Zmiana taktyki: Roczne podsumowanie stanu cyberbezpieczeństwa w 2022 r
Pobierz pełny raport
Rok 2022 stał pod znakiem wojny, recesji i inflacji, a przerwane łańcuchy dostaw utrudniały życie i ograniczały źródła dochodu ludzi na całym świecie. Lecz trudności dotknęły nie tylko organizacje, które były zmuszone do radzenia sobie z recesją, powiększającą się luką kompetencyjną w zakresie cyberbezpieczeństwa i wypaleniem zawodowym pracowników centrum operacji zabezpieczeń (SOC). Do nowej sytuacji musieli się także przystosować cyberprzestępcy, by pomimo znacznego spadku przychodów utrzymać opłacalność swojej nielegalnej działalności.
Nasz coroczny raport o stanie stanu cyberbezpieczeństwo pokazuje, jakie obawy i zagrożenia pojawiły się i przeważały w 2022 roku. Pokazujemy w nim również, jak cyberprzestępcy, a zwłaszcza ci specjalizujący się w atakach z użyciem ransomware, wzorują się na legalnych przedsiębiorstwach w dywersyfikacji swoich portfeli i zarządzaniu wizerunkiem, a także jakie były najczęściej wykorzystywane luki w zabezpieczeniach w minionym roku.
Wobec znacznego spadku przychodów z ransomware — aż o 38% w latach 2021–2022 —cyberprzestępcy aktywnie posługujący się tego typu metodami, chcąc zapewnić sobie wyższe wpływy, weszli na wyższy poziom profesjonalizmu. W ciągu ostatniego roku widzieliśmy, że zaczęli oni naśladować działania korporacji w dywersyfikacji portfolio i kreowaniu marki, a nawet oferować profesjonalne usługi, takie jak wsparcie techniczne, by podnieść swój poziom wiarygodności i dzięki temu poprawić skuteczność ataków.
Cyberprzestępcy posługujący się metodą ransomware BlackCat wykorzystali swoje kontakty z mającymi duże doświadczenie w branży grupami oferującymi ransomware-as-a-service (RaaS), by poprawić skuteczność swoich działań.
W marcu i kwietniu 2022 roku operatorzy ransomware Cuba zaczęli oferować usługi wsparcia technicznego ofiarom, które zdecydowały się negocjować i zapłacić okup.
W połowie 2022 roku Conti, jedna z najaktywniejszych i najbardziej znanych w ostatnich latach rodzin ransomware, zamknęła się i zmieniła swój wizerunek po tym jak została zidentyfikowana jako „toksyczna” ze względu na swoje rosyjskie powiązania. Byli członkowie Conti zmienili nazwy swoich grup na Black Basta, BlackByte, Karakurt i Royal.
Cyberprzestępcy posługujący się ransomware LockBit 3.0 przedstawili pierwszy program nagród za zgłaszanie luk w zabezpieczeniach. W czerwcu 2022 roku zaczęli oni oferować specjalistom ds. zabezpieczeń wynagrodzenia za zgłaszanie luk celem poprawy ochrony.
W drugiej połowie 2022 r. widzieliśmy, jak cyberprzestępcy z grup Agenda, BlackCat, Hive i RansomExx tworzą wersje swoich programów ransomware w wieloplatformowym języku Rust, który jest trudniejszy do przeanalizowania i wykrycia przez silniki antywirusowe, by łatwiej atakować system operacyjny Linux.
Rysunek 1. Zestawienie liczby ataków z użyciem ransomware wg systemu operacyjnego (OS)
Źródło: Trend Micro™ Smart Protection Network™
Główne luki w zabezpieczeniach (CVE) w 2022 roku przesunęły się od typowych luk w rozwiązaniach Microsoft w stronę Log4J. Prawdopodobną przyczyną tego zjawiska jest wykorzystanie kilku luk Log4J ujawnionych w 2021 roku.
Tabela 1. Trzy najczęściej występujące luki w zabezpieczeniach w latach 2021 i 2022
Źródło: Trend Micro ZDI
W czasie pandemii firmy zaczęły bardziej polegać na wirtualnych sieciach prywatnych (VPN) w związku z pracą zdalną i hybrydową, co cyberprzestępcy szybko zauważyli i wykorzystali. Zauważyli oni szereg luk w zabezpieczeniach sieci VPN, co omówiliśmy również w naszym półrocznym raporcie o stanie cyberbezpieczeństwa z 2022 roku.
Tabela 2. Liczba wykrytych prób exploitów znanych luk w zabezpieczeniach VPN miesięcznie
Najczęściej obserwowana luka w zabezpieczeniach: CVE-2018-13379
Luka w zabezpieczeniach umożliwiająca pokonanie ścieżki w portalu FortiOS SSL VPN, która umożliwia atakującym pobieranie plików systemowych FortiOS bez uwierzytelniania za pośrednictwem specjalnie spreparowanych żądań zasobów HTTP.
W roku 2022 w ramach realizowanego przez firmę Trend Micro programu™ Zero Day Initiative™ (ZDI) zanotowano również rekordowo wysoką liczbę opublikowanych poradników. Można to przypisać dwóm czynnikom: wykładniczy wzrost powierzchni ataku oraz inwestycja w ramach programu ZDI mająca na celu automatyzację analizy, co pomogło wykryć więcej błędów w 2022 roku.
Rysunek 2. Liczba opublikowanych poradników w ramach program ZDI w latach 2020–2022
Źródło: Trend Micro ZDI
W 2022 roku liczba CVE o znaczeniu krytycznym, wysokim i średnim wzrosła w porównaniu z rokiem 2021. Liczba błędów krytycznych podwoiła się w roku 2022 w porównaniu z 2021 r., chociaż nie przekroczyła liczby błędów krytycznych z roku 2020.
Rysunek 3. Oceny dotkliwości opublikowanych CVE w latach 2020–2021
Źródło: Trend Micro ZDI
Po przestudiowaniu luk w zabezpieczeniach z roku 2022 stwierdziliśmy, że nastąpiły żadne duże zmiany jeśli chodzi o typy tych błędów. Zaobserwowaliśmy natomiast niepokojący trend — a mianowicie wzrost liczby niekompletnych lub wadliwych poprawek.
Źródłami wadliwych poprawek mogą być:
146,408,535,569
Ogólna liczba zagrożeń zablokowanych w roku 2022
Zablokowane zagrożenia w poczcie e-mail
Zablokowane złośliwe adresy URL
Zablokowane złośliwe pliki
Zapytania o reputację wiadomości e-mail
Zapytania o reputację adresów URL
Zapytania o reputację plików
Pobierz nasz roczny raport o stanie cyberbezpieczeństwa, aby dowiedzieć się, jak lepiej chronić się przed coraz bardziej wyrafinowanymi cyberatakami i wciąż ewoluującymi zagrożeniami.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
MQTT and M2M: Do You Know Who Owns Your Machine’s Data?
Building Resilience: 2024 Security Predictions for the Cloud
Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
Mitigating the Threat of Sidecar Container Injection