Sofisticiranost cyber prijetnji dramatično je eskalirala, a zlonamjerni hakeri primjenjuju napredne taktike, tehnike i procedure (TTP) da iskoriste ranjivosti i izbjegnu otkrivanje, navodi Darktrace.
Alati zasnovani na pretplati kao što su Malware-as-a-Service (MaaS) i Ransomware-as-a-Service (RaaS) takođe su snizili barijeru ulasku za manje iskusne napadače, olakšavajući izvođenje složenih, višestepenih napada.
“Pejzaž prijetnji nastavlja da se razvija, ali nove prijetnje se često nadovezuju na stare temelje umjesto da ih zamjenjuju. Iako smo primijetili pojavu novih porodica zlonamjernog softvera, mnoge napade izvode uobičajeni osumnjičeni koje smo viđali u posljednjih nekoliko godina, i dalje koristeći poznate tehnike i varijante zlonamjernog softvera,” komentira Nathaniel Jones , direktor Strateške prijetnje i angažmana u Darktrace.
„Postojanost modela usluga MaaS/RaaS uz pojavu novijih prijetnji kao što je Qilin ransomware naglašava stalnu potrebu za adaptivnim sigurnosnim mjerama zasnovanim na mašinskom učenju koje mogu držati korak s krajolikom prijetnji koje se brzo razvija“, nastavio je Jones.
MaaS i dalje predstavlja značajan rizik za organizacije
Nalazi pokazuju da cyber kriminal-kao-usluga i dalje dominira okruženjem prijetnji, pri čemu Malware-as-a-Service (MaaS) i Ransomware-as-a-Service (RaaS) alati čine značajan dio zlonamjernih alata u koriste napadači. Grupe za cyber kriminal kao uslugu, kao što su Lockbit i Black Basta, pružaju napadačima sve, od unaprijed napravljenog zlonamjernog softvera do šablona za phishing e-poruke, smanjujući barijeru ulasku za cyber kriminalce s ograničenim tehničkim znanjem.
Očekuje se da će MaaS ostati preovlađujući dio okruženja prijetnji u doglednoj budućnosti. Ova postojanost naglašava prilagodljivu prirodu sojeva MaaS-a, koji su sposobni da mijenjaju svoje TTP-ove iz jedne kampanje u drugu i zaobilaze tradicionalne sigurnosne alate. Stoga je za organizacije ključno da iskoriste sigurnosne mjere vođene umjetnom inteligencijom, koje mogu otkriti anomalnu aktivnost u realnom vremenu bez oslanjanja na prethodno znanje o specifičnim taktikama i suprotstaviti se sofisticiranim i evoluirajućim MaaS prijetnjama.
Najčešće prijetnje uočene od januara do juna 2024. su:
- Malware za krađu informacija (29% ranih trijažnih istraga)
- Trojanci (15% istraživanih prijetnji)
- Trojanci za daljinski pristup ( RAT ) (12% istraživanih prijetnji)
- Botneti (6% istraživanih prijetnji)
- Utovarivači (6% istraženih prijetnji)
Izvještaj takođe otkriva pojavu novih prijetnji uz uporne. Primjetno je porast Qilin ransomwarea, koji koristi rafinirane taktike kao što je ponovno pokretanje zaraženih mašina u sigurnom načinu rada kako bi se zaobišli sigurnosni alati i otežavalo brzu reakciju timova za ljudska sigurnost.
Prema izvještaju, metode dvostruke iznude su sada preovlađujuće među vrstama ransomwarea. Kako ransomware i dalje predstavlja najveći sigurnosni problem za organizacije, Darktraceov tim za istraživanje prijetnji identificirao je tri dominantna soja ransomwarea koji utiču na kupce: Akira , Lockbit i Black Basta . Sva trojica su promatrana korištenjem metoda dvostruke iznude.
Krađa identiteta e-pošte ne pokazuje znakove usporavanja
Phishing ostaje značajna prijetnja organizacijama. Istraživači su otkrili 17,8 miliona phishing poruka e-pošte u svojoj floti korisnika između 21. decembra 2023. i 5. jula 2024. Alarmantno je da je 62% ovih e-poruka uspješno zaobišlo provjere autentičnosti, izvještavanja i usklađenosti poruka na domeni (DMARC), koje su industrijski protokol dizajniran za zaštitu email domena od neovlaštenog korištenja, a 56% je prošlo kroz sve postojeće sigurnosne slojeve.
Izveštaj naglašava kako cyber kriminalci prihvataju sofisticiranije taktike, tehnike i procedure (TTP) dizajnirane da izbegnu tradicionalne bezbjednosne parametre. Darktrace je primijetio porast broja napadača koji koriste popularne, legitimne servise i stranice trećih strana, kao što su Dropbox i Slack, u svojim operacijama kako bi se stopili s normalnim mrežnim prometom. Osim toga, došlo je do naglog porasta upotrebe mehanizama tajne komande i kontrole (C2), uključujući alate za daljinsko praćenje i upravljanje (RMM), tuneliranje i proxy usluge.
Kompromitiranje rubne infrastrukture i iskorištavanje kritičnih ranjivosti su glavna briga
Darktrace je uočio povećanje masovne eksploatacije ranjivosti u uređajima rubne infrastrukture, posebno onih koji se odnose na Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server i Palo Alto Networks PAN-OS. Ovi kompromisi često služe kao odskočna daska za dalje zlonamjerne aktivnosti.
Imperativ je da organizacije ne izgube iz vida postojeće trendove napada i CCVE – cyber kriminalci mogu pribjeći prethodnim, pretežno neaktivnim metodama kako bi prevarili organizacije. Između januara i juna, u 40% slučajeva koje je istraživao tim za istraživanje prijetnji, napadači su iskoristili zajedničke ranjivosti i izloženosti (CVE).
Izvor:Help Net Security