I Cisco Talos kvartalsrapport över aktuella trender inom cyberkriminalitet noteras flera trendbrott, både när det gäller metodik och måltavlor.
Rapporten Incident Response Trends släpps kvartalsvis av Ciscos organisation för cyberhotanalys, Cisco Talos, och bygger på kartläggning av cyberattacker som observerats av företaget.
I rapporten för tredje kvartalet, som släpptes denna vecka, att ransomware-relaterade angrepp återtagit förstaplatsen bland hot, efter en tillfällig minskning under våren. Minskningen tros ha berott på att flera framträdande cyberkriminella grupper som fokuserat på ransomware lagt ner sin verksamhet, både på eget bevåg och genom polisinsatser.
Under tredje kvartalet stod ransomware-attacker för 20 procent av de upptäckta brotten. Lika stor andel utgjordes av vad som beskrivs som “förberedelse för ransomware”, där angriparna använt samma metodologi och verktyg, men inte krypterat och kidnappat några data innan angreppet upptäckts. Fyra av tio angrepp är alltså relaterade till ransomware.
“Även om alla förberedande attacker omfattar unika beteenden och tillvägagångssätt finns det stora likheter mellan dem, exempelvis försök att få större åtkomst till system via identifierade svagheter och sårbarheter för att kunna ta sig längre in i systemet. I vissa fall där ransomware aldrig aktiverades var angriparen sannolikt i färd med att försöka komma över data när angreppet upptäcktes, vilket innebär att de hade tillräckligt stor tillgång för att göra påtaglig skada”, skriver Cisco Talos i rapporten.”
Bland de mest aktiva ransomware-varianterna nämns Vice Society, Hive och Black Basta.
De mest angripna branscherna är med stor mariginal utbildningssektorn, följt av bank- och finans, energi och kraftförsörjning, samt myndigheter. Detta innebär ett trendbrott, då telekombranschen under tidigare kvartal 2022 varit hårdast drabbat.
Hösten är generellt en populär tid på året för angrepp mot skoloväsendet, då studenter och lärare återvänder till skolan efter ledighet och nya årskullar börjar.
Rapporten granskar också svagheter och sårbarheter vid upptäckta angrepp. I 27 procent av de upptäckta angreppen var lösenords- och kontotillgång avaktiverat eller felkonfigurerat, och i 18 procent av fallen var flerfaktorsautentisering (MFA) begränsad till ett fåtal konton och tjänster, eller saknades helt.
