Вопубликованном в понедельник годовом отчете Cisco Talos говорится, что в 2024 году киберпреступники в основном использовали недостатки в системах контроля идентификационных данных для атак на организации, причем основным способом получения доступа второй год подряд были действительные учетные записи.
По словам исследователей, в 60% случаев реагирования Cisco Talos на инциденты, связанных с атаками на идентификационные данные, 60% были связаны с атаками на идентификационные данные. Злоумышленники использовали легитимные учётные данные, сеансовые cookie-файлы и ключи API для получения доступа, горизонтального перемещения и повышения привилегий в скомпрометированных средах.
Идентификация — это постоянная проблема для предприятий, отражающая распространённый недостаток, выявленный злоумышленниками в инфраструктуре компании и успешно применяемый для её масштабирования. Этот метод проникновения запускает вредоносные последующие действия, при этом злоумышленники сталкиваются с минимальным сопротивлением или обнаружением, поскольку трафик исходит от предположительно легитимных учётных записей.
Атаки с использованием идентификационных данных были повсеместными в инцидентах, на которые Cisco Talos отреагировала в прошлом году, но ущерб, нанесённый организациям, был особенно заметен при атаках программ-вымогателей. Половина всех атак с использованием идентификационных данных, на которые Cisco Talos отреагировала в прошлом году, в конечном итоге были направлены на использование программ-вымогателей или предварительные операции.
«Во многих случаях злоумышленникам гораздо проще и безопаснее просто войти в учетные записи законных пользователей, используя украденные учетные данные, чем прибегать к более сложным средствам, таким как эксплуатация уязвимостей или развертывание вредоносного ПО», — говорится в отчете исследователей Cisco Talos.
Киберпреступники также использовали атаки на основе идентификации для кражи учётных данных для незаконных продаж брокерам, предоставляющим первичный доступ, почти в трети случаев, расследованных Cisco Talos в прошлом году. В 10% случаев наблюдалась кража данных для последующего шпионажа или вредоносной деятельности, а финансовое мошенничество было конечной целью в 8% этих атак, говорится в отчёте.
Исследователи Cisco Talos обнаружили, что организации часто не обеспечивают надлежащую защиту Active Directory — широко используемой службы аутентификации, содержащей критически важную корпоративную информацию о доступе. В 44% атак, связанных с использованием идентификационных данных, группы злоумышленников использовали Active Directory.
Многие успешные атаки с использованием скомпрометированных сред Active Directory происходили в корпоративных системах с неправильно настроенными продуктами безопасности или недостаточными политиками безопасности.
Cisco Talos часто сталкивалась с организациями с избыточными или неправильными привилегиями, учетными записями со слабыми или заданными по умолчанию паролями и отсутствующей или неправильно настроенной многофакторной аутентификацией.
Уязвимости многофакторной аутентификации (MFA) были основным недостатком, выявленным Cisco Talos в прошлом году. Среди всех организаций, которым компания по реагированию на инциденты помогла в 2024 году, 24% не были зарегистрировались в системе MFA, в 22% меры безопасности были активированы не в полном объеме, а в 19% MFA отсутствовала в сервисах виртуальных частных сетей.
Эти структурные уязвимости безопасности открыли киберпреступникам путь для масштабной деятельности по распространению программ-вымогателей. Финансово мотивированные группы злоумышленников использовали действительные учётные записи для первоначального доступа в 69% атак программ-вымогателей, от которых Cisco Talos отреагировала в прошлом году.
Компания Cisco Talos заявила, что ее годовой отчет основан на данных, полученных с более чем 46 миллионов устройств по всему миру.
По словам исследователей, в 60% случаев реагирования Cisco Talos на инциденты, связанных с атаками на идентификационные данные, 60% были связаны с атаками на идентификационные данные. Злоумышленники использовали легитимные учётные данные, сеансовые cookie-файлы и ключи API для получения доступа, горизонтального перемещения и повышения привилегий в скомпрометированных средах.
Идентификация — это постоянная проблема для предприятий, отражающая распространённый недостаток, выявленный злоумышленниками в инфраструктуре компании и успешно применяемый для её масштабирования. Этот метод проникновения запускает вредоносные последующие действия, при этом злоумышленники сталкиваются с минимальным сопротивлением или обнаружением, поскольку трафик исходит от предположительно легитимных учётных записей.
Атаки с использованием идентификационных данных были повсеместными в инцидентах, на которые Cisco Talos отреагировала в прошлом году, но ущерб, нанесённый организациям, был особенно заметен при атаках программ-вымогателей. Половина всех атак с использованием идентификационных данных, на которые Cisco Talos отреагировала в прошлом году, в конечном итоге были направлены на использование программ-вымогателей или предварительные операции.
«Во многих случаях злоумышленникам гораздо проще и безопаснее просто войти в учетные записи законных пользователей, используя украденные учетные данные, чем прибегать к более сложным средствам, таким как эксплуатация уязвимостей или развертывание вредоносного ПО», — говорится в отчете исследователей Cisco Talos.
Киберпреступники также использовали атаки на основе идентификации для кражи учётных данных для незаконных продаж брокерам, предоставляющим первичный доступ, почти в трети случаев, расследованных Cisco Talos в прошлом году. В 10% случаев наблюдалась кража данных для последующего шпионажа или вредоносной деятельности, а финансовое мошенничество было конечной целью в 8% этих атак, говорится в отчёте.
Исследователи Cisco Talos обнаружили, что организации часто не обеспечивают надлежащую защиту Active Directory — широко используемой службы аутентификации, содержащей критически важную корпоративную информацию о доступе. В 44% атак, связанных с использованием идентификационных данных, группы злоумышленников использовали Active Directory.
Многие успешные атаки с использованием скомпрометированных сред Active Directory происходили в корпоративных системах с неправильно настроенными продуктами безопасности или недостаточными политиками безопасности.
Cisco Talos часто сталкивалась с организациями с избыточными или неправильными привилегиями, учетными записями со слабыми или заданными по умолчанию паролями и отсутствующей или неправильно настроенной многофакторной аутентификацией.
Уязвимости многофакторной аутентификации (MFA) были основным недостатком, выявленным Cisco Talos в прошлом году. Среди всех организаций, которым компания по реагированию на инциденты помогла в 2024 году, 24% не были зарегистрировались в системе MFA, в 22% меры безопасности были активированы не в полном объеме, а в 19% MFA отсутствовала в сервисах виртуальных частных сетей.
Эти структурные уязвимости безопасности открыли киберпреступникам путь для масштабной деятельности по распространению программ-вымогателей. Финансово мотивированные группы злоумышленников использовали действительные учётные записи для первоначального доступа в 69% атак программ-вымогателей, от которых Cisco Talos отреагировала в прошлом году.
Компания Cisco Talos заявила, что ее годовой отчет основан на данных, полученных с более чем 46 миллионов устройств по всему миру.
