Microsoft: Опасностите се увеличават

2020 година без съмнение ще бъде запомнена с пандемията COVID-19 (коронавирус). Докато някои групи хакери са използвали COVID-19 като тема за привличане и заразяване на потребители, тези операции са само част от общата екосистема на зловредния софтуер, според проучването на Microsoft "Digital Digital Defense". Пандемията изглежда е изиграла минимална роля в тазгодишните атаки на зловреден софтуер.

опасностите

Фишингът на имейли в корпоративния сектор продължава да расте и се превърна в доминиращ вектор. Повечето фишинг примамки са фокусирани върху Microsoft и други доставчици на SaaS, а първите 5 най-фалшиви марки включват Microsoft, UPS, Amazon, Apple и Zoom.

Microsoft заяви, че е блокирала над 13 милиарда злонамерени и подозрителни имейли през 2019 г. Това включва повече от милиард URL адреса, които са създадени специално с цел стартиране на фишинг атака срещу референции.

Успешните фишинг операции често се използват като първата стъпка в измамите с бизнес имейл компромис (BEC). Според Microsoft измамниците имат достъп до имейл входящата поща на изпълнителен директор, следят комуникациите по имейл и след това се намесват, за да подлъжат бизнес партньорите на хакнатия потребител да плащат сметки за фалшиви банкови сметки. Според Microsoft най-често атакуваните акаунти в измами на BEC са тези за членове на борда и служители на счетоводството и заплатите.

Но Microsoft също така казва, че фишингът не е единственият път към тези акаунти. Хакерите започват да използват атаки за повторно използване на пароли и за пръскане на пароли срещу наследени имейл протоколи като IMAP и SMTP. Тези атаки са особено популярни през последните месеци, защото позволяват на нападателите да заобиколят решенията за многофакторно удостоверяване (MFA), тъй като влизането през IMAP и SMTP не поддържа тази функция.

Освен това Microsoft заявява, че има и групи за киберпрестъпност, които все по-често злоупотребяват с публични облачни услуги, за да съхраняват артефакти, които ще бъдат използвани в техните атаки, вместо да използват собствените си сървъри. В допълнение, групите сменят домейни и сървъри много по-бързо в наши дни, главно за да не бъдат открити и да останат под радара.

Несъмнено най-голямата заплаха за киберпрестъпността през последната година са бандите за рансъмуер. Microsoft заяви, че инфекциите с откуп с ракети са основната причина за мерките за реагиране при инциденти (IR), предприети от октомври 2019 г. до юли 2020 г.

И сред тези банди за откуп, групите, известни като "ловци на големи игри" и "искания за откуп на хора", озадачават Microsoft най-много. Те са групи, насочени към избрани мрежи, принадлежащи на големи корпорации или правителствени организации, защото знаят, че ще получат по-високи плащания за откуп.

Повечето от тези групи или работят, използвайки инфраструктурата за злонамерен софтуер, предоставена от други групи за киберпрестъпност, или чрез самостоятелно търсене в Интернет за новооткрити уязвимости. В повечето случаи групите получават достъп до система и остават неоткрити, докато не са готови да стартират своите атаки.

„Нападателите се възползваха от кризата с COVID-19, за да съкратят времето си в системата на жертвата - чрез компрометиране на данните, филтрирането им и в някои случаи бързо изискване на откуп - очевидно с убеждението, че огнището ще увеличи готовността за плащане“ според Microsoft.

„В някои случаи кибер престъпниците успяха да стигнат от първото проникване до откуп за цялата мрежа за по-малко от 45 минути.“

Друга важна тенденция е фактът, че през последните месеци веригите за доставки са все по-насочени, а не директно атакуват дадена цел.

Това позволява на актьора на заплаха да хакне дадена цел и след това да използва собствената й инфраструктура, за да атакува всички нейни клиенти, или един по един, или всички едновременно.

„Чрез ангажимента си да помага на клиенти, които са били жертви на пробиви в киберсигурността, екипът на Microsoft за откриване и реагиране отчете нарастване на атаките срещу веригата за доставки между юли 2019 г. и март 2020 г.“, заяви Microsoft.

Microsoft обаче отбеляза, че макар да е имало "увеличение, атаките по веригата на доставки са били само относително малък процент от общото внедряване на DART".

Това обаче не намалява значението на защитата на веригата за доставки от възможни заплахи, особено от мрежите на управлявани доставчици на услуги (MSP, доставчици на трети страни, които предлагат много специфична услуга и им е разрешен достъп до фирмена мрежа), IoT устройства (които често са в Инсталирана и забравена фирмена мрежа и софтуерни библиотеки с отворен код (които съставляват по-голямата част от софтуера на компанията в наши дни) се изчерпват.

Хакерски групи от чуждестранни разузнавателни агенции (известни също като APT или Advanced Persistent Threats) стават все по-активни. Microsoft заяви, че е изпратила над 13 000 съобщения за разузнавателна дейност (NSN) до своите клиенти по имейл между юли 2019 г. и юни 2020 г.

Като цяло Microsoft заключава, че престъпните групи са усъвършенствали техниките си през последната година, за да увеличат успеха на своите кампании, тъй като защитата е била в състояние да отблъсне предишните си атаки.

Платформа за сътрудничество Slack: работете ефективно - без значение къде

Преди COVID-19 отдалечената работа беше почти немислима за много компании. Днес те осъзнаха, че може да работи много добре, ако рамковите условия са правилни. В този уебинар ще научите как можете да реагирате оптимално на променените условия на работа с решението за сътрудничество Slack.