Společnost Sophos vydala svou výroční zprávu Sophos Threat Report pro rok 2024. Letošní studie podrobně popisuje „Kyberkriminalitu na hlavní obchodní třídě“ a největší hrozby, kterým malé a středně velké podniky (SMB) čelí.
Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery – tedy malware, který útočníci používají ke krádeži dat a přihlašovacích údajů. Útočníci následně využívají tyto ukradené informace k získání neoprávněného vzdáleného přístupu, vydírání obětí, nasazení ransomwaru i k dalším činnostem.
Nekalost hledejte na dark webu
Studie analyzuje i zprostředkovatele počátečního přístupu (IAB), tedy zločince specializující se na pronikání do počítačových sítí. Jak studie uvádí, IAB využívají dark web k propagaci svých schopností proniknout právě do sítí malých a středně velkých podniků nebo prodávají hotové přístupy do firem, jejichž obranu už prolomili.
„Hodnota ‚dat‘ jako měny mezi kyberzločinci exponenciálně vzrostla, což platí zejména pro malé a středně velké podniky, které mají tendenci používat jednu službu nebo softwarovou aplikaci pro celou svou činnost,“ vysvětluje Christopher Budd, ředitel expertního výzkumného týmu Sophos X-Ops.
„Řekněme například, že útočníci nasadí do sítě svého cíle infostealer, který ukradne přihlašovací údaje a následně získá heslo k účetnímu softwaru společnosti. Útočníci by pak mohli získat přístup k finančním údajům cílové společnosti, včetně možnosti převést finanční prostředky na své vlastní účty,“ upozorňuje.
Podle Budda existuje důvod, proč více než 90 % všech kybernetických útoků nahlášených společnosti Sophos v roce 2023 zahrnovalo krádež dat nebo přihlašovacích údajů, ať už prostřednictvím ransomwarových útoků, datových úniků, neoprávněného vzdáleného přístupu nebo prosté krádeže dat.
Roste počet vzdáleného šifrování
Ačkoli se počet ransomwarových útoků na malé a středně velké podniky podle Sophosu stabilizoval, stále se v tomto segmentu jedná o největší kybernetickou hrozbu. Z případů napadení malých a středně velkých podniků byl nejčastěji útočícím ransomwarovým gangem LockBit.
Na druhém a třetím místě se umístily skupiny Akira a BlackCat. Malé a středně velké podniky zkoumané v rámci této studie čelily také útokům staršího a méně známého ransomwaru jako BitLocker nebo Crytox.
Podle studie mění ransomwaroví útočníci svoji taktiku. To zahrnuje využití vzdáleného šifrování a zacílení na poskytovatele řízených služeb (MSP). Mezi lety 2022 a 2023 počet ransomwarových útoků, které zahrnovaly vzdálené šifrování, kdy útočníci používají nespravované zařízení v sítích organizací k šifrování souborů v jiných systémech v rámci sítě, vzrostl o 62 %.
V uplynulém roce navíc tým MDR společnosti Sophos zasahoval v pěti případech napadení malých podniků prostřednictvím zneužití softwaru pro vzdálené monitorování a správu (RMM) jejich poskytovatele spravovaných služeb.
Sociální inženýr na druhé straně linky
Podle studie společnosti Sophos byly útoky na firemní e-maily (BEC, Business Email Compromise) po ransomwaru druhým nejčastějším typem útoků, které tým Sophos IR v roce 2023 řešil.
Útoky typu BEC a další kampaně sociálního inženýrství jsou stále sofistikovanější. Namísto pouhého zaslání e-mailu se škodlivou přílohou se nyní útočníci snaží své cíle spíše zaujmout zasláním celé série konverzačních e-mailů nebo jim dokonce zatelefonují.
Ve snaze vyhnout se odhalení tradičními antispamovými nástroji nyní útočníci experimentují s novými formáty škodlivého obsahu, vkládají obrázky obsahující škodlivý kód nebo zasílají škodlivé přílohy ve formátu aplikace OneNote či v archivačních formátech.
V jednom z případů, které Sophos vyšetřoval, poslali útočníci dokument ve formátu PDF s rozmazanou a nečitelnou miniaturou „faktury“. Tlačítko pro stažení pak obsahovalo odkaz na škodlivou webovou stránku.
Zdroj: Sophos
