Η IBM δημοσίευσε την έκθεση 2024 X-Force Threat Intelligence Index αναδεικνύοντας μια αναδυόμενη παγκόσμια κρίση, καθώς οι παραβάτες του κυβερνοχώρου διπλασιάζουν τη δράση τους εκμεταλλευόμενοι τους λογαριασμούς των χρηστών με σκοπό να προσβάλουν τις επιχειρήσεις παγκοσμίως. Σύμφωνα με την IBM X-Force, τμήμα των επιθετικών και αμυντικών υπηρεσιών κυβερνοασφάλειας του τομέα IBM Consulting, το 2023 οι παραβάτες του κυβερνοχώρου είχαν περισσότερες ευκαιρίες να “συνδεθούν” μέσω έγκυρων λογαριασμών παρά να παραβιάσουν εταιρικά δίκτυα – καθιστώντας αυτή την τακτική ως την προτιμώμενη επιλογή των κακόβουλων παραγόντων.
Η έκθεση X-Force Threat Intelligence Index βασίζεται σε συμπεράσματα και παρατηρήσεις από την παρακολούθηση περισσότερων από 150 δισεκατομμυρίων συμβάντων ασφαλείας την ημέρα σε περισσότερες από 130 χώρες. Επιπλέον, τα δεδομένα συλλέγονται και αναλύονται από διάφορες πηγές εντός της IBM, συμπεριλαμβανομένων των IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services, καθώς και των δεδομένων που παρέχονται από τις υπηρεσίες Red Hat Insights και Intezer, οι οποίες συνέβαλαν στην έκθεση του 2024.
Μερικά από τα σημαντικότερα ευρήματα στην Ευρώπη και στην Ελλάδα περιλαμβάνουν:
- Σχεδόν μία στις τρεις επιθέσεις που παρατηρήθηκαν παγκοσμίως είχε στόχο την Ευρώπη, αριθμός ρεκόρ για επιθέσεις σε γεωγραφική περιοχή, για τα δεδομένα της ομάδας X-Force.
- Οι πλέον στοχοποιημένες χώρες περιλαμβάνουν το Ηνωμένο Βασίλειο (27%), τη Γερμανία (15%), τη Δανία (14%), την Πορτογαλία (11%), την Ιταλία (8%) και τη Γαλλία (8%).
- H ομάδα X-Force ανταποκρίθηκε σε διάφορες επιθέσεις σε ελληνικούς οργανισμούς, που συχνά περιλάμβαναν διαφορετικούς τύπους παραλλαγών ransomware. Σε συμβάντα που ανέλαβε η X-Force παρατηρήθηκε επίσης επίθεση τύπου BEC (Business Email Compromise). Αξιοσημείωτη δραστηριότητα στον κυβερνοχώρο παρουσίασαν οι τομείς των χρηματοπιστωτικών υπηρεσιών, των μεταφορών και της ενέργειας.
- Σε ολόκληρη την Ευρώπη, η X-Force παρατήρησε αύξηση 66% σε ετήσια βάση σε ότι αφορά επιθέσεις που προκλήθηκαν από τη χρήση έγκυρων λογαριασμών.
- Τα πλέον τρωτά σημεία εισόδου για τους ευρωπαϊκούς οργανισμούς ήταν οι λογαριασμοί χρηστών και τα μηνύματα ηλεκτρονικού ταχυδρομείου – με την παραβίαση έγκυρων λογαριασμών (30%) και το phishing – το ηλεκτρονικό ψάρεμα – (30%) να αποτελούν τους συχνότερους τρόπους επιθέσεων σε αυτή τη γεωγραφική περιοχή.
- Στην Ευρώπη, το κακόβουλο λογισμικό ήταν η πρακτική που παρατηρήθηκε περισσότερο, αντιπροσωπεύοντας το 44% των περιστατικών, ενώ η ίδια περιοχή δέχθηκε τις περισσότερες επιθέσεις ransomware παγκοσμίως (26%).
- Οι τρεις σημαντικότερες επιπτώσεις για τους οργανισμούς με έδρα την Ευρώπη ήταν η κλοπή λογαριασμών σε ποσοστό 28%, η εκβίαση σε ποσοστό 24% και η διαρροή δεδομένων σε ποσοστό 16%.
- Σε επίπεδο κλάδου, ο βιομηχανικός κλάδος μετακινήθηκε από τη δεύτερη θέση το 2022 στον κλάδο με τις περισσότερες επιθέσεις, αντιπροσωπεύοντας το 28% των συμβάντων.
- Οι επαγγελματικές, επιχειρηματικές και καταναλωτικές υπηρεσίες κατέλαβαν τη δεύτερη θέση αντιπροσωπεύοντας το 25% των περιστατικών ενώ ακολουθούν οι χρηματοοικονομικές και οι ασφαλιστικές υπηρεσίες καθώς και η ενέργεια με ποσοστό 16% και 14%, αντίστοιχα.
