справу зі зростаючим колом зловмисників, що промишляють програмами-вимагачами, займаючись при цьому великими інцидентами безпеки, які торкнулися організації по всьому світу.
За даними Cisco Talos, минулого року:
- найбільш атакованою галуззю протягом більшої частини 2021 р. виявилося охорону здоров'я;
- головною загрозою року стали програми-вимагачі (шифрувальники);
- найчастіше атаки починалися з компрометації додатків, що мають вихід в Інтернет, та фішингу;
- CTIR мала справу з чотирма серйозними інцидентами ІБ:
- атака на ланцюжок постачання SolarWinds;
- масове використання вразливостей Microsoft Exchange Server;
- атака хакерської групи REvil на постачальника ІТ-рішень Kaseya;
- виявлення вразливості Log4J;
- з чотирьох перерахованих поки що найбільш значним для клієнтів CTIR стали атаки, що використовували вразливості Microsoft Exchange, оскільки вони не припиняються досі.
Основною метою зловмисників протягом практично всього 2021 р. була охорона здоров'я, лише восени на перше місце вийшли атаки проти локальних адміністрацій. Переважно це обумовлено недостатніми засобами, які медустанови виділяють на кібербезпеку, а також надзвичайно високими вимогами до відсутності простоїв (які ще тільки посилилися у зв'язку з пандемією, що триває).
Серед усіх загроз у 2021 році домінували програми-здирники. У їх використанні спостерігалися два тренди: збільшення кількості зловмисників та зростання застосування комерційно доступних продуктів та програм з відкритим кодом.
Протягом 2020 та на початку 2021 р. найчастіше зустрічався шифрувальник Ryuk. Потім його активність почала поступово знижуватися, і в другій половині 2021 року він практично зник. Ryuk був не єдиним здирником, чия активність пішла на спад у 2021 р. Нещодавно також припинили діяти або провели ребрендинг такі сімейства, як Darkside, BlackMatter, REvil та Maze. Можливо, що саме через спад активності здирників-гігантів узимку стався сплеск різних атак, причому жодна родина не повторювалася двічі.
Одночасно з розширенням кола зловмисників, яке спостерігалося на початку осені, зросло застосування комерційних продуктів, програм з відкритим кодом та легітимних програм та компонентів операційної системи (living-off-the-land binaries, LOLBINS). Найчастіше зустрічаються: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.
У 2021 році, як і роком раніше, в більшості організацій реєстрація подій велася так, що в багатьох випадках встановити з точністю початковий вектор атаки не було можливим. Коли ж початковий вектор вдавалося визначити з достатньою впевненістю, на перше місце виходили фішинг та програми, що мають вихід в Інтернет.
Зростання числа успішних атак пов'язане, зокрема, з розкриттям низки великих вразливостей ПЗ, що використовується багатьма організаціями. Зокрема, це кілька проломів Microsoft Exchange, які призвели до необхідності проводити заходи щодо реагування на інциденти у багатьох організаціях.
У той же час зростання кількості фішингових атак може бути пов'язане з тим, що вони є традиційним способом для початкового зараження при використанні шифрувальників, на які припадала більша частина загроз протягом 2021 р. Крім того, восени минулого року зросла кількість компрометацій корпоративної електронної пошти що збільшило частку цього вектора у загальній картині.
На тлі стресу, викликаного роботою в умовах пандемії, і загроз з боку шифрувальників, які постійно зростають і погіршуються, групі CTIR довелося займатися чотирма серйозними інцидентами, які торкнулися організації в усьому світі:
- Грудень 2020 р. Відбувається витончена атака на ланцюжок поставок, в ході якого зловмисники отримали доступ до мереж жертв через впровадження трояна в оновлення ПЗ SolarWinds Orion. Метою атаки були численні великі підприємства та держструктури США;
- Березень 2021 CTIR займається множинними атаками, пов'язаними з низкою неусунених уразливостей Microsoft Exchange Server;
- Липень 2021 р. Група хакерів-вимагачів REvil атакує компанію Kaseya, яка розробляє ІТ-рішення для постачальників керованих послуг (managed service providers, MSP). Так як метою REvil були провайдери, які управляють ІТ-послугами замовників, атака вразила щонайменше 1500 організацій;
- Грудень 2021 р. Зловмисники починають сканувати та використовувати критичну вразливість віддаленого виконання коду у популярній бібліотеці Apache Foundation Log4j.
У 2021 р., у розпал атак програм-здирників, CTIR виступила із заявою про відсутність багатофакторної аутентифікації (БФА) як однієї з головних перешкод на шляху до забезпечення ІБ підприємства. CTIR часто стикається з інцидентами, яким можна було б запобігти при включенні БФА на критичних сервісах. Тому експерти ІБ закликають організації впроваджувати БФА усюди, де це можливо.
Джерело: https://ko.com.ua/mnogofaktornaya_autentifikaciya_vazhna_dlya_kiberzashhity_kak_nikogda_140245
Про компанію Телесфера Інтеграція.
Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу. Ми розробляємо рішення, що роблять Ваш бізнес успішним.
Основні напрямки роботи компанії:
- Побудова локальних обчислювальних мереж;
- Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
- Продаж телекомунікаційного обладнання;
- Аудит локальних обчислювальних мереж;
e-mail: office@telesphera.net
Телефон: (093) 198-11-82
КОММЕНТАРІ ДО СТАТТІ