Група Cisco Talos розповіла про головні події на ринку кібербезпеки у 2021 році
21 видався для групи по боротьбі з кіберзагрозами Cisco Talos Incident Response (CTIR) дуже напруженим. На тлі пандемії, що спричинила за собою низку специфічних проблем ІБ, їй довелося мати справу з коло зловмисників, що промишляють програмами-вимагачами, займаючись при цьому великими інцидентами безпеки, які торкнулися організації по всьому світу. Замість випуску звичного квартального звіту Cisco Talos повідомляє про тренди в області ІБ за весь 2021 рік:
- найбільш атакованою галуззю протягом більшої частини минулого року виявилося охорону здоров’я;
- головною загрозою минулого року стали програми-вимагачі (шифрувальники);
- найчастіше атаки починалися з компрометації додатків, що мають вихід в Інтернет, та фішингу;
- CTIR мала справу з чотирма серйозними інцидентами ІБ:
- атака на ланцюжок постачання SolarWinds;
- масове використання вразливостей Microsoft Exchange Server;
- атака хакерської групи REvil на постачальника ІТ-рішень Kaseya;
- виявлення вразливості Log4J;
- з чотирьох перерахованих поки що найбільш значним для клієнтів CTIR стали атаки, що використовували вразливості Microsoft Exchange; зараз вони не припиняються.
Основною метою зловмисників протягом практично всього 2021 була охорона здоров’я, лише восени на перше місце вийшли атаки проти локальних адміністрацій. Після лавини атак на медичні установи наприкінці 2020 р., на думку Cisco Talos, охорона здоров’я залишиться основною метою здирників і в 2021 році. В основному це обумовлено недостатніми засобами, які медзаклади виділяють на кібербезпеку, а також надзвичайно високими вимогами до відсутності простоїв (які ще більше посилилися у зв’язку з пандемією, що триває).
Серед усіх загроз у 2021 році домінували програми-здирники. У їх використанні спостерігалися два тренди: збільшення кількості зловмисників та зростання застосування комерційно доступних продуктів та програм з відкритим кодом.
Протягом 2020 та на початку 2021 року найчастіше зустрічався шифрувальник Ryuk. Потім його активність почала поступово знижуватися, і в другій половині 2021 року він практично зник. Ryuk був не єдиним здирником, чия активність помітно стихла у 2021 р. Нещодавно також припинили діяти або провели ребрендинг такі сімейства, як Darkside, BlackMatter, REvil та Maze. Можливо, що саме через спад активності здирників-гігантів узимку стався сплеск різних атак, причому жодна родина не повторювалася двічі.
Одночасно з розширенням кола зловмисників, яке спостерігалося на початку осені, зросло застосування комерційних продуктів, програм з відкритим кодом та легітимних програм та компонентів операційної системи (living-off-the-land binaries, LOLBINS). Найчастіше зустрічаються: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.
У 2021 році, як і в 2020 році, у більшості організацій реєстрація подій велася так, що в багатьох випадках встановити з точністю початковий вектор атаки не було можливим. Коли ж початковий вектор вдавалося визначити з достатньою впевненістю, на перше місце виходили фішинг та програми, що мають вихід в Інтернет.
Зростання числа успішних атак пов’язаний у тому числі з розкриттям низки великих уразливостей програмного забезпечення, використовуваного багатьма організаціями. Зокрема, це кілька вразливостей Microsoft Exchange, які призвели до необхідності проводити заходи щодо реагування на інциденти у багатьох організаціях.
У той же час, зростання кількості фішингових атак може бути пов’язане з тим, що вони є традиційним способом для початкового зараження при використанні шифрувальників, на які припадала більша частина загроз протягом 2021 р. Крім того, восени 2021 р. зросла кількість компрометацій корпоративної електронної пошти, що збільшило частку цього вектора у загальній картині.