IBM opublikował raport X-Force Threat Intelligence Index dotyczący aktualnych zagrożeń dla cyberbezpieczeństwa. Globalne dane zostały przedstawione w wyjątkowym miejscu – IBM Cybersecurity Mobile Center, samowystarczalnym obiekcie o specjalnym przeznaczeniu, który może pełnić funkcję mobilnego centrum kryzysowego. Tym razem kontener posłużył jako miejsce spotkań edukacyjnych z ekspertami IBM, którzy analizowali gotowość organizacji na sytuacje kryzysowe oraz prezentowali sposoby właściwego reagowania wobec ataku na infrastrukturę cyfrową.
Odwiedzający mobilne centrum cyberbezpieczeństwa IBM podczas kongresu Impact’23 w Poznaniu mogli dowiedzieć się m.in. jakie wyzwania stoją przed firmami w związku z nowymi regulacjami w zakresie cyberbezpieczeństwa DORA i NIS2 oraz jakie strategie powinny przyjąć firmy w celu ochrony swojej infrastruktury IT i jej krytycznych zasobów.
IBM Cybersecurity Mobile Center posiada tryb automatycznego podtrzymania zasilania i własne systemy audio-wideo oraz może korzystać z łączności satelitarnej i naziemnej. Obiekt został wyposażony w klaster wirtualny, korzystający z najnowszych technologii IBM, zbudowany z wysokowydajnej macierzy IBM FlashSystem. W razie potrzeby kontener IBM może być zasilany generatorem prądu o mocy do 47kW, która mogłaby zasilić nawet kilka domów. Możliwe jest również dodanie sub-modułów komunikacyjnych, bezprzewodowych oraz przewodowych, zapewniających łączność z praktycznie dowolnego miejsca na świecie przy pomocy agregowanych łącz komórkowych lub alternatywnego kanału telekomunikacyjnego. Wszystko to w razie potrzeby tworzy samowystarczalną i bezpieczną przestrzeń do reagowania na kryzys, nawet podczas klęsk żywiołowych czy innych zdarzeń losowych.
Dodatkowo mobilne centrum IBM oferuje zabezpieczenia w postaci tłumienia pola elektromagnetycznego oraz obniżony poziom sygnatury akustycznej. Opcjonalnie jest możliwość instalacji zewnętrznego oświetlenia obiektu z masztem teleskopowym o mocy strumienia świetlnego do 60 000 lumenów, co odpowiada 60 standardowym reflektorom samochodowym. IBM Cybersecurity Mobile Center oferuje nawet 20 stanowisk pracy dla personelu operacyjnego IBM, który walczy ze skutkami ataków na infrastrukturę cyfrową.
W IBM Cybersecurity Mobile Center eksperci IBM zaprezentowali również wyniki najnowszego raportu X-Force Threat Intelligence Index, przygotowanego na podstawie danych pochodzących z miliardów źródeł, m.in. urządzeń sieciowych, stacji roboczych czy ze zgłoszeń incydentów.
Według IBM X-Force Threat Intelligence Index, najczęściej stosowaną metodą ataku było wykorzystanie luk typu backdoor, które umożliwiają zdalny dostęp do systemów. Około 67% przypadków wykorzystujących tę lukę w zabezpieczeniach było związanych z atakami ransomware, przy czym obrońcy byli w stanie te zagrożenia wykryć odpowiednio wcześnie, zanim ransomware zadziałał.
Wzrost popularności backdoorów można częściowo przypisać ich wysokiej wartości rynkowej. Zespół IBM X-Force zaobserwował, że cyberprzestępcy sprzedają backdoory nawet za 10 000 USD, podczas gdy zysk ze sprzedaży danych skradzionej karty kredytowej może być nawet mniejszy niż 10 USD.
IBM Security X-Force Threat Intelligence Index pokazuje dotychczasowe i nowe trendy oraz wzorce ataków, bazując na danych pochodzących z miliardów źródeł, m.in. urządzeń sieciowych, stacji roboczych czy ze zgłoszeń incydentów.
Główne wnioski z najnowszego raportu IBM Security:
- Najczęstszym skutkiem cyberataków w 2022 r. było wymuszenie. Dochodzi do niego w wyniku ataku typu ransomware lub poprzez nieuprawniony dostęp do służbowej poczty e-mail. Najwięcej wymuszeń odnotowano w Europie (44% zaobserwowanych przypadków), gdzie cyberprzestępcy starali się wykorzystywać napięcia geopolityczne.
- Cyberprzestępcy wykorzystują pocztę elektroniczną. W 2022 roku odnotowano znaczny wzrost prób przechwycenia korespondencji. Hakerzy podszywają się pod pracowników i wykorzystują przejęte konta e-mail do prowadzenia konwersacji. Zespół IBM X-Force zaobserwował wzrost liczby miesięcznych prób o 100% w porównaniu do danych z 2021 roku.
- Starsze Exploity są wciąż skuteczne. Ponieważ liczba podatności wzrosła osiągając kolejny rekord, stosunek liczby znanych exploitów zmniejszył się o 10 punktów procentowych od 2018 do 2022 roku. Jak wynika z raportu, starsze exploity uruchamiające znany malware jak WannaCry i Conficker wciąż funkcjonują i rozprzestrzeniają się.
