В отчете Cisco Talos также указано на резкое увеличение числа инструментов удаленного доступа, используемых программами-вымогателями.

Хакеры развернули веб-шеллы и использовали общедоступные приложения в четвертом квартале

Motortion через Getty Images

Краткий обзор:

  • Согласно отчету Cisco Talos, группы угроз развернули ряд веб-оболочек против уязвимых или неисправленных веб-приложений в 35% инцидентов в четвертом квартале 2024 года. Развертывания ознаменовали резкий рост по сравнению с предыдущим кварталом, когда та же активность наблюдалась только в 10% инцидентов.
  • Между тем, хакеры использовали общедоступные приложения для получения первоначального доступа в 40% случаев, в которых можно было определить средства доступа. Это знаменует собой существенный сдвиг по сравнению с предыдущими кварталами, когда первоначальный доступ в основном осуществлялся с использованием действительных учетных записей
  • Отчет также показал, что инструменты удаленного доступа использовались в 100% случаев программ-вымогателей в течение квартала, что является огромным ростом по сравнению с предыдущим кварталом, когда те же инструменты были замечены только в 13% случаев. Программное обеспечение для удаленного рабочего стола под названием Splashtop было обнаружено в 75% случаев программ-вымогателей в течение квартала.

Аналитика погружения: 

В отчете подчеркивается несколько важных изменений в тактике и развертывании инструментов, используемых группами угроз.

Исследователи Cisco Talos отметили, что использование веб-оболочек часто меняется в зависимости от групп угроз, которые их развертывают, а также от разработки эксплойтов для недавно обнаруженных уязвимостей.

«Например, в третьем квартале 2023 года атаки на веб-приложения были самой наблюдаемой угрозой, на которую приходилось 30 процентов столкновений», — сообщила по электронной почте Кейтлин Хьюи, исследователь угроз в Cisco Talos. «После получения первоначального доступа злоумышленники используют такие методы, как запуск атак с веб-инъекцией, развертывание веб-оболочек и/или использование коммерческих готовых фреймворков, которые развертывают веб-оболочки для сохранения доступа к системе».

Исследователи Cisco Talos также предупредили о всплеске атак с распылением паролей, который начался в декабре, что привело к блокировке учетных записей и отказу в доступе к VPN. В одном случае организация сообщила о 13 миллионах попыток взлома известных учетных записей за 24 часа, что, вероятно, является показателем того, что атаки были автоматизированы.

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА

DonbassWeb NEWS

Coinbase изначально нацелена на атаку цепочки цепочки поставок GitHub

DonbassWeb NEWS

Medusa Ransomware с использованием злонамеренного водителя в качестве EDR Killer

DonbassWeb NEWS

Недостатки Cisco Smart Licensing Utility при атаке

DonbassWeb NEWS

Компромисс действия GitHub связан с ранее нераскрытой атакой

DonbassWeb NEWS

11 национальных групп эксплуатируют непреднамеренные Microsoft нудки

DonbassWeb NEWS

Google приобретение Wiz, управляемое предприятием Entrace of MultiCloud

DonbassWeb NEWS

CISA побуждает уволить работников испытательного срока ответа после того, как федеральный судья предоставит распоряжение

DonbassWeb NEWS

Ransomhub с использованием схемы Fakeupdates для нападения государственного сектора

DonbassWeb NEWS

Показатели отказов проекта в области проекта растут: отчет

DonbassWeb NEWS

Атака цепочки поставок на действие GitHub вызывает массовое воздействие секретов

DonbassWeb NEWS

Технологические гиганты ищут стандарты данных среди AI push

DonbassWeb NEWS

Black Basta использует инструмент для разбивания для атаки в устройствах Attack Edge