Největší kybernetickou hrozbou pro malé a středně velké podniky zůstává ransomware. Útoky na firemní e-maily (BEC, Business Email Compromise) byly ma druhém místě.
Sophos vydal svou výroční zprávu Sophos Threat Report pro rok 2024. Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery. Útočníci následně využívají ukradené informace k získání neoprávněného vzdáleného přístupu, vydírání obětí, nasazení ransomwaru i k dalším činnostem.
Studie společnosti Sophos analyzuje i zprostředkovatele počátečního přístupu (IAB), tedy zločince specializující se na pronikání do počítačových sítí. Jak studie uvádí, IAB využívají dark web k propagaci svých schopností proniknout právě do sítí malých a středně velkých podniků nebo prodávají hotové přístupy do firem, jejichž obranu už prolomili.
„Hodnota ‚dat‘ jako měny mezi kyberzločinci exponenciálně vzrostla, což platí zejména pro malé a středně velké podniky, které mají tendenci používat jednu službu nebo softwarovou aplikaci pro celou svou činnost. Řekněme například, že útočníci nasadí do sítě svého cíle infostealer, který ukradne přihlašovací údaje a následně získá heslo k účetnímu softwaru společnosti. Útočníci by pak mohli získat přístup k finančním údajům cílové společnosti, včetně možnosti převést finanční prostředky na své vlastní účty,“ řekl Christopher Budd, ředitel expertního výzkumného týmu Sophos X-Ops společnosti Sophos. „Existuje důvod, proč více než 90 % všech kybernetických útoků nahlášených společnosti Sophos v roce 2023 zahrnovalo krádež dat nebo přihlašovacích údajů, ať už prostřednictvím ransomwarových útoků, datových úniků, neoprávněného vzdáleného přístupu nebo prosté krádeže dat.“
Ačkoli se počet ransomwarových útoků na malé a středně velké podniky stabilizoval, stále se v tomto segmentu jedná o největší kybernetickou hrozbu. Z případů napadení malých a středně velkých podniků řešených týmem Incident Response (IR) společnosti Sophos, který pomáhá organizacím pod aktivním útokem, byl nejčastěji útočícím ransomwarovým gangem LockBit. Na druhém a třetím místě se umístily skupiny Akira a BlackCat. Malé a středně velké podniky zkoumané v rámci této studie čelily také útokům staršího a méně známého ransomwaru jako BitLocker nebo Crytox.
Podle studie mění ransomwaroví útočníci svoji taktiku. To zahrnuje využití vzdáleného šifrování a zacílení na poskytovatele řízených služeb (MSP). Mezi lety 2022 a 2023 počet ransomwarových útoků, které zahrnovaly vzdálené šifrování, kdy útočníci používají nespravované zařízení v sítích organizací k šifrování souborů v jiných systémech v rámci sítě, vzrostl o 62 %.
V uplynulém roce navíc tým Managed Detection and Response (MDR) společnosti Sophos zasahoval v pěti případech napadení malých podniků prostřednictvím zneužití softwaru pro vzdálené monitorování a správu (RMM) jejich poskytovatele spravovaných služeb (MSP).
Podle studie byly útoky na firemní e-maily (BEC, Business Email Compromise) po ransomwaru druhým nejčastějším typem útoků, které tým Sophos IR v roce 2023 řešil. Útoky typu BEC a další kampaně sociálního inženýrství jsou stále sofistikovanější. Namísto pouhého zaslání e-mailu se škodlivou přílohou se nyní útočníci snaží své cíle spíše zaujmout zasláním celé série konverzačních e-mailů nebo jim dokonce zatelefonují.
Ve snaze vyhnout se odhalení tradičními antispamovými nástroji nyní útočníci experimentují s novými formáty škodlivého obsahu, vkládají obrázky obsahující škodlivý kód nebo zasílají škodlivé přílohy ve formátu aplikace OneNote či v archivačních formátech. V jednom z případů, které Sophos vyšetřoval, poslali útočníci dokument ve formátu PDF s rozmazanou a nečitelnou miniaturou „faktury“. Tlačítko pro stažení pak obsahovalo odkaz na škodlivou webovou stránku.