Vícefaktorové ověřování (MFA) je stále častěji nedostatečné. Útočníci tento bezpečnostní prvek obcházejí zachycením autentizačních tokenů.
Sophos zveřejnil svou výroční studii „Threat Report: Cybercrime on Main Street 2025“, ve které odborníci na kybernetickou bezpečnost analyzují telemetrická data nashromážděná v roce 2024 z řešení společnosti Sophos, případů reakce na incidenty a služeb typu MDR. Podle studie zůstává ransomware největší hrozbou, zejména pro malé a středně velké podniky, a těží především ze zastaralých nebo špatně nakonfigurovaných síťových zařízení, která jsou pro kyberzločince hlavní vstupní branou.
Ransomwarové útoky tvořily v roce 2024 přibližně 70 % případů řešených týmem Sophos Incident Response u zákazníků z řad malých firem, a více než 90 % mezi středně velkými společnostmi s 500 až 5 000 zaměstnanci. Kompromitovaná zařízení na okraji sítě – firewally, zařízení pro virtuální privátní sítě a další přístupová zařízení – podle zjištěných údajů představovala 25 % počátečních kompromitací podnikových sítí. Skutečný počet je však pravděpodobně výrazně vyšší. Pět nejoblíbenějších vstupních bodů pro zločince na perimetru sítě je následujících: s velkým odstupem se na první příčce umístilo zneužití VPN (19 % všech zkoumaných případů), následují kompromitace přístupových údajů (10,4 %), nástroje pro vzdálený přístup přes RDP a RDWeb (8 %), phishing (6,7 %) a jiná síťová zařízení (3 %).
„V posledních letech se útočníci cíleně zaměřují na zařízení na okrajích sítě. Problém ještě zhoršuje rostoucí počet zařízení na konci životnosti. Sophos tento problém nazývá „digitálním odpadem“ a jde o zastaralé produkty, které zahlcují infrastrukturu. Vzhledem k tomu, že jsou tato zařízení dostupná z internetu a jejich záplatování má často nízkou prioritu, představují pro zločince velmi atraktivní cíl pro průnik do sítí. Útoky na okrajová zařízení jsou součástí trendu, v rámci kterého útočníci již nepotřebují nasazovat malware na míru. Místo toho mohou zneužít podnikové systémy, zvýšit svou agilitu a skrýt se tam, kam se bezpečnostní specialisté nedívají,“ hodnotí současný vývoj Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos.
Další klíčová zjištění studie
• Vícefaktorové ověřování (MFA) je stále častěji nedostatečné. Útočníci tento bezpečnostní prvek obcházejí zachycením autentizačních tokenů. Útočníci používají phishingovou platformu, aby napodobili proces ověřování a získali přihlašovací údaje oběti.
• Tři nejčastější rodiny ransomwaru zaznamenané v roce 2024 jsou Akira (15,3 % všech zkoumaných případů), Lockbit (13,6 %) a Fog (10,9 %). Ve všech skupinách malwaru vedou útoky typu „command-and-control“. Na prvním místě je Web Shell s 9,8 %, následuje Cobalt Strike s 8 % a Akira s 4,9 %.
• Útočníci dávají přednost komerčním nástrojům pro vzdálený přístup. Nejčastěji zneužívanými legitimními a důvěryhodnými nástroji byly PSExec (18,3 % všech zkoumaných případů) a AnyDesk (17,4 %). Celkově se nástroje pro vzdálený přístup podílely na 34 % případů se zásahem služby reakce na incidenty nebo řízené detekce a reakce.
• Útočníci vylepšují své taktiky sociálního inženýrství. Stále častěji zneužívají ke kompromitaci organizací QR kódy (quishing) a kontakt po telefonu (vishing). Používají také taktiku e-mailového bombardování, která spočívá v odeslání tisíců nevyžádaných e-mailů během jedné až dvou hodin.
• Platformy poskytující software formou služby (SaaS), které organizace během kovidové pandemie hojně využívaly k podpoře práce na dálku a zlepšení celkové bezpečnostní situace, jsou i nadále novými způsoby zneužívány pro sociální inženýrství, počáteční kompromitaci a distribuci malwaru.
• Kompromitace firemních e-mailů představuje rostoucí podíl počátečních kompromitací při kyberbezpečnostních incidentech – je využívána k šíření malwaru, krádežím přihlašovacích údajů a sociálnímu inženýrství pro různé kriminální účely.
