Cisco Talos: киберпреступники всё активнее используют общедоступные приложения для входа в системы

В недавнем аналитическом обзоре, подготовленном Cisco Talos за четвёртый квартал 2024 года, обнаружена явная смена тактики среди киберпреступников. Эксперты из Cisco Talos отметили, что внимание злоумышленников смещается в сторону использования программных решений, доступных широкой аудитории, для организации входа в защищённые инфраструктуры. В анализируемом периоде данный способ оказался доминирующим и был применён в 40% зафиксированных инцидентов.

Ранее основной метод входа базировался на несанкционированном доступе к учётным записям, что оставалось наиболее наблюдаемой стратегией в течение года. Нынешние данные указывают на смену векторa атак, поскольку растущее применение веб-оболочек стало определяющим фактором новых схем.

Специалисты Cisco Talos подчеркнули, что против уязвимых или не обновлённых веб-сервисов злоумышленники установили подобные оболочки в 35% случаев, что свидетельствует о резком скачке по сравнению с менее чем 10% в предыдущем квартале.

Киберпреступники использовали разнообразные варианты веб-оболочек с открытым исходным кодом и общедоступных решений, функциональные возможности которых существенно различались. Применённые ими инструменты позволяли эффективно эксплуатировать слабые места веб-серверов, служа входными точками в инфраструктуру цели.

В отчёте за четвёртый квартал также зафиксированы случаи использования вредоносного программного обеспечения для вымогательства и кражи данных, доля которых составила 30% от общего числа атак. Эксперты из Cisco Talos прокомментировали, что данный показатель снизился по сравнению с 40% за третий квартал 2024 года.

Продолжительность нахождения злоумышленников в системах колебалась от 17 до 44 дней, что указывало на намерения атакующих обходить защитные механизмы и выявлять информацию для последующего изъятия. В одном из наблюдённых инцидентов, связанного с RansomHub, преступники имели доступ к целевой сети более месяца, прежде чем запустить вредоносное программное обеспечение. Специалисты отметили, что при данной атаке проводились операции по сканированию внутренней сети, получению паролей для резервного копирования и сбору учётных данных.

Полная версия отчёта представлена по указанной ссылке.