Insikt Group éves jelentés 2024
Az Insikt Group szerint 2024-ben két kulcsfontosságú trend határozta meg a kiberbiztonsági tájképet: a kiberbűnözői hálózatok ellenállóképességének fenntartása a bűnüldözési intézkedések ellenére, valamint a vállalati támadási felületek növekvő összetettsége. Emellett az államilag támogatott, elsősorban Kínához és Oroszországhoz kötődő kiberszereplők fokozták a kritikus infrastruktúrákra való összpontosítást, és a generatív mesterséges intelligencia segítségével befolyásolási műveleteket hajtottak végre geopolitikai céljaik elérése érdekében.
A Recorded Future 2025. január 28-án emgjelent jelentése többek között ezeket a trendeket is vizsgálja. A jelentés egy átfogó elemzést nyújt a 2024-re vonatkozó adatokról, valamint előrejelzéseket tartalmaz, amelyek alapján felkészülhetnek a szervezetek biztonsági csapatai az előttük álló évre.
A 2024-es év legfontosabb témái
A ransomware csoportok száma a bűnüldözési intézkedések ellenére is növekedett.
A LockBithez és az ALPHV-hez hasonló ransomware csoportok ellen irányuló jelentős globális bűnüldözési erőfeszítések ellenére a kiberbűnözők bebizonyították, hogy képesek alkalmazkodni és gyarapodni. Átszervezték magukat, kihasználva a kiszivárgott rosszindulatú szoftvereket, és kisebb, független csoportokra váltottak. 2024 közepére a váltságdíjfizetések már elérték a 459,8 millió USD-t, és az egyetlen áldozat által kifizetett 75 millió USD-s rekordot.
A SaaS növekvő elterjedése több személyazonossági támadáshoz vezetett.
A szervezetek ma már átlagosan 371 SaaS-alkalmazást használnak, ami jelentős növekedés 2021-hez képest, és minden egyes alkalmazáshoz saját hozzáférési hitelesítő adatokra van szükség. A SaaS-függőség növekedése több lehetőséget adott a kiberszereplőknek az ellopott vagy felfedett hitelesítő adatok kihasználására, amelyek olyan nagy horderejű incidensekben játszottak szerepet, mint a Snowflake és a Change Healthcare esetében. Mindkét esetben a támadók ellopott hitelesítő adatokat használtak, amelyeket infostealer segítségével szereztek meg az SSO védelmének megkerülésére.
Az államilag támogatott befolyásolási műveletek eszkalálódtak.
Az államilag támogatott kiberszereplők, köztük a Kínához, Oroszországhoz és Iránhoz kapcsolódó szereplők 2024-ben fokozták tevékenységüket. Ezek a műveletek kritikus infrastruktúrákat céloztak meg, és a generatív mesterséges intelligenciát használták fel arra, hogy befolyásolási kampányokat folytassanak a kulcsfontosságú választások során. A kínai Volt Typhoon csoport beszivrágott az USA kritikus infrastruktúrájában, ami aggodalmat keltett a stratégiai szempontból időzített kibertámadások lehetőségével kapcsolatban. Eközben Oroszország és Irán generatív mesterséges intelligenciát használt arra, hogy felgyorsítsa a közvélemény befolyásolására és a demokráciák destabilizálására irányuló nem hiteles tartalmak létrehozását és terjesztését világszerte.
Taktikák és technikák a védelem kijátszására.
A kiberszereplők egyre inkább fejlett taktikákat alkalmaztak a felderítés elkerülésére. A macOS és Linux rendszereket célzó rosszindulatú szoftverek száma megugrott, ami tükrözi az említett két platform növekvő használatát vállalati környezetben. Az olyan eszközök, mint a RustDoor és az AMOS, a platformok közötti funkcionalitást használták ki kifinomult hasznos terhek célba juttatására, míg a ransomware csoportok olyan kritikus hypervisorokat céloztak meg, mint a VMware ESXi. Egyre elterjedtebbé váltak a védelmi kijátszási technikák, például a reflektív kódbetöltés és a távfelügyeleti eszközökkel való visszaélés. Ezek a módszerek lehetővé tették a támadók számára, hogy megkerüljék az EDR megoldásokat.
