Cisco Talos: більшисть кіберінцидентів у 2024 р. базувалися на використанні ідентифікаційних даних

У новому звіті Cisco Talos йдеться про те, що у 2024 році кіберзлочинцям не потрібні були «нульові дні» або спеціальне шкідливе програмне забезпечення для створення атак. Вони просто входили в систему, і більшість інцидентів базувалися на використанні ідентифікаційних даних, зловживанням легальними інструментами та багаторічними вразливостями.

 

Такі висновки містяться у звіті Talos 2024 Year in Review, який базується на телеметрії з понад 46 мільйонів пристроїв у 193 країнах і регіонах, аналізуючи понад 886 мільярдів подій безпеки щодня. Звіт показав, що атаки на ідентифікаційні дані були причетні до 60% інцидентів.

 

Зловмисники часто використовували дійсні облікові дані та нативні інструменти, а не нові яскраві шкідливі програми. Там, де ідентифікаційні дані не були задіяні, експлуатувалися старі вразливості, яким кілька десятиліть. Для програм-вимагачів та обходу багатофакторної автентифікації ідентифікаційні дані були основним варіантом імплементації атак.

 

Особисті дані відігравали центральну роль на всіх етапах атаки: доступ, ескалація, бічне переміщення та стійкість. У 44% випадків об'єктом атак на основі ідентифікаційних даних була Active Directory, тоді як на компрометації інтерфейсу програмування хмарних додатків припадало 20% інцидентів, пов'язаних з ідентифікаційними даними.

 

Мотивами атак з використанням персональних даних у 50% випадків були програми-вимагачі, у 32% - збір та перепродаж облікових даних, у 10% - шпигунство та у 8% - фінансове шахрайство.

 

Сприяння атакам з використанням персональних даних є слабкість в  роботі MFA, що було найпоширенішою проблемою безпеки, коли мова йшла про такі види атак. Поширені помилки MFA включали відсутність MFA у віртуальних приватних мережах або «MFA exhaustion/push fatigue» - коли зловмисники засипають пристрій користувача повторюваними запитами на багатофакторну автентифікацію в надії, що користувач врешті-решт схвалить один з них через розчарування або розгубленість - і неналежний моніторинг реєстрації.

 

Атаки MFA часто націлені на системи управління ідентифікацією та доступом, такі як Citrix, Microsoft і Fortinet.

 

Серед інших висновків звіту - використання штучного інтелекту суб'єктами загроз у 2024 році було обмеженим, причому АІ в основному використовувався для посилення соціальної інженерії та автоматизації. Генеративний АІ також використовувався для фішингових кампаній, електронних заманювань і голосових підробок.

 

У звіті зазначається, що дедалі ширше впровадження та розширення можливостей АІ та великих мовних моделей викликає все більше занепокоєння у 2025 році. Зокрема, через те, що агентний АІ стає здатним до автономних операцій, а автоматизоване виявлення та використання вразливостей стає все більш поширеним явищем. Відзначається, що самі системи АІ стають все більш ймовірними мішенями, особливо в міру того, як вони впроваджуються в ланцюжки поставок.