Informatika
Kyberzločinci zneužívají nové zranitelnosti o 43 % rychleji než v 1. pololetí loňského roku
Společnost Fortinet vydala studii FortiGuard Labs 2H 2023 Global Threat Landscape Report. Nejnovější pololetní zpráva nabízí přehled o prostředí aktivních hrozeb a zdůrazňuje trendy v druhé polovině loňského roku včetně analýzy rychlosti, s jakou kybernetičtí útočníci využívají nově identifikované zranitelnosti a údajů o nárůstu cíleného ransomwaru a malwaru typu wiper namířených proti průmyslovým a OT systémům.
„Zpráva laboratoří FortiGuard Labs o globálních hrozbách ve 2. pololetí 2023 osvětluje, jak rychle útočníci využívají nově odhalené zranitelnosti. V tomto ohledu hrají svou roli jak dodavatelé, tak zákazníci. Dodavatelé musí zavést důkladnou bezpečnostní kontrolu ve všech fázích životního cyklu vývoje produktu a dbát na zodpovědnou radikální transparentnost při zveřejňování zranitelností. Podle amerického Národního institutu pro standardy a technologie se v roce 2023 vyskytlo přes 26 447 zranitelností u více než 2 000 dodavatelů. Je proto také důležité, aby zákazníci dodržovali přísný režim aplikování oprav, aby snížili riziko zneužití bezpečnostních nedostatků,“ říká Derek Manky, hlavní bezpečnostní stratég a globální viceprezident pro zpravodajství o hrozbách, FortiGuard Labs.
Hlavní zjištění studie
- Útoky začaly v průměru 4,76 dní poté, co byly zveřejněny informace o nových zranitelnostech: Stejně jako v předchozí studii Global Threat Landscape Report za 1. pololetí 2023 se laboratoře FortiGuard Labs snažily i tentokrát zjistit, jak dlouho trvá, než dojde od prvotního oznámení zranitelnosti k jejímu zneužití, zda k tomu u zranitelností s vysokým skóre pravděpodobnosti zneužití (EPSS) dochází rychleji a zda by bylo možné předpovědět průměrnou dobu do zneužití pomocí dat ze systému EPSS. Podle této analýzy útočníci ve druhé polovině roku 2023 dobu od zveřejnění ke zneužití zkrátili o 43 % oproti 1. pololetí. To ukazuje, že je zapotřebí, aby se dodavatelé věnovali internímu odhalování zranitelností a vývoji oprav dříve, než dojde k jejich zneužití (s cílem potlačit případy napadení dosud neoznámených zranitelností). Studie také zdůrazňuje, že dodavatelé musí aktivně a transparentně informovat zákazníky o zranitelnostech a zajistit tak, že budou mít informace potřebné k účinné ochraně svých prostředků dříve, než kybernetičtí útočníci zneužijí některou známou zranitelnost.
- Některé známé zranitelnosti zůstávají neopravené i více než 15 let: Nejsou to jen nově identifikované zranitelnosti, o které se musí CISO a bezpečnostní týmy starat. Telemetrie společnosti Fortinet zjistila, že u 41 % zkoumaných subjektů byly detekovány exploity ze signatur mladších než jeden měsíc a téměř u každého (98 %) byly detekovány zranitelnosti, které existují nejméně pět let. Laboratoře FortiGuard také nadále pozorují, že aktéři hrozeb zneužívají zranitelnosti staré více než 15 let. Kvůli tomu je nutné pečlivě dbát na bezpečnostní hygienu a neustále připomínat nutnost mít konzistentní a pohotový program oprav a aktualizací, který vychází z osvědčených postupů a pokynů od organizací, jako je Koalice pro síťovou odolnost, k posílení celkové bezpečnosti sítí.
- Útoky se týkaly méně než 9 % všech známých zranitelností koncových bodů: V roce 2022 představily laboratoře FortiGuard koncept „červené zóny“, který čtenářům pomáhá lépe pochopit, jak pravděpodobné je, že aktéři hrozeb zneužijí konkrétní zranitelnosti. Tři nejnovější studie Global Threat Landscape Report zkoumaly pro ilustraci celkový počet zranitelností zaměřených na koncové body. Ve 2. pololetí 2023 výzkum zjistil, že ze všech běžných zranitelností pozorovaných na koncových bodech je pouhých 0,7 % předmětem útoků, což ukazuje, že aktivní prostor, na který by se bezpečnostní týmy měly zaměřit a soustředit tam úsilí o nápravu, je podstatně menší.
- 44 % všech vzorků ransomwaru a wiperů se zaměřovalo na průmyslová odvětví: Na všech senzorech společnosti Fortinet klesl počet detekcí ransomwaru o 70 % ve srovnání s první polovinou roku 2023. Pozorované zpomalení ransomwaru za poslední rok lze nejpravděpodobněji přičítat tomu, že se útočníci odklonili od tradiční strategie „rozhodit sítě a doufat“ a přesunuli pozornost k cílenějším útokům zaměřených především na energetiku, zdravotnictví, výrobu, dopravu a logistiku a automobilový průmysl.
- Botnety prokázaly neuvěřitelnou odolnost – v průměru trvalo 85 dní od prvotní detekce, než byla ukončena řídicí komunikace (C2): Objem datového provozu botů zůstal ve srovnání s první polovinou roku 2023 stabilní. Laboratoře FortiGuard zaznamenaly tytéž výraznější botnety jako v posledních několika letech, včetně Gh0st, Mirai nebo ZeroAccess, ale ve druhé polovině roku 2023 se objevily i tři nové, a to AndroxGh0st, Prometei a DarkGate.
- V průběhu 2. pololetí 2023 bylo pozorováno 38 ze 143 skupin pokročilých perzistentních hrozeb (APT) uvedených v MITRE: FortiRecon, služba ochrany před digitálními riziky společnosti Fortinet, odhalila, že ve 2. pololetí 2023 bylo aktivních 38 ze 143 skupin, které sleduje systém MITRE. Z nich byly nejaktivnější Lazarus Group, Kimusky, APT28, APT29, Andariel a OilRig. Vzhledem k cílené povaze a relativně krátkodobým kampaním skupin APT a státních aktérů ve srovnání s dlouhodobými a rozvleklými kampaněmi kyberzločinců je vývoj a objem aktivity v této oblasti něco, co budou laboratoře FortiGuard průběžně sledovat.
Diskuse na dark webu
Zpráva o globálních hrozbách za 2. pololetí 2023 obsahuje také zjištění divize FortiRecon, která umožňují nahlédnout do rozhovorů mezi aktéry hrozeb na fórech a tržištích na dark webu, v kanálech sítě Telegram a dalších zdrojích. Co studie mimo jiné zjistila:
- Aktéři hrozeb nejčastěji diskutovali o cílení na finanční instituce, následovaly sektory podnikových služeb a vzdělávání.
- Na prominentních fórech dark webu bylo sdíleno více než 3 000 úniků dat.
- Na darknetu se aktivně diskutovalo o 221 zranitelnostech, zatímco na kanálech Telegram se diskutovalo o 237 zranitelnostech.
- K prodeji bylo nabídnuto více než 850 000 platebních karet.