Zautomatyzowane ataki cybernetyczne rosną

„Nasz najnowszy raport Global Threat Landscape Report wyraźnie pokazuje, że cyberprzestępcy wykorzystują sztuczną inteligencję i automatyzację, aby przyspieszyć swoje ataki z niespotykaną dotąd szybkością i na niespotykaną dotąd skalę” – powiedział Derek Manky, wiceprezes ds. globalnych badań nad zagrożeniami i strategii cyberbezpieczeństwa w FortiGuard Labs. „Tradycyjne podręczniki bezpieczeństwa już nie wystarczają. Organizacje będą musiały szybko przejść na proaktywną strategię obrony, która łączy w sobie sztuczną inteligencję, model Zero Trust i ciągłe zarządzanie zagrożeniami, aby wyprzedzić atakujących w dzisiejszym dynamicznie zmieniającym się krajobrazie zagrożeń”.

Co istotne, automatyczne skanowanie jest na rekordowo wysokim poziomie, ponieważ atakujący starają się wcześnie identyfikować narażone cele. Aby wykorzystać nowo odkryte luki w zabezpieczeniach, cyberprzestępcy wdrażają automatyczne skanowanie na skalę globalną. Laboratoria FortiGuard obserwowały i rejestrowały miliardy skanów miesięcznie, co odpowiada 36 000 skanów na sekundę. Świadczy to o silnym ukierunkowaniu atakujących na mapowanie narażonych usług, takich jak SIP i RDP, oraz protokołów OT/IoT, takich jak Modbus TCP.

Rozwój Darknetu ułatwił dostęp do gotowych zestawów ataków. W 2024 roku fora cyberprzestępców zaczęły coraz częściej pełnić rolę rynków dla zestawów exploitów, a do Krajowej Bazy Podatności dodano ponad 40 000 nowych luk, co stanowi wzrost o 39% w porównaniu z 2023 rokiem.

Oprócz luk zero-day krążących w darknecie, brokerzy coraz częściej oferują dane uwierzytelniające firm (20%), zdalny dostęp RDP (19%), konsole administracyjne (13%) i powłoki webowe (12%). Warto zauważyć, że FortiGuard Labs odnotował 500% wzrost liczby dostępnych logów z systemów zainfekowanych złośliwym oprogramowaniem kradnącym dane uwierzytelniające w ciągu ostatniego roku, a na tych podziemnych forach udostępniono 1,7 miliarda skradzionych rekordów danych uwierzytelniających.

Cyberprzestępczość oparta na sztucznej inteligencji dynamicznie się rozwija. Cyberprzestępcy wykorzystują sztuczną inteligencję, aby zwiększyć autentyczność swoich oszustw i ominąć tradycyjne zabezpieczenia, zwiększając skuteczność cyberataków i utrudniając ich wykrycie. Narzędzia takie jak FraudGPT, BlackmailerV3 i ElevenLabs sprawiają, że kampanie ataków są bardziej skalowalne, niezawodne i skuteczne, eliminując ograniczenia dostępnych narzędzi sztucznej inteligencji.

Wzrasta liczba ukierunkowanych ataków na sektory krytyczne. Branże takie jak produkcja, opieka zdrowotna i usługi finansowe stale odnotowują wzrost liczby cyberataków szytych na miarę, z konkretnymi exploitami planowanymi i wdrażanymi specjalnie dla każdego sektora.

W 2024 roku najbardziej atakowanymi sektorami będą: produkcja (17%), usługi biznesowe (11%), budownictwo (9%) i handel detaliczny (9%). Podmioty reprezentujące państwa i syndykaty oferujące oprogramowanie typu ransomware jako usługę (RaaS) skoncentrują swoje wysiłki na tych sektorach. Stany Zjednoczone ponoszą największy ciężar tych ataków (61%), następnie Wielka Brytania (6%) i Kanada (5%).

Zagrożenia bezpieczeństwa chmury i Internetu Rzeczy (IoT) rosną. Środowiska przetwarzania w chmurze nadal stanowią główny cel ataków, a atakujący nieustannie wykorzystują słabości, takie jak otwarte usługi pamięci masowej, nadmierna alokacja tożsamości i błędnie skonfigurowane usługi. W 70% zaobserwowanych incydentów atakujący uzyskali dostęp za pomocą danych uwierzytelniających z nieznanych lokalizacji, co podkreśla znaczenie monitorowania tożsamości w obronie chmury.

Dane uwierzytelniające to waluta cyberprzestępców. W 2024 roku cyberprzestępcy udostępnili ponad 100 miliardów skompromitowanych rekordów na podziemnych forach, co stanowi wzrost o 42% w porównaniu z rokiem poprzednim, głównie dzięki rosnącej liczbie „mix list” zawierających skradzione nazwy użytkowników, hasła i adresy e-mail. Ponad połowa wpisów w darknecie dotyczyła wycieków z baz danych, co umożliwiało atakującym automatyzację ataków typu credential stuffing na dużą skalę.

Do najaktywniejszych grup cyberprzestępczych w tym czasie należały takie znane grupy jak BestCombo, BloddyMery i ValidMail, które jeszcze bardziej obniżyły barierę wejścia, oferując pakiety oparte na danych uwierzytelniających, co doprowadziło do wzrostu liczby przejęć kont, oszustw finansowych i szpiegostwa korporacyjnego.

W obliczu powyższej sytuacji raport przedstawia zalecenia dotyczące obrony bezpieczeństwa dla CISO, kładąc nacisk na szereg obszarów strategicznych, na których należy się skupić, takich jak:

Przejście od tradycyjnego wykrywania zagrożeń do „ciągłego zarządzania narażeniem na zagrożenia” – to proaktywne podejście koncentruje się na ciągłym zarządzaniu powierzchnią ataku, symulowaniu rzeczywistych zachowań przeciwników, ustalaniu priorytetów działań naprawczych opartych na ryzyku oraz automatyzowaniu reakcji wykrywania i obrony.

Symulowanie ataków w świecie rzeczywistym – przeprowadzaj ćwiczenia symulujące ataki przeciwnika, angażuj zespoły Red i Purple oraz wykorzystuj MITRE ATT&CK do testowania obrony przed zagrożeniami, takimi jak ataki ransomware i kampanie szpiegowskie.

Ogranicz powierzchnię ataku – wdróż narzędzia do zarządzania powierzchnią ataku (ASM), aby wykrywać narażone zasoby, wyciekłe dane uwierzytelniające i podatne na wykorzystanie luki w zabezpieczeniach, jednocześnie stale monitorując fora darknetu w poszukiwaniu nowych zagrożeń.

Nadaj priorytet lukom wysokiego ryzyka – skoncentruj działania naprawcze na lukach, o których aktywnie dyskutują grupy cyberprzestępców, i wykorzystuj informacje o priorytetyzacji ryzyka, takie jak EPSS i CVSS, aby skutecznie zarządzać poprawkami.

Wykorzystaj wiedzę Dark Web – monitoruj rynki darknetu w poszukiwaniu nowych usług ransomware i śledź skoordynowane działania hakerów w celu ograniczania zagrożeń, takich jak ataki DDoS i ataki mające na celu demaskowanie stron internetowych.

Źródło: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243