- Η Ευρώπη συνολικά αντιμετώπισε το υψηλότερο ποσοστό περιστατικών στον τομέα της ενέργειας με ποσοστό 43%, καθώς και στον χρηματοοικονομικό και ασφαλιστικό τομέα με 37%.
«Καθώς οι «βασικές αρχές ασφαλείας» δεν προκαλούν τόση αίσθηση όσο οι επιθέσεις που σχεδιάζονται με τη χρήση της τεχνητής νοημοσύνης, αυτό που καταλήγει να είναι το μεγαλύτερο πρόβλημα ασφάλειας των επιχειρήσεων είναι οι βασικές και γνωστές πρακτικές – και όχι οι νέες και άγνωστες», δήλωσε ο Charles Henderson, Global Managing Partner, IBM Consulting, και Επικεφαλής της IBM X-Force. «Οι λογαριασμοί των χρηστών χρησιμοποιούνται διαρκώς στις επιθέσεις κατά των επιχειρήσεων, ζήτημα που θα επιδεινώνεται καθώς οι παραβάτες επενδύουν στην τεχνητή νοημοσύνη για να βελτιστοποιήσουν την τακτική τους».
Ο Νίκος Μανιάτης, Γενικός Διευθυντής της ΙΒΜ Ελλάδας και Κύπρου σημείωσε: «Η Ελλάδα δεν αποτέλεσε εξαίρεση σε ότι αφορά τις χώρες που δέχτηκαν κυβερνοεπιθέσεις σε διάφορους κλάδους της αγοράς, κατά το προηγούμενο έτος. Η πραγματικότητα αυτή επιτάσσει την ανάγκη για την ανάληψη άμεσων πρωτοβουλιών σε εθνικό επίπεδο, αξιοποιώντας επαρκώς τις κατάλληλες αναδυόμενες τεχνολογίες αλλά και τις δεξιότητες υψηλών προδιαγραφών που διαθέτει το ανθρώπινο δυναμικό της χώρας, με στόχο τη βελτίωση της ετοιμότητάς μας και την ενίσχυση της άμυνάς μας έναντι των εξελισσόμενων απειλών στον κυβερνοχώρο.»
Μια Παγκόσμια Κρίση Λογαριασμών Έτοιμη να Επιδεινωθεί
Η εκμετάλλευση έγκυρων λογαριασμών είναι το μονοπάτι με τη μικρότερη αντίσταση που ακολουθούν οι παραβάτες του κυβερνοχώρου, με δισεκατομμύρια κλεμμένους λογαριασμούς προσβάσιμους σήμερα στο σκοτεινό διαδίκτυο (Dark Web). Το 2023, η X-Force παρατήρησε ότι οι παραβάτες επενδύουν ολοένα και περισσότερο σε δράσεις σχετικές με την παραβίαση των λογαριασμών των χρηστών – με αύξηση 266% στο κακόβουλο λογισμικό infostealing, σχεδιασμένο για την κλοπή προσωπικών πληροφοριών, όπως emails, λογαριασμών κοινωνικών μέσων και εφαρμογών ανταλλαγής μηνυμάτων, τραπεζικών στοιχείων, δεδομένων πορτοφολιού κρυπτονομισμάτων και άλλα.
Αυτή η “εύκολη είσοδος” για τους παραβάτες είναι δυσκολότερο να εντοπιστεί, οδηγώντας σε δαπανηρή αντιμετώπιση από τις επιχειρήσεις. Σύμφωνα με την X-Force, τα σημαντικότερα περιστατικά που προκλήθηκαν από τους επιτιθέμενους με η χρήση έγκυρων λογαριασμών αντιμετωπίσθηκαν από τις ομάδες ασφαλείας με μέτρα αντιμετώπισης πιο σύνθετα σε ποσοστό σχεδόν 200% σε σχέση με το μέσο περιστατικό – με τους οργανισμούς να πρέπει να διακρίνουν μεταξύ νόμιμης και κακόβουλης δραστηριότητας χρηστών στο δίκτυο. Πράγματι, σύμφωνα με την έκθεση του 2023 της IBM με τίτλο, Cost of a Data Breach Report, διαπιστώθηκε ότι οι παραβιάσεις που προκλήθηκαν από κλεμμένα ή παραβιασμένα στοιχεία απαιτούσαν περίπου 11 μήνες για τον εντοπισμό και την αντιμετώπισή τους – πράγμα που συνιστά τον μεγαλύτερο κύκλο απόκρισης σε σχέση με οποιονδήποτε άλλο φορέα μόλυνσης.