Presja na wymuszenia
Cyberprzestępcy często atakują najbardziej wrażliwe branże, firmy i regiony. Schematy wymuszeń polegają na wywieraniu silnej presji psychologicznej, skłaniającej ofiary cyberataku do zapłaty. W 2022 roku branża produkcyjna, już drugi rok z rzędu, należała do najczęściej atakowanej. Zakłady produkcyjne są atrakcyjnym celem tego typu ataków, ponieważ wykazują bardzo małą tolerancję na przestoje.
Ransomware jako sposób wymuszenia jest już dobrze znaną metodą cyberprzestępców, ale opracowują oni coraz to nowsze i skuteczniejsze formy wymuszeń. Jednym z najnowszych trendów jest wykorzystywanie skradzionych danych do atakowania kolejnych ofiar, co dodatkowo zwiększa presję na zinfiltrowane organizacje. Cyberprzestępcy będą kontynuować nagabywanie docelowych ofiar, aby zwiększać zarówno potencjalne koszty jak i psychologiczny wpływ ataku. Dlatego niezwykle ważne jest, aby firmy posiadały opracowany plan reagowania na incydenty, który uwzględnia również wpływ ataku na pozostałe podmioty (np. kontrahentów) i osoby (np. klientów)
Rosnąca liczba przejmowanych wątków
Aktywność cyberprzestępców w obszarze przejmowania korespondencji e-mail wzrosła
w zeszłym roku, a liczba miesięcznych prób tego typu podwoiła się w porównaniu z danymi z 2021 r. W ciągu roku IBM X-Force wykrył, że cyberprzestępcy wykorzystywali tę taktykę do infekowania złośliwym oprogramowaniem, np. Emotet, Qakbot czy IcedID, które często prowadziło do infekcji ransomware.
Biorąc pod uwagę, że w zeszłym roku phishing był głównym źródłem cyberataków oraz gwałtownie wzrosła aktywność przejmowania wątków, staje się widoczne, że atakujący wykorzystują zaufanie użytkowników pokładane w poczcie e-mail.
Organizacje powinny więc prowadzić szkolenia dla pracowników, aby zmniejszać ryzyko związane z potencjalnymi zagrożeniami tego rodzaju.
Mind the Gap: Wykorzystywanie luk w zabezpieczeniach związane z opóźnieniami w opracowywaniu łat.
Stosunek znanych exploitów do podatności od 2018 roku spadł o 10 punktów procentowych. Cyberprzestępcy mają już dostęp do ponad 78 000 znanych exploitów, co ułatwia im wykorzystywanie starszych, wciąż niezałatanych luk w zabezpieczeniach. Przykładowo, luki w zabezpieczeniach prowadzące do infekcji WannaCry wciąż stanowią poważne zagrożenie, chociaż malware ten jest znany od 5 lat. Bazując na danych telemetrycznych MSS (Managed Security Services), od kwietnia 2022 roku zespół IBM X-Force odnotował 800% wzrost ruchu ransomware WannaCry. Ciągłe wykorzystywanie starszych exploitów pokazuje potrzebę doskonalenia i dopracowywania przez organizacje programów zarządzania podatnościami, w tym opartej na analizie ryzyka priorytetyzacji poprawek oraz lepszego zrozumienia ich powierzchni ataku (tzw. Attack Surface).
Dodatkowe wnioski z raportu:
- Phisherzy „porzucają” działania związane z danymi kart kredytowych. Liczba cyberprzestępstw nastawionych na dane kart kredytowych w kampaniach phishingowych spadła w ciągu roku o 52%. Taka zmiana pokazuje, że priorytetem dla atakujących stały się dane osobowe, które można wykorzystać do innych oszustw lub sprzedać w dark webie za wyższą cenę niż dane kart kredytowych.
- Ameryka Północna odczuła skutki ataków wymierzonych w sektor energetyczny.
Globalni gracze kontynuują próby wpływania na i tak już zaburzony rynek światowego handlu energią, w efekcie czego w 2022 roku sektor energetyczny utrzymał 4. pozycję na liście najczęściej atakowanych branż. W minionym roku północnoamerykańskie firmy z branży energetycznej były celem 46% wszystkich odnotowanych ataków na firmy energetyczne na świecie, co stanowi wzrost o 25%
w porównaniu z poziomem z 2021 r. - Azja na szczycie listy. W tym regionie odnotowano prawie jedną trzecią wszystkich ataków, na które odpowiedział IBM X-Force w 2022 roku. Tym samym Azja odnotowała więcej cyberataków niż jakikolwiek inny region. Branża produkcyjna była celem prawie połowy wszystkich incydentów, zaobserwowanych w Azji w zeszłym roku.
Raport zawiera dane zebrane przez IBM w 2022 roku w skali globalnej i dostarcza szczegółowych informacji o światowej mapie zagrożeń, celem poinformowania społeczności zajmującej się cyberbezpieczeństwem o najbardziej istotnych zagrożeniach dla wszystkich organizacji.
