Raport IBM: celem hakerów tożsamość użytkowników w Europie

Opublikowano przez

IBM opublikował raport 2024 X-Force Threat Intelligence Index, który potwierdza narastający globalny problem kradzieży tożsamości. Obecnie cyberprzestępcy dwukrotnie częściej wykorzystują tożsamość użytkowników w celu przeprowadzenia ataku na przedsiębiorstwa. Jak wynika z analiz IBM X-Force – jednostki IBM Consulting świadczącej usługi z zakresu cyberbezpieczeństwa – w 2023 roku cyberprzestępcy dostrzegli więcej możliwości „logowania się” niż włamywania do sieci korporacyjnych za pośrednictwem aktywnych kont, co czyni tę taktykę preferowaną wśród przestępców.

Najnowszy X-Force Threat Intelligence Index 2024 powstał w oparciu o dane pochodzące z monitorowania ponad 150 miliardów alertów bezpieczeństwa dziennie w ponad 130 krajach. Co więcej, IBM zbiera i analizuje dane z wielu źródeł, w tym z IBM X-Force Threat Intelligence, z zespołów Incident Response, X-Force Red, IBM Managed Security Services oraz danych dostarczonych z Red Hat Insights oraz Intezer.

Główne wnioski z raportu X-Force dotyczące incydentów bezpieczeństwa
w Europie:

  • Blisko 1/3 światowych ataków była wymierzona w Europę, co stanowi rekordową liczbę jaką zespół X-Force kiedykolwiek raportował w skali regionalnej.
  • Najczęściej atakowanymi krajami były Wielka Brytania (27%); Niemcy (15%), Dania (14%), Portugalia (11%), Włochy (8%) i Francja (8%).
  • W całej Europie zespół X-Force zaobserwował 66 proc. wzrost (r/r) ataków spowodowanych użyciem aktywnych kont.
  • Najsłabszymi ogniwami organizacji z Europy były tożsamości użytkowników i wiadomości e-mail – nadużywanie aktywnych kont (30%) i phishing (30 proc.) stanowiły najczęstszą przyczynę ataków w regionie.
  • Najczęściej obserwowanym działaniem, odpowiadającym za 44% incydentów, było wykorzystanie złośliwego oprogramowania (malware). Co istotne, to Europa doświadczyła największej liczby ataków ransomware na świecie (26%).
  • Trzy główne skutki ataków na organizacje z Europy to zbieranie danych uwierzytelniających (28%), wymuszenia (24%) i wyciek danych (16%).
  • W zestawieniu najczęściej atakowanych branż, produkcja przesunęła się z drugiego (2022) na miejsce pierwsze (28% incydentów).
  • Drugie miejsce wśród najczęściej atakowanych branż zajęły usługi profesjonalne, biznesowe i konsumenckie (25% incydentów), a na dwóch kolejnych miejscach uplasowały się sektory finansów i ubezpieczeń (16%) oraz energetyczny (14%).
  • Łącznie w Europie najwyższy odsetek incydentów miał miejsce w sektorze energetycznym (43%) oraz w finansach i ubezpieczeniach (37%).

 

Dane dotyczące incydentów bezpieczeństwa na terenie UE pokazują, że:

  • Prawie 70% ataków wymierzonych w organizacje z Europy, na które zareagował X-Force, wystąpiło w państwach członkowskich UE.
  • Blisko 74% zaobserwowanych ataków dotyczyło infrastruktury krytycznej.
  • Złośliwe oprogramowanie było głównym narzędziem do przeprowadzenia ataków (40% incydentów). Na kolejnych miejscach znalazło się wykorzystanie legalnych narzędzi (26%) i uzyskanie dostępu do serwerów (15%). Ransomware było głównym rodzajem złośliwego oprogramowania, wykorzystywanym w 26% ataków.

 

Globalny kryzys związany z wykradaniem tożsamości może się pogłębić

Wykorzystywanie aktywnych kont stało się najłatwiejszą ścieżką dla cyberprzestępców, z miliardami danych uwierzytelniających dostępnych w Dark Webie. W 2023 roku zespół X-Force zaobserwował, że atakujący coraz częściej inwestują w operacje mające na celu pozyskanie tożsamości użytkowników na całym świecie. Dostrzeżono 266% wzrost udziału złośliwego oprogramowania wykradającego informacje, zaprojektowanego
w celu kradzieży danych osobowych, takich jak e-maile, dane uwierzytelniające mediów społecznościowych i aplikacji do przesyłania wiadomości, dane bankowe, dane portfela kryptowalutowego i tym podobne.

„Łatwa ścieżka” dla atakujących jest trudniejsza do wykrycia, co wywołuje kosztowną reakcję ze strony przedsiębiorstw. Według X-Force, poważne incydenty spowodowane przez atakujących, korzystających z aktywnych kont, wiązały się z prawie 200% bardziej złożonymi środkami reagowania przez zespoły bezpieczeństwa niż przeciętny incydent – członkowie takich zespołów musieli odróżnić legalną i złośliwą aktywność użytkowników w sieci. Raport IBM Cost of a Data Breach, dotyczący kosztów naruszenia danych w 2023 roku wykazał, że incydenty bezpieczeństwa spowodowane kradzieżą lub naruszeniem danych uwierzytelniających wymagały około 11 miesięcy pracy w celu wykrycia i odzyskania danych – jest to najdłuższy czas reakcji na zagrożenie
w porównaniu z jakikolwiek innym wektorem zainfekowania.

Skalę i zasięg aktywności nakierowanych na użytkowników w internecie pokazał przykład forum cyberprzestępców, zamkniętego przez FBI i europejskie organy ścigania w kwietniu 2023 roku. Zawierało ono dane logowania ponad 80 milionów kont użytkowników. Zagrożenia oparte na tożsamości będą prawdopodobnie nadal rosły, ponieważ cyberprzestępcy wykorzystują generatywną sztuczną inteligencję do optymalizacji swoich ataków. Już w 2023 roku zespół X-Force zaobserwował ponad 800 000 postów na temat sztucznej inteligencji i GPT na forach Dark Webu, co potwierdza, że innowacje przyciągają uwagę cyberprzestępców.

IBM: mobilne centrum cyberbezpieczeństwa i raport X-Force Threat Intelligence Index

Główne wnioski z globalnej części raportu IBM

Ataki na infrastrukturę krytyczną ujawniają branżowe „faux pas”. W przypadku prawie 85% ataków na sektory krytyczne, zagrożenie można było złagodzić za pomocą poprawek, uwierzytelniania wieloskładnikowego lub zasad przyznawania wyłącznie niezbędnych uprawnień. Zatem to, co specjaliści ds. bezpieczeństwa historycznie określali jako „podstawowe bezpieczeństwo”, może okazać się trudniejsze do osiągnięcia.

      • Na świecie prawie 70% ataków, na które zareagował X-Force, było skierowanych przeciwko organizacjom odpowiedzialnym za infrastrukturę krytyczną, co jest alarmującym odkryciem, które pokazuje, że cyberprzestępcy zakładają, że wartościowe cele wymagają poświęcenia czasu, aby zrealizować swoje założenia.
      • Prawie 85% ataków, na które X-Force zareagował w tym sektorze, było spowodowanych wykorzystaniem aplikacji publicznych, wiadomości phishingowych oraz użyciem aktywnych kont. Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury DHS CISA stwierdziła, że w 2022 roku większość udanych ataków na agencje rządowe, organizacje infrastruktury krytycznej i organy rządowe na szczeblu stanowym wiązało się
        z wykorzystaniem aktywnych kont. Podkreśla to potrzebę częstego testowania przez organizacje swoich środowisk pod kątem potencjalnych zagrożeń i opracowywania planów reagowania na incydenty.

Grupy zajmujące się oprogramowaniem ransomware przechodzą na uproszczony model biznesowy.  Liczba ataków ransomware na przedsiębiorstwa w ubiegłym roku zmniejszyła się o prawie 12%, ponieważ większe organizacje rezygnują z płacenia i odszyfrowywania na rzecz odbudowy swojej infrastruktury. Wraz z rosnącym sprzeciwem, który prawdopodobnie wpłynie na oczekiwania przestępców w zakresie przychodów z wymuszeń opartych na szyfrowaniu, zaobserwowano, że grupy, które wcześniej specjalizowały się w oprogramowaniu ransomware, przestawiają się na wykradanie informacji.

ROI z ataków na generatywną sztuczną inteligencję jeszcze nie zostało osiągnięte. Generatywna AI to kolejny istotny obszar wymagający zabezpieczeń. Analizy X-Force przewidują, że gdy technologia generatywnej AI zbliży się do 50% udziału w rynku lub gdy rynek skonsoliduje się do trzech lub mniej technologii, spowoduje to dojrzałość sztucznej inteligencji jako obszaru ataku, mobilizując cyberprzestępców do dalszych inwestycji w nowe narzędzia.

      • Aby cyberprzestępcy mogli uzyskać zwrot z inwestycji ze swoich działań (ROI), wybierane technologie jako cel ataków muszą być wszechobecne w większości organizacji na świecie. Tak, jak dotychczasowe czynniki technologiczne sprzyjały działalności cyberprzestępczej – co zaobserwowano w przypadku oprogramowania ransomware i dominacji rynkowej Windows Server, naruszeń biznesowej poczty email (BEC) i dominacji Microsoft 365 lub cryptojackingu i konsolidacji rynku IaaS – ten wzorzec najprawdopodobniej w najbliższym czasie rozszerzy się na sztuczną inteligencję.
      • Chociaż generatywna AI znajduje się obecnie na etapie przed wprowadzeniem na rynek masowy, niezwykle ważne jest, aby przedsiębiorstwa zabezpieczyły swoje modele AI, zanim cyberprzestępcy zwiększą swoją aktywność. Firmy powinny również zdawać sobie sprawę, że istniejąca infrastruktura jest furtką do ich modeli sztucznej inteligencji, która nie wymaga od atakujących nowych taktyk. Podkreśla to potrzebę holistycznego podejścia do bezpieczeństwa w erze generatywnej sztucznej inteligencji, zgodnie z ramami IBM Framework for Securing Generative AI. 

Co dalej z atakami phishingowymi? Pomimo tego, że ataki phishingowe pozostały głównym wektorem infekcji, od 2022 roku zaobserwowano ich 44% spadek. Jednak biorąc pod uwagę, że sztuczna inteligencja jest w stanie zoptymalizować taki atak, a badania X-Force wskazują, że sztuczna inteligencja może przyspieszyć ataki o prawie dwa dni, ten wektor infekcji pozostanie preferowanym wyborem dla cyberprzestępców.

Każdy jest podatny na ataki. Analizy RedHat Insights wykazały, że 92% klientów ma co najmniej jedną podatność CVE ze znanymi metodami wykorzystania, nieusuniętymi w ich środowisku w momencie skanowania, podczas gdy 80% z wykrytych w 2023 roku dziesięciu największych luk w systemach, otrzymało „wysoki” lub „krytyczny” poziom.

„Kerberoasting” się opłaca. X-Force zaobserwował 100% wzrost liczby ataków typu „kerberoasting”, w których atakujący próbują podszywać się pod użytkowników w celu eskalacji uprawnień poprzez nadużywanie ticketów Microsoft Active Directory.

Błędne konfiguracje zabezpieczeń. Testy X-Force Red wskazują, że błędne konfiguracje zabezpieczeń stanowiły 30% wszystkich zidentyfikowanych zagrożeń, odnotowując ponad 140 sposobów, w jakie cyberprzestępcy mogą je w praktyce wykorzystać.

 

Na podstawie przeprowadzonych badań, IBM X-Force opracował następujące rekomendacje dla przedsiębiorstw:

    • Zmniejsz rozmiar szkód – organizacje powinny rozważyć wdrożenie rozwiązań ograniczających negatywne konsekwencje incydentu związanego z bezpieczeństwem danych, poprzez ograniczenie potencjalnego wpływu incydentu, biorąc pod uwagę naruszenie bezpieczeństwa poszczególnych użytkowników, urządzeń lub danych. Może to obejmować wdrożenie najmniej uprzywilejowanej struktury, segmentację sieci i strukturę tożsamości, która rozszerza nowoczesne możliwości bezpieczeństwa oraz wykrywania i reagowania na przestarzałe aplikacje i systemy.
    • Przetestuj swoje środowiska pod kątem wystąpienia skrajnych warunków i przygotuj plan — zatrudnij hakerów, którzy przeprowadzą testy środowiska i zidentyfikują słabe punkty, które cyberprzestępcy mogliby wykorzystać, aby uzyskać dostęp do sieci i przeprowadzić ataki. Kluczem do skrócenia czasu reakcji, naprawy i przywrócenia systemu po ataku jest także posiadanie planów reagowania na incydenty, dostosowanych do środowiska. Plany te powinny być regularnie sprawdzane i uwzględniać reakcję obejmującą całość organizacji, włączać interesariuszy spoza IT oraz testować komunikację między zespołami technicznymi, a kierownictwem wyższego szczebla.
    • Bezpiecznie wdrażaj sztuczną inteligencję – organizacje powinny skupić się na następujących założeniach, aby wdrożyć rozwiązania z zakresu sztucznej inteligencji: zabezpieczyć dane szkoleniowe stanowiące podstawę sztucznej inteligencji, zabezpieczyć modele oraz wykorzystanie modeli i wnioskowanie z nich. Niezwykle istotne jest także zabezpieczenie szerszej infrastruktury powiązanej z modelami sztucznej inteligencji. Firma IBM wprowadziła niedawno Framework for Securing Generative AI – kompleksowe ramy zabezpieczania generatywnej AI, aby pomóc organizacjom w ustaleniu priorytetów zabezpieczeń w oparciu o najwyższe ryzyko i potencjalny wpływ.

Źródło i prawa

2024 X-Force Threat Intelligence Index