Αυτή η ευρεία πρόσβαση στις διαδικτυακές δραστηριότητες των χρηστών ήταν ο βασικός λόγος της απόσυρσης από το FBI και τις Ευρωπαϊκές Αρχές επιβολής του νόμου, ενός παγκόσμιου φόρουμ για το έγκλημα στον κυβερνοχώρο τον Απρίλιο του 2023, όπου λάμβανε χώρα συλλογή στοιχειών πρόσβασης περισσότερων από 80 εκατομμυρίων λογαριασμών χρηστών. Οι απειλές που εστιάζουν στους λογαριασμούς χρηστών πιθανότατα θα συνεχίσουν να αυξάνονται, καθώς οι παραβάτες αξιοποιούν το generative AI για να βελτιστοποιήσουν τις επιθέσεις τους. Ήδη το 2023, η X-Force εντόπισε πάνω από 800.000 αναρτήσεις σχετικές με το AI και το GPT σε φόρουμ του Dark Web, επιβεβαιώνοντας το ότι αυτές οι νέες πρακτικές έχουν τραβήξει την προσοχή και το ενδιαφέρον των παραβατών του κυβερνοχώρου.
Τα σημαντικότερα συμπεράσματα της μεγάλης έκθεσης περιλαμβάνουν:
Οι επιθέσεις σε κρίσιμες υποδομές αποκαλύπτουν τα “λάθη” του κλάδου. Σχεδόν στο 85% των επιθέσεων σε κρίσιμους τομείς, η παραβίαση θα μπορούσε να είχε αποτραπεί με κάλυψη κενών (ασφάλειας), με έλεγχο ταυτότητας πολλαπλών παραγόντων, ή με απόδοση λιγότερων προνομίων – γεγονός που δείχνει ότι αυτό που η βιομηχανία της ασφάλειας περιέγραψε αρχικά ως “βασική ασφάλεια” μπορεί να είναι πιο δύσκολο να επιτευχθεί από ό,τι φαίνεται.
- Παγκοσμίως, σχεδόν το 70% των επιθέσεων στις οποίες ανταποκρίθηκε η X-Force ήταν σε οργανισμούς κρίσιμων υποδομών, ένα ανησυχητικό εύρημα που υποδηλώνει ότι οι παραβάτες του κυβερνοχώρου ποντάρουν στην ανάγκη διαθεσιμότητας αυτών των σημαντικών στόχων προκειμένου να προωθήσουν τα σχέδιά τους.
- Σχεδόν το 85% των επιθέσεων στις οποίες ανταποκρίθηκε η X-Force σε αυτόν τον κλάδο προκλήθηκαν από την εκμετάλλευση εφαρμογών που απευθύνονται στο κοινό, από παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου (phishing) και από τη χρήση έγκυρων λογαριασμών. Το τελευταίο θέτει τον κλάδο σε αυξημένο κίνδυνο, με την DHS CISA να αναφέρει ότι η πλειοψηφία των επιτυχημένων επιθέσεων σε κυβερνητικές υπηρεσίες, κρίσιμες υποδομές και κρατικούς φορείς το 2022 αφορούσε τη χρήση έγκυρων λογαριασμών. Αυτό υπογραμμίζει την ανάγκη οι εν λόγω οργανισμοί να πραγματοποιούν συχνά stress test στα περιβάλλοντά τους για πιθανή έκθεση και να αναπτύσσουν ενέργειες για την αντιμετώπιση περιστατικών (incident response plans).
Οι ομάδες Ransomware στρέφονται προς ένα πιο απλό επιχειρηματικό μοντέλο. Οι επιθέσεις Ransomware σε επιχειρήσεις σημείωσαν πτώση σχεδόν 12% πέρυσι, καθώς μεγάλοι οργανισμοί επιλέγουν να μην πληρώσουν και να μην αποκρυπτογραφήσουν, αλλά να ανακατασκευάσουν τις υποδομές τους. Με την στάση αυτή να υιοθετείται όλο και περισσότερο και να επηρεάζει πιθανότατα τις προσδοκίες των παραβατών του κυβερνοχώρου για έσοδα από εκβιασμούς που βασίζονται στην κρυπτογράφηση, παρατηρήθηκε ότι ομάδες που προηγουμένως ειδικεύονταν στο ransomware στρέφονται πλέον σε infostealers.
Απόδοση της Επένδυσης από τις επιθέσεις στo Generative AI δεν υπάρχει – ακόμα. Η ανάλυση της X-Force προβλέπει ότι όταν μια μοναδική τεχνολογία Generative AI πλησιάσει το 50% του μεριδίου αγοράς ή όταν η αγορά συγκεντρωθεί σε τρεις ή λιγότερες τεχνολογίες, θα μπορούσε η τεχνητή νοημοσύνη να καταστεί περιοχή επίθεσης, κινητοποιώντας τους παραβάτες του κυβερνοχώρου σε περαιτέρω επενδύσεις σε νέα εργαλεία.
- Για να μπορέσουν οι παραβάτες του κυβερνοχώρου να έχουν απόδοση της επένδυσης από τις δραστηριότητές τους, οι τεχνολογίες που στοχεύουν πρέπει να υπάρχουν παντού