Napadači koji su koristili ranjivosti virtuelne privatne mreže (VPN) i slabe lozinke za početni pristup doprineli su skoro 30% napada na ransomware, prema Corvus Osiguranju.
Prema izvještaju Q3, mnogi od ovih incidenata su povezani sa zastarjelim softverom ili VPN računima s neadekvatnom zaštitom. Na primjer, uobičajena korisnička imena kao što su “admin” ili “user” i nedostatak višefaktorske autentifikacije ( MFA ) učinili su račune ranjivim na automatske napade grubom silom, gdje napadači iskorištavaju javno dostupne sisteme testiranjem kombinacija ovih slabih krendicijala, često postizanje pristupa mreži uz minimalan napor.
“Napadači su fokusirani na pronalaženje puta najmanjeg otpora u posao kako bi pokrenuli napad, a u Q3 ta ulazna tačka je bio VPN”, rekao je Jason Rebholz , CISO u Corvusu. „Dok gledamo naprijed, preduzeća moraju ojačati odbranu s višeslojnim sigurnosnim pristupima koji se protežu izvan MVP-a. Danas je MFA samo ulozi za stol i mora se dopuniti sigurnim kontrolama pristupa koje mogu poduprijeti ova trenutna i buduća područja ranjivosti.”
Ransomware napadi rastu u Q3
Koristeći podatke prikupljene sa lokacija za curenje ransomware-a , Corvus je identifikovao 1.248 žrtava u drugom kvartalu, što je najveći broj koji je kompanija zabilježila u bilo kojem drugom kvartalu. Ovakav nivo aktivnosti zadržao se iu Q3, kada je bilo 1.257 napada.
40% napada Q3 može se pratiti u pet grupa: RansomHub, PLAY , LockBit 3.0, MEOW i Hunters International. Od ovih pet, RansomHub je bio najaktivniji u kvartalu, sa 195 prijavljenih žrtava (porast od 160% u odnosu na Q2), dok je aktivnost sa LockBit 3.0 naglo opala, sa 208 žrtava u Q2 na 91 u Q3.
Iako su izvori koji stoje iza mnogih od ovih napada bili relativno konsolidovani, ekosistem ransomwarea je porastao tokom ovog perioda, sa ukupno 59 grupa identifikovanih do kraja Q3. Ovo povećanje je vrijedno pažnje jer novi učesnici mogu brzo postati remetilačke sile.
Na primjer, nakon što su organi za provođenje zakona uklonili LockBit u prvom kvartalu, RansomHub, koji se pojavio u februaru 2024., brzo je popunio prazninu, postavši jedna od plodnijih i opasnijih cyber kriminalnih grupa. U 2024. godini, RansomHub je zatražio više od 290 žrtava u različitim sektorima.
U trećem tromjesečju, sektor građevinarstva ostao je najteže pogođen, sa 83 prijavljene žrtve. To je 7,8% više u odnosu na 77 napada prijavljenih u drugom kvartalu, a pokretale su ga grupe za ransomware kao što je RansomHub, koje nastavljaju ciljati infrastrukturu i srodne sektore. Zdravstvene organizacije su takođe imale značajan porast, sa 53 prijavljene žrtve, što je povećanje od 12,8% u odnosu na 42 žrtve prijavljene u Q2.
Sektor IT usluga zabilježio je blagi pad u Q3, sa 49 žrtava u odnosu na 54 u Q2. Međutim, s obzirom na sistemske rizike povezane sa napadima na IT provajdere, u smislu da napad na jednog IT provajdera može uticati na mnoga okruženja korisnika, ovaj sektor ostaje prioritet za brojne grupe ransomware-a.
Izvor:Help Net Security
