Raport opublikowany w tym tygodniu przez Rapid7 to półroczny przegląd krajobrazu zagrożeń. Nie napawa on optymizmem. Ataki ransomware utrzymują się na wysokim poziomie, podstawowe zabezpieczenia nie są używane, dojrzałość organizacji jest niska, a zwrot z inwestycji w przestępczość jest potencjalnie ogromny!
Przegląd powstał na podstawie obserwacji badaczy Rapid7 i jego zespołów usług. Okazało się, iż w pierwszej połowie 2023 r. na całym świecie było ponad 1500 ofiar ransomware. Wśród nich 526 ofiar LockBit, 212 ofiar Alphv/BlackCat, 178 ofiar Clop i 133 ofiar BianLian. Liczby są zestawiane na podstawie komunikacji z Klientami, ujawnień publicznych i danych dotyczących reakcji na incydenty Rapid7.
Liczby te należy traktować jako zaniżone. Nie są uwzględnione te organizacje, które po cichu i skutecznie zapłacą okup. Ponadto licznik ofiar dalej tyka – na przykład, jak zauważono w raporcie: „Liczba incydentów przypisywanych Cl0p jest prawdopodobnie (znacząco) zaniżona, ponieważ grupa zaczęła aktywnie zgłaszać nowe ofiary od maja 2023 r.
Oprogramowanie ransomware odnosi sukces z dwóch powodów: bardzo wysokiego potencjalnego zysku dla przestępców oraz nieodpowiedniej postawy związanej z bezpieczeństwem wielu potencjalnych celów. Tę ostatnią ilustrują trzy czynniki.
Po pierwsze prawie 40% incydentów było spowodowanych brakiem lub niedbałym egzekwowaniem MFA (uwierzytelniania wieloskładnikowego) – pomimo wielu lat nawoływań do wdrożenia tej podstawowej obrony.
Po drugie ogólny poziom bezpieczeństwa w wielu organizacjach pozostaje niski. Konsultanci Rapid7 przeprowadzili wiele ocen bezpieczeństwa dla klientów i, jak czytamy, „do tej pory tylko jedna organizacja w 2023 r. spełniła nasze minimalne zalecenia dotyczące dojrzałości zabezpieczeń, mierzone na podstawie testów porównawczych CIS i NIST”. Te dane pokazują, iż znaczna liczba organizacji nie spełnia minimalnych standardów bezpieczeństwa.
Po trzecie stare luki w zabezpieczeniach przez cały czas nie są załatane. „Dwa godne uwagi przykłady z pierwszej połowy 2023 r. to CVE-2021-20038, wykryta przez Rapid7 luka w urządzeniach serii SonicWall SMA 100, oraz CVE-2017-1000367, luka w poleceniu sudo, która umożliwia ujawnienie informacji i wykonanie polecenia”, mówi raport.
Oczywiście nie oznacza to, iż nowe luki w zabezpieczeniach nie zostały odkryte i wykorzystane w pierwszej połowie 2023 r. „Ogólnie rzecz biorąc, ponad jedna trzecia szeroko rozpowszechnionych luk w zabezpieczeniach została wykorzystana w atakach dnia zerowego, które przez cały czas przeważają wśród wykorzystanych CVE w 2023 r.” – czytamy dalej w raporcie. „Nasz zespół zaobserwował również wiele przypadków wykorzystania luki Adobe ColdFusion CVE-2023-26360, co może wskazywać, iż luka ta jest wykorzystywana w szerszym zakresie niż «bardzo ograniczone ataki» ujawnione przez firmę Adobe w ich poradniku”.
Zwróć, proszę, uwagę, Drogi Czytelniku, iż o większości wskazanych w raporcie podatności pisaliśmy i ostrzegaliśmy przed nimi na naszym portalu.
Jednak ostrzeżenia nie wystarczą. Przestępczość zorganizowana (taka jak ta stojąca za gangami ransomware) nie atakuje biznesu tylko dlatego, iż może – kieruje się chęcią zysku. Raport Rapid7 pokazuje, jak dochodowa może być taka działalność.
Brokerzy exploitów są przez cały czas poszukiwani w ciemnej sieci, sprzedają liczne exploity, także te oparte na Zero Dayach. Na przykład na urządzenia sieciowe za ponad 75 000 USD. Rapid7 podkreśla, iż choćby przy dziesięciokrotnie wyższej cenie pojedyncze udane użycie w ataku ransomware zapewniłoby znaczny zwrot z inwestycji.
„Najprawdopodobniej ugrupowanie cyberprzestępcze, takie jak Cl0p, z łatwością byłoby w stanie pozwolić sobie na serię exploitów dnia zerowego dla podatnego na ataki systemu korporacyjnego – umożliwiając grupie gromadzenie i doskonalenie metod i technik podczas przeprowadzania rekonesansu na celach przynoszących duże dochody” – mówi Rapid7. „To też nie jest teoretyczny przypadek użycia; istnieją przesłanki, iż Cl0p testował exploit dnia zerowego dla MOVEit Transfer (CVE-2023-34362) przez prawie dwa lata, zanim wdrożył go w wysoce zorganizowanym ataku w tym roku”.
Generalnie trudno znaleźć w tym raporcie coś uspokajającego. Biorąc pod uwagę ogromną zachętę finansową do cyberprzestępczości i ciągłe niepowodzenia organizacji we wdrażaniu choćby podstawowych zabezpieczeń (takich jak MFA i łatanie podatności) – a także rosnącą złożoność chmury, niedobór wykwalifikowanej siły roboczej, ogólny krajobraz cyberbezpieczeństwa prawdopodobnie ulegnie dalszemu pogorszeniu. Czy naprawdę dopiero poważny incydent będzie stanowił motywację do utrzymania higieny bezpieczeństwa?