Microsoft Security Team opublikował drugą edycję raportu Cyber Signals, w której zarysował obecne trendy w obszarze security i podzielił się wglądami zebranymi z 43 bilionów sygnałów bezpieczeństwa i od 8500 ekspertów bezpieczeństwa z firmy Microsoft. Na szczególną uwagę zasługuje rozwój Ransomware-as-a-Service (RaaS).
Ransomware-as-a-Service (RaaS) to układ między operatorem, który opracowuje i utrzymuje infrastrukturę złośliwego oprogramowania i ataków niezbędną do zasilania operacji wymuszeń a "partnerami", którzy logują się, aby wdrożyć payload szyfrujący pliki i żądający okupu na urządzeniu ofiary. Partnerzy kupują wstępny dostęp od brokerów lub listy podatnych organizacji, np. posiadających ujawnione dane uwierzytelniające lub już backdoory w swoich sieciach. Cyberprzestępcy wykorzystują te przyczółki jako platformę startową do wdrażania ransomware. RaaS to technika ataku umożliwiająca lepsze ukrycie osób, które za nim stoją. A ponieważ operatorzy sprzedają dostęp każdemu chętnemu, to ataki prowadzone są nawet przez przestępców bez dogłębnej wiedzy technicznej czy własnych narzędzi.
Zdaniem ekspertów z Microsoft rozwój RaaS drastycznie obniża próg wejścia dla atakujących. Ostrzegają oni również, że jeśli dane uwierzytelniające wyciekną i podatności w firmowej sieci staną się znane dla hakerów, atakujący mogą tworzyć łańcuchy ataków, umożliwiając sobie i innym czerpanie korzyści. Oczywiście można temu zapobiec. Wiele firm uważa, że implementacja zaawansowanych protokołów bezpieczeństwa jest zbyt kosztowna. MST przekonuje jednak, że wzmocnienie zabezpieczeń w rzeczywistości prowadzi do oszczędności: nie tylko systemy będą lepiej chronione, ale również firma wyda mniej na działania naprawcze, nie mówiąc już o ewentualnym płaceniu okupu. Raport powołuje się na konkretne dane:
Firmy doświadczają wzrostu zarówno liczby, jak i zaawansowania cyberataków. W raporcie FBI "Internet Crime Report" z 2021 r. wykazano, że koszt cyberprzestępczości w Stanach Zjednoczonych wyniósł ponad 6,9 miliarda dolarów. European Union Agency for Cybersecurity (ENISA) informuje, że w okresie od maja 2021 r. do czerwca 2022 r. cyberprzestępcy zajmujący się ransomware kradli około 10 terabajtów danych miesięcznie, przy czym 58,2% skradzionych plików zawierało dane osobowe pracowników.
Microsoft wskazał też główne podatności ułatwiające ataki ransomware. Po pierwsze, możemy używać popularnych aplikacji w jednym celu, ale nie znaczy to, że przestępcy nie mogą uzbroić jej w innym celu. Zwykle "przestarzałe" konfiguracje oznaczają, że aplikacja jest w swoim domyślnym stanie, dającym do niej dostęp każdemu użytkownikowi z całej firmy. Po drugie, użytkownicy często korzystają z niewłaściwie skonfigurowanych usług chmurowych, opierają się na zawodnym oprogramowaniu chroniącym i wpuszczają ransomware poprzez domyślne ustawienia makr.
Z raportem Cyber Signals August 2022 można zapoznać się tutaj.
341f31d.png)