1 tydzień temu
Luki w urządzeniach sieciowych, przełamywanie powszechnie stosowanych zabezpieczeń, email bombing, oszustwa telefoniczne i quishing, czyli oszustwa z wykorzystaniem kodów QR – to sposoby cyberprzestępców na włamania do małych i średnich przedsiębiorstw, przy czym 1/3 to ataki ransomware – tak wynika z raportu firmy Sophos.
Raport firmy bezpieczeństwa Sophos „AnnualThreat Report: Cybercrime on MainStreet 2025” pokazuje najczęściej występujące cyberzagrożenia, z jakimi mierzyły się małe i średnie przedsiębiorstwa w 2024 roku. Według analiz przeprowadzonych przez zespół reagowania Sophos MDR w firmach Europy Środkowej aż 30% wszystkich wykrytych incydentów cyberbezpieczeństwa w tym sektorze stanowiło ransomware i próby kradzieży danych.
Ransomware jest też powodem 70% interwencji zespołów reagowania w firmach, ponieważ właśnie to małe i średnie przedsiębiorstwa są w tej chwili głównym celem przestępców i często padają ofiarą ataków. Dzieje się tak często dlatego, iż spora część z nich ma starą lub niewłaściwie skonfigurowaną infrastrukturę IT, opierająca się na opcjach domyślnych urządzeniach stanowiących jej podstawę. A takie opcje domyślne są doskonale znane cyberprzestępcom.
Częścią tych ataków są od dawna znane działania wykorzystujące firmową pocztę elektroniczną. Typowe jest wysyłanie dobrze pozycjonowanych linków, wyłudzanie danych logowania czy socjotechnika, zwłaszcza podszywanie się pod partnerów biznesowych, współpracowników bądź choćby znajomych np. Messenger attack z przejęciem konta ofiary i rozsyłaniem za jego pośrednictwem linków do malware. Najczęściej stosowany jest phishing, dzięki którego można przechwytywać kody autoryzacyjne w czasie rzeczywistym podszywając się pod prawdziwe serwisy.
„Coraz częściej mamy do czynienia z atakami typu „adversary-in-the-middle”, w których cyberprzestępca umiejscawia się pomiędzy użytkownikiem a prawdziwą stroną logowania i w czasie rzeczywistym kradnie zarówno hasło, jak i jednorazowy kod autoryzacji logowania. To oznacza, iż choćby konta zabezpieczone uwierzytelnianiem wieloskładnikowym mogą zostać skutecznie przejęte, jeżeli użytkownik zostanie zmanipulowany do działania w fałszywym środowisku logowania. Dlatego firmy powinny przechodzić z uwierzytelniania wieloskładnikowego na potwierdzanie tożsamości dzięki kluczy dostępu” – stwierdza Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Ale nie znaczy to, iż phishing wraca z w postaci w jakiej jest znany od przełomu wieków. W użyciu są nowe techniki jak email bombing, czyli masowe wysyłanie tysięcy wiadomości w krótkim czasie, vishing, albo wyłudzanie danych przez rozmowę telefoniczną czy quishing, czyli oszustwa dzięki kodów QR. w tej chwili zresztą mamy do czynienia z całym środowiskiem przestępczym, w którym istotną rolę odgrywają tzw. access brokerzy, którzy sprzedają dostęp do zainfekowanych systemów grupom przestępczym.
Aż ¼ naruszeń bezpieczeństwa jest spowodowana przez urządzenia czy oprogramowanie, które w założeniu ma to bezpieczeństwo zapewniać, jak firewalle oraz VPN. Są to dane pochodzące z obsługi incydentów, które udało się jednoznacznie potwierdzić na podstawie danych telemetrycznych z monitoringu aktywności sieciowej i systemowej. Oczywiście rzeczywista skala tego zjawiska może być znacznie większa, ponieważ nie wszystkie przypadki są możliwe do precyzyjnego prześledzenia.
„W ciągu ostatnich kilku lat cyberprzestępcy biorą na cel urządzenia brzegowe. Problem pogłębia rosnąca liczba przestarzałych urządzeń, które wciąż pozostają w użyciu, mimo braku wsparcia producentów. Są one połączone z Internetem, jednak często znajdują się na końcu listy priorytetów do zaktualizowania, o ile odpowiednie łatki w ogóle są dostępne. Wykorzystanie obecnych w nich luk jest więc niezwykle skuteczną metodą włamania do sieci. Atakowanie urządzeń brzegowych jest częścią szerszego trendu, który obserwujemy – przestępcy nie muszą już używać niestandardowego złośliwego oprogramowania. Zamiast tego wykorzystują własne systemy firm, zwiększając swoją elastyczność i ukrywając się tam, gdzie specjaliści ds. bezpieczeństwa nie patrzą – zauważa Sean Gallagher, główny analityk zagrożeń w Sophos.
Czy małe firmy są skazane na tego typu ataki? Nie, bowiem jak twierdzą analitycy Sophos, w sporej liczbie przypadków wystarczy zmiana podejścia. Login i hasło w tej chwili nie wystarczają – trzeba zastanowić się nad takimi rozwiązaniami jak np. migracja z tradycyjnych haseł na cyfrowe klucze dostępu, które są odporne na przechwycenie przez phishing. Tam, gdzie infrastruktura jest stara i nie można póki co jej zmodernizować, zaleca się stosowanie uwierzytelniania wieloskładnikowego. Dalej istotny jest też stan urządzeń brzegowych – ich staranna i terminowa aktualizacja jest konieczna, inaczej mogą stać się łatwym punktem wejścia do firmowych systemów.
