AI napędza nowe fale cyberataków. Ransomware na celowniku
Rośnie znaczenie grup ransomware. Już 3,8% sieci firmowych doświadczyło próby ataku ransomware – ostrzegają eksperci Check Point Research. Najbardziej narażonym na świecie sektorem jest „edukacja i badania”, natomiast w Polsce przedsiębiorstwa użyteczności publicznej. Polskie organizacje atakuje przede wszystkim botnet Androxgh0st.
Sztuczna inteligencja w coraz większym stopniu wpływa na ataki hakerskie. We wrześniu cyberprzestępcy prawdopodobnie wykorzystali AI do opracowania skryptu dostarczającego AsyncRAT – trojana, który zajmuje obecnie 10. miejsce na liście najczęściej spotykanych zagrożeń. Wg badających sprawę analityków z Check Point Research, atak polega na tzw. HTML smuggling, gdzie ofierze wysyłano plik ZIP chroniony hasłem, zawierający złośliwy kod VBScript. Cała operacja, w tym dobrze ustrukturyzowany i skomentowany kod, sugerowała użycie sztucznej inteligencji. Po zainfekowaniu systemu AsyncRAT umożliwia atakującemu zdalną kontrolę nad urządzeniem, rejestrację klawiszy i wdrażanie dodatkowego złośliwego oprogramowania.
– Fakt, że cyberprzestępcy zaczęli wykorzystywać generatywną AI jako część swojej infrastruktury ataków, pokazuje, jak ewoluują taktyki ataków. Hakerzy coraz częściej wykorzystują dostępne technologie, co sprawia, że organizacje muszą wprowadzać proaktywne strategie zabezpieczeń – mówi Maya Horowitz, wiceprezes ds. badań w Check Point Software.
Najczęściej atakowane sektory
We wrześniu 2024 roku edukacja i badania naukowe były najczęściej atakowanymi sektorami, a zaraz za nimi uplasowała się administracja oraz sektor opieki zdrowotnej. W Polsce we wrześniu cyberprzestępcy najczęściej atakowali sektor użyteczności publicznej, administracyjno-wojskowy oraz finansowy.
Eksperci Check Pointa udostępnili również dane dotyczące najważniejszych zagrożeń wpływających na światowe organizacje. Czołowa trójka we wrześniu składała się z następujących trzech programów:
- FakeUpdates (znane również jako SocGholish) – najczęściej spotykane złośliwe oprogramowanie we wrześniu 2024, dotykające 7% organizacji na świecie. Jest to downloader, który przed uruchomieniem zapisuje na dysku złośliwy kod, co prowadzi do dalszych infekcji.
- Androxgh0st – botnet, który atakuje platformy Windows, Mac i Linux, kradnąc dane uwierzytelniające, takie jak dane z kont Twilio i AWS.
- FormBook – infostealer, który kradnie dane z przeglądarek, wykonuje zrzuty ekranu, monitoruje klawisze oraz potrafi ściągać i uruchamiać pliki na zainfekowanym komputerze.
Światowy nr 2 – Androxgh0st, był również najpopularniejszym malwarem grasującym w polskiej cyberprzestrzeni. Botnet ten wpłynął na 4,2% polskich przedsiębiorstw i organizacji.
Dane oparte na informacjach z tzw. „stron wstydu” prowadzonych przez grupy ransomware stosujące podwójne wymuszanie, które publikują informacje o ofiarach, dostarczyły specjalistom cyberbezpieczeństwa ciekawe dane nt. najbardziej aktywnych ugrupowaniach ransomware. W tym miesiącu najczęściej atakującą grupą ransomware jest RansomHub, odpowiedzialna za 17% opublikowanych ataków, a następnie Play z 10% i Qilin z 5%.
- RansomHub – grupa ransomware odpowiedzialna za 17% opublikowanych ataków. Jest to operacja typu Ransomware-as-a-Service (RaaS), która zyskała na znaczeniu w 2024 roku, atakując różne systemy, w tym VMware ESXi.
- Play – ransomware, które zadebiutowało w 2022 roku, z powodzeniem atakujące różnorodne sektory infrastruktury krytycznej.
- Qilin – operacja RaaS, która współpracuje z afiliatami w celu szyfrowania i eksfiltracji danych, koncentrując się na dużych przedsiębiorstwach i organizacjach z sektora opieki zdrowotnej i edukacji.