Pericolele Microsoft sunt în creștere

Anul 2020 va fi amintit fără îndoială pentru pandemia COVID-19 (coronavirus). În timp ce unele grupuri de hackeri foloseau COVID-19 ca subiect pentru a atrage și infecta utilizatorii, aceste operațiuni erau doar o fracțiune din ecosistemul general al malware-ului, potrivit studiului Microsoft „Microsoft Digital Defense Report”. Pandemia pare să fi jucat un rol minim în atacurile malware din acest an.

prin e-mail

Phishingul prin e-mail în sectorul corporativ a continuat să crească și a devenit un vector dominant. Cele mai multe năluci de phishing se concentrează pe Microsoft și pe alți furnizori de SaaS, iar primele 5 cele mai contrafăcute mărci includ Microsoft, UPS, Amazon, Apple și Zoom.

Microsoft a spus că a blocat peste 13 miliarde de e-mailuri rău intenționate și suspecte în 2019. Aceasta include mai mult de un miliard de adrese URL care au fost create special pentru a lansa un atac de phishing asupra referințelor.

Operațiunile de phishing de succes sunt adesea folosite ca prim pas în fraudarea compromisului prin e-mail de afaceri (BEC). Potrivit Microsoft, escrocii au acces la căsuța de e-mail a unui executiv, monitorizează comunicațiile prin e-mail și apoi intervin pentru a păcăli partenerii de afaceri ai utilizatorului pirat să plătească facturi către conturi bancare false. Potrivit Microsoft, cele mai frecvent atacate conturi în escrocheriile BEC au fost cele pentru membrii consiliului de administrație și angajații din contabilitate și salarizare.

Dar Microsoft spune, de asemenea, că phishing-ul nu este singura cale către aceste conturi. Hackerii încep să folosească reutilizarea parolei și atacurile de pulverizare a parolelor împotriva protocoalelor de e-mail vechi, cum ar fi IMAP și SMTP. Aceste atacuri au fost deosebit de populare în ultimele luni, deoarece permit atacatorilor să ocolească soluțiile de autentificare multi-factor (MFA), deoarece conectarea prin IMAP și SMTP nu acceptă această funcție.

În plus, Microsoft afirmă că există și grupuri de criminalitate cibernetică care abuzează din ce în ce mai mult de serviciile publice bazate pe cloud pentru a stoca artefacte care vor fi utilizate în atacurile lor, mai degrabă decât să folosească propriile servere. În plus, grupurile schimbă domeniile și serverele mult mai rapid în aceste zile, în principal pentru a evita detectarea și pentru a rămâne sub radar.

Cu toate acestea, de departe cea mai mare amenințare la adresa criminalității cibernetice din ultimul an au fost bandele de răscumpărare. Microsoft a declarat că infecțiile cu rachete de răscumpărare sunt principalul motiv din spatele măsurilor de răspuns la incidente (IR) luate din octombrie 2019 până în iulie 2020.

Și printre aceste bande de răscumpărare, grupurile cunoscute sub numele de „vânători de jocuri mari” și „cereri de răscumpărare conduse de oameni” au nedumerit cel mai mult Microsoft. Sunt grupuri care vizează rețele selectate aparținând unor mari corporații sau organizații guvernamentale, deoarece știu că vor primi plăți de răscumpărare mai mari.

Majoritatea acestor grupuri operează fie folosind infrastructura malware furnizată de alte grupuri de criminalitate cibernetică, fie făcând căutări private pe Internet pentru vulnerabilitățile descoperite recent. În majoritatea cazurilor, grupurile au acces la un sistem și rămân nedetectate până când sunt gata să lanseze atacurile.

„Atacatorii au exploatat criza COVID-19 pentru a-și scurta timpul în sistemul unei victime - prin compromiterea datelor, filtrarea acestora și, în unele cazuri, cererea rapidă a unei răscumpărări - aparent în credința că focarul ar crește disponibilitatea de a plăti” conform Microsoft.

„În unele cazuri, infractorii cibernetici au reușit să ajungă de la prima intrare la răscumpărare pentru întreaga rețea în mai puțin de 45 de minute”.

O altă tendință importantă a fost faptul că, în ultimele luni, s-a concentrat din ce în ce mai mult pe lanțurile de aprovizionare, decât să vizeze direct o țintă.

Acest lucru permite unui actor de amenințare să pirateze o țintă și apoi să utilizeze propria infrastructură a țintei pentru a ataca toți clienții lor, fie unul câte unul, fie toți în același timp.

„Prin angajamentul său de a ajuta clienții care au fost victime ale unor încălcări ale securității cibernetice, echipa de detectare și răspuns Microsoft a înregistrat o creștere a atacurilor asupra lanțului de aprovizionare între iulie 2019 și martie 2020”, a spus Microsoft.

Cu toate acestea, Microsoft a menționat că, deși a existat „o creștere, atacurile din lanțul de aprovizionare au reprezentat doar un procent relativ mic din totalul implementărilor DART”.

Cu toate acestea, acest lucru nu diminuează importanța protejării lanțului de aprovizionare împotriva posibilelor amenințări, în special din rețelele furnizorilor de servicii gestionate (MSP, furnizori terți care oferă un serviciu foarte specific și care au permisiunea de a accesa rețeaua unei companii), dispozitivele IoT (care sunt adesea în Rețeaua unei companii instalată și uitată) și bibliotecile de software open source (care constituie cea mai mare parte a software-ului unei companii în aceste zile) se epuizează.

Grupurile de hackeri din agențiile de informații străine (cunoscute și sub numele de APT sau amenințări persistente avansate) devin din ce în ce mai active. Microsoft a spus că a trimis peste 13.000 de mesaje de informații (NSN) către clienții săi prin e-mail în perioada iulie 2019 - iunie 2020.

Una peste alta, Microsoft concluzionează că grupurile criminale și-au perfecționat tehnicile în ultimul an pentru a crește ratele de succes ale campaniilor lor, deoarece apărarea a reușit să respingă atacurile lor anterioare.

Platforma de colaborare Slack: lucrați eficient - indiferent unde

Înainte de COVID-19, munca la distanță era aproape de neconceput pentru multe companii. Astăzi au recunoscut că poate funcționa foarte bine dacă condițiile cadru sunt corecte. În acest seminar web veți afla cum puteți reacționa optim la condițiile de lucru modificate cu soluția de colaborare Slack.