Reálná analýza společnosti Cisco odhaluje bezpečnostní rizika práce na dálku

7. 7. 2021. (redaktor: František Doupal, zdroj: Cisco)
Studie společnosti Cisco ukázala, jak vypadají hrozby, které se snaží využít toho, že lidé pracují na dálku. Analýza internetového provozu totiž zaznamenala nárůst počtu kybernetických útoků na vzdálené pracovníky a odhalila nové výzvy. Téměř v 90 % organizací se například vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce.

Výzkumníci z Cisco Umbrella, která denně zpracovává 620 miliard globálních DNS požadavků, uvedli, že za rok 2020:

  • se téměř v 90 % organizací vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce, pravděpodobně kliknutím na odkaz v e-mailu. Počet uživatelů přicházejících na phishingové stránky se mezi červnem a zářím zvýšil o 100 %, což souviselo s nárůstem aktivity malwaru Emotet.
  • 51 % organizací narazilo na aktivitu související s ransomwarem.
  • se 70 % organizací nacházel uživatel, kterému se zobrazovaly škodlivé reklamy v prohlížeči.
  • 48 % organizací zaznamenalo aktivitu malwaru, jehož cílem byla krádež citlivých dat.

„Příkladem škodlivé aktivity specifické pro rok 2020 je phishing spojený s tématem Covid-19. Pozorovatelným jevem nedávné doby je adaptace na novou architekturu M1 pro OSX adware. Významný dopad mělo také narušení infrastruktury EMOTET, což vidíme na datech z počátku roku 2021. Technologie vyvíjená v Cisco Cognitive Intelligence R&D centru v Praze využívá informace z podrobnější síťové telemetrie. Máme tak ještě více informací, než jaké jsou vidět v DNS provozu. Ty nám pak pomáhají lépe rozlišovat hrozby od legitimního provozu. Můžeme detekovat například njRAT nebo Sality,“ okomentoval trendy poslední doby Tomáš Macek, research manager R&D centra společnosti Cisco.

Nedovolený kryptomining rostl s hodnotou kryptoměn

Nedovolený kryptomining byl nejfrekventovanější na začátku roku. Jeho znovu narůstající aktivita, kterou lze zaznamenat koncem roku, se překrývá se zvyšující hodnotou kryptoměn. Jak se hodnota kryptoměn zvyšovala, rostla i četnost této aktivity.

Phishing dominoval podzimním měsícům

DNS aktivita související s phishingem byla po celý rok poměrně stabilní, s výjimkou prosince, kdy kolem svátků došlo k nárůstu o 52 %. Pokud jde o počet koncových zařízení navštěvujících phishingové stránky, došlo během srpna a září k výraznému nárůstu.

Trojské koně se vyskytovali převážně na webových stránkách

Trojský kůň na tom byl s aktivitou na začátku roku podobně jako nedovolený kryptomining. Neuvěřitelně vysoký počet koncových zařízení připojujících se k webům, obsahující trojského koně, byl z velké části způsoben hrozbami Ursnif/Gozi a IcedID, o nichž je známo, že spolupracují a následně se podílejí na útocích typu ransomware. Tyto samotné dvě hrozby v lednu tvořily 82 % trojských koní zaznamenaných na koncových zařízeních. Nadprůměrná lednová čísla byla však pravděpodobně spojena s „vánoční kampaní“ útočníků a postupně aktivita trojských koní klesala a stabilizovala se. Od konce července až do září byla více zaznamenávána aktivita trojského koně Emotet. Samotná tato hrozba je zodpovědná za vysoký nárůst škodlivé DNS aktivity a celkově se s Emotetem setkalo 45 % organizací. 

Ransomware a velké rozdíly ve výkupném 

Po většinu roku dominovaly dvě hrozby typu ransomware. Počínaje dubnem se počet počítačů ohrožených ransomwarem Sodinokibi (REvil) významně zvýšil a jeho aktivita nadále rostla až do podzimu. Toto zvýšení bylo natolik zásadní, že se s touto hrozbou setkalo 46 % organizací. Druhá hrozba typu ransomware – Ryuk – byla do značné míry zodpovědná za nárůst aktivity v listopadu a prosinci. Přesto počet koncových zařízení připojujících se k doménám spojeným s Ryukem zůstal po celý rok relativně nízký a konzistentní. Sodinokibi má tendenci zasahovat velké množství koncových zařízení a vyžaduje menší výkupné, zatímco Ryuk kompromituje mnohem méně systémů a požaduje výrazně vyšší platby.

Co sektor, to jiná kybernetická hrozba

Firmy potřebují vědět, s jakými bezpečnostní problémy se s největší pravděpodobností setkají a jaký je jejich potenciální dopad. Například organizace z finančního sektoru mohou zaznamenat větší aktivitu týkající se krádeže citlivých dat. V technologickém sektoru lze převážnou většinu provozu DNS připsat dvěma druhům hrozeb: nedovolenému kryptominingu a phishingu. Kryptomining mohou často zaznamenat i společnosti působící ve výrobním sektoru. K této aktivitě se zde přidává také ransomware, což vypovídá o narůstajícím počtu zločinců, kteří na tyto organizace cílí s výhledem velkého výkupného. Organizace ve zdravotnickém průmyslu zase nejčastěji čelí trojským koním. Většinu těchto aktivit lze připsat Emotetu, což byl v roce 2020 nejčastější typ útoku na zdravotnická zařízení.

Řešením může být cloud

Zabezpečení dodávané v cloudu je rychlé a flexibilní, což umožňuje organizacím snadno se přizpůsobit neustále se měnícímu světu a technikám útoku a zároveň umožňuje bezproblémové připojení k aplikacím odkudkoli, což zaměstnanci nyní očekávají. Vynucením zabezpečení na úrovni DNS mohou organizace automaticky zastavit hrozby dříve, než se dostanou do sítě nebo koncových zařízení.

Štítky: 
Bezpečnost, Cisco systems

Podobné články

Dlouhodobý trend zlepšování kvality DDoS útoků se potvrzuje

27. 2. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita stagnují již od loňského podzimu. Dříve obvykle používanou plošnou hrubou sílu však nahradily kvalitnější a intenzivnější útoky, které dokáží napáchat stejně vysoké, nebo dokonce i větší škody. Zdánlivě slabší útoky se totiž i hůře odhalují. Čtěte více

Jen šestina českých firem vidí v AI klíčový prvek rozvoje IT bezpečnosti

23. 2. 2024. (redaktor: František Doupal, zdroj: Zebra systems)
Jen 17,5 % českých a slovenských zákazníků společnosti GFI Software aktuálně vnímá umělou inteligenci jako hlavní motor rozvoje jejich IT bezpečnosti v roce 2024. Praktické využití AI nejvíc dotázaných spatřuje hlavně při skenování zranitelností, obraně proti ransomwarovým útokům a ochraně e-mailů. Čtěte více

Google Workspace pod ochranou Sophos MDR a Sophos XDR

23. 2. 2024. (redaktor: František Doupal, zdroj: Sophos)
Organizace s distribuovanými pracovními silami se stále více spoléhají na cloudové platformy pro spolupráci, e-mailovou komunikaci, sdílení souborů a zvyšování produktivity, jako jsou Microsoft 365 a Google Workspace. Chránit se proti pokročilým útokům na tyto kriticky důležité nástroje nyní pomáhá nová integrace Google Workspace s bezpečnostními službami společnosti Sophos. Čtěte více

Velká část českých firem se do konce příštího roku stane obětí deepfake útoku

23. 2. 2024. (redaktor: František Doupal, zdroj: Analytics Data Factory)
Stále jednodušší přístup k nástrojům pro snadnou tvorbu deepfake obrázků, videí a zvuku přináší obrovské negativní dopady i na firmy. Podle odhadů české společnosti Analytics Data Factory, která se zaměřuje na prevenci vzniku podvodů v reálném čase, se do konce příštího roku stane velká část českých firem obětí útoku založeného na deepfake. Čtěte více