Отчет CrowdStrike о глобальных угрозах 2024 года: 6 ключевых выводов

Основные моменты из отчета CrowdStrike за 2024 год: Атаки с использованием личных данных и социальной инженерии по-прежнему занимают центральное место. С 2022 по 2023 год количество вторжений в облачную среду увеличилось на 75%. Эксплуатация связей со сторонними организациями позволяет злоумышленникам поразить сотни целей. В 2023 году CrowdStrike добавила 34 новых субъекта угроз. Злоумышленники взламывают сети с большей скоростью. Злоумышленники нацелены на периферийные сети.

Новый отчет CrowdStrike о глобальных угрозах за 2024 год раскрыли последние тенденции кибератак и выделили основные темы, интересующие предприятия.

Экосистема кибератак продолжает расти: в 2023 году CrowdStrike наблюдала 34 новых субъекта угроз. Злоумышленники все чаще нацеливаются на облачные среды, в основном по финансовым мотивам. Тем не менее, в некоторых случаях это позволяет злоумышленникам получить доступ к локальным серверам.

Часто используются атаки на цепочки поставок, поскольку эти атаки позволяют злоумышленнику легко поразить несколько целей. Организации, работающие в технологическом секторе, также подвергаются уникальному риску от этих атак, поскольку почти каждая компрометация доверительных отношений возникает в результате вторжений в организации, предоставляющие коммерческое программное обеспечение. Под удар также попадают продукты с истекшим сроком эксплуатации и неуправляемые устройства на сетевой периферии.

1. Атаки с использованием личных данных и социальной инженерии по-прежнему занимают центральное место.

Хотя фишинг по-прежнему является действенным методом получения учетных данных сотрудников целевых организаций, для проведения атак также используются другие аутентификационные данные. Независимо от мотивации кибератак, атаки с использованием личных данных и социальной инженерии по-прежнему занимают центральное место.

Например, в 2023 году злоумышленник FANCY BEAR провел фишинговые кампании и разработал специальный набор инструментов для сбора учетных данных от Yahoo! Пользователи почты и веб-почты ukr.net. В наборе инструментов использованы Браузер в браузере и добавлены возможности перехвата многофакторной аутентификации для сбора одноразовых паролей, используемых при аутентификации.

SCATTERED SPIDER использовал SMS-фишинг (улыбающийся) и голосовой фишинг (пожелания), чтобы получить учетные данные. А злоумышленник воспользовался предыдущими вторжениями в телекоммуникационные организации, чтобы запустить замена SIM-карты операции над целевыми сотрудниками; как только замена SIM-карты активна, злоумышленник может напрямую получать SMS-сообщения с OTP-кодами. Кроме того, злоумышленник часто использовал резидентные прокси-серверы, чтобы обойти обнаружение на основе физического местоположения цели.

Ключи и секреты API также становятся мишенью злоумышленников — их владение позволяет киберпреступнику сохранять неограниченный доступ до тех пор, пока ключи или секреты API не будут изменены. Сеанс cookie и кража токенов также использовались злоумышленниками в 2023 году.

Кроме того, злоумышленники крадут или подделывают билеты Kerberos, чтобы получить доступ к зашифрованным учетным данным, которые можно взломать в автономном режиме. CrowdStrike наблюдал огромное увеличение количества атак Kerberoasting на 583%.

2. Вторжения в облачную среду увеличились на 75%.

CrowdStrike отметила, что вторжения в облачную среду увеличились во всем мире на 75% с 2022 по 2023 год (Рисунок А).

В анализе CrowdStrike команда разделяет случаи, связанные с облаком (т. е. случаи, когда злоумышленник знает об облачной среде и использует ее) и случаи, не зависящие от облака (т. е. злоумышленник не замечает облачную среду или не замечает ее). используй это).

С 2022 по 2023 год количество случаев, связанных с облаком, увеличилось на 110%, а количество случаев, не связанных с облаком, увеличилось на 60%.

Киберпреступники с финансовой мотивацией наиболее активно атакуют облачные среды; они ответственны за 84% всех вторжений с использованием облачных технологий, тогда как целевые вторжения составляют лишь 16%.

Злоумышленники могут использовать вторжения в облачную среду для нападения на корпоративные сети. Например, злоумышленник SCATTERED SPIDER часто использует среду Microsoft 365 жертвы для поиска инструкций VPN, прежде чем использовать VPN для доступа и горизонтального перемещения внутри внутренней сети целевой организации.

3. Эксплуатация связей со сторонними организациями облегчает злоумышленникам поражение сотен целей.

Согласно отчету CrowdStrike, в 2023 году целевые злоумышленники постоянно пытались использовать доверительные отношения для получения доступа к организациям из разных вертикалей и регионов.

Эти атаки имеют для злоумышленников интересную окупаемость инвестиций: компрометацию третьей стороны, предоставляющей ИТ-услуги, или третьей стороны, которая является частью цепочка поставок программного обеспечения может привести к сотням или тысячам последующих целей. Эти атаки также могут более эффективно помочь злоумышленникам, нацеленным на защищенную организацию.

Например, JACKPOT PANDA использовал зараженный трояном установщик CloudChat, популярного китайского чат-приложения, часто используемого в игровых сообществах, которое в конечном итоге заразило пользователей вредоносным ПО под названием XShade.

В другом случае неопознанный злоумышленник взломал индийского поставщика программного обеспечения информационной безопасности, чтобы распространить вредоносное ПО через законный процесс обновления программного обеспечения.

По мнению CrowdStrike, компрометация доверительных отношений будет продолжать привлекать целевых участников вторжений в ближайшем будущем. Организации, работающие в технологическом секторе, подвергаются более высокому риску, поскольку они предоставляют свои услуги множеству организаций по всему миру.

4. В 2023 году CrowdStrike добавила 34 новых злоумышленника.

В течение 2023 года CrowdStrike добавила 34 новых субъекта угроз, которых они также называют противниками, к своему списку из 232 субъектов. Помимо этих известных злоумышленников, CrowdStrike отслеживает более 130 кластеров активной и вредоносной активности.

На специализированных сайтах по утечке данных число жертв, подвергшихся воздействию, увеличилось на 76% по сравнению с 2022 годом, в результате чего общее число жертв в 2023 году достигло 4615. Недавно появившиеся Охота на крупную дичь игроки являются одним из факторов, которые увеличили число жертв, в дополнение к росту существующих операций противника и крупномасштабных кампаний, таких как многочисленные операции злоумышленников Graceful Spider. Этот злоумышленник воспользовался тремя уязвимостями нулевого дня для сбора данных от сотен жертв по всему миру.

5. Злоумышленники быстрее компрометируют сети.

Получение первоначальной точки опоры в целевой сети обычно является лишь первой фазой атаки; как только они проникнут в сеть, злоумышленникам необходимо вырваться из первого скомпрометированного устройства и переместиться в другие части сети, чтобы достичь своих целей.

В период с 2022 по 2023 год среднее время прорыва интерактивных вторжений в электронную преступность сократилось с 84 минут до 62 минут, при этом самое быстрое время прорыва составило 2 минуты и 7 секунд.

В примере, предоставленном CrowdStrike, злоумышленник сбросил законные инструменты через 31 секунду после того, как вторжение в систему начало выполнять разведывательную операцию в сети и получать системную информацию. Затем злоумышленник удалил дополнительные файлы, и в течение 3 минут были добавлены дополнительные инструменты, включая программы-вымогатели (Рисунок Б).

Согласно отчету, злоумышленники также выигрывают время, используя меньше вредоносного ПО и более эффективные средства, такие как использование украденных учетных данных и уязвимостей доверительных отношений. В настоящее время на деятельность, свободную от вредоносного ПО, приходится 75% всех обнаружений в 2023 году по сравнению с 71% в 2022 году и менее 62% до 2021 года. Успех атак с использованием личных данных и покупка действительных учетных данных у брокеры начального доступа объясните эту тенденцию к использованию меньшего количества вредоносного ПО.

6. Злоумышленники нацелены на периферийные сети.

Из-за более широкого использования датчиков обнаружения и реагирования на конечных точках злоумышленники адаптировали свою тактику эксплуатации для первоначального доступа и горизонтальных перемещений, нацеливаясь на периферию сети (Рисунок С).

Некоторые устройства не обязательно контролируются решениями безопасности внутри корпоративной сети. В частности, устройства пограничных шлюзов часто основаны на устаревшей архитектуре и, следовательно, уязвимы для ряда уязвимостей, которыми могут воспользоваться злоумышленники.

Например, уязвимости в межсетевых экранах и платформах VPN Циско, Цитрикс и F5 в 2023 году. Маршрутизаторы, мобильные телефоны или NAS/резервное хранилище также могут оказаться под ударом.

CrowdStrike подчеркнул еще одну тенденцию, наблюдаемую в 2023 году: злоумышленники сосредоточили внимание на использовании продуктов с истекшим сроком эксплуатации. Эти продукты, которые больше не обновляются и часто не позволяют развертывать современные решения безопасности, становятся мишенью злоумышленников, которые активно разрабатывают эксплойты для злоупотребления этими продуктами.

ВИДЕТЬ: Маршрутизаторы, нацеленные на ботнет-атаки: сигнал тревоги для защиты оборудования удаленных сотрудников

Рекомендации по снижению этих рисков кибербезопасности

По мнению CrowdStrike, важно внедрить MFA, устойчивый к фишингу, и распространить его на наследие и протоколы, а также обучать команды социальной инженерии.

Необходимо инициировать программы повышения осведомленности пользователей для понимания методов фишинга и социальной инженерии и борьбы с ними.

Необходимо внедрить технологии, которые смогут обнаруживать и сопоставлять угрозы в средах идентификации, конечных точках и облаках.

Платформы облачной защиты приложений, включающие защиту перед выполнением, защиту во время выполнения и безагентную технологию, следует отдавать предпочтение изолированным облачным инструментам безопасности, которые не обеспечивают единую платформу для мониторинга и обнаружения потенциальных угроз и уязвимостей.

Поскольку злоумышленники, как правило, используют меньше вредоносного ПО и используют действительные учетные данные и законные инструменты, защитникам трудно отличить обычную активность пользователя от действий злоумышленника; Понимание взаимосвязей между телеметрией идентификации, облака, конечной точки и защиты данных является обязательным для этой задачи. Необходимо внедрить консолидированную платформу безопасности, обеспечивающую полную видимость в одном месте.

Кроме того, защитникам следует уделять первоочередное внимание исправлению уязвимых продуктов и избавлению от продуктов EOL.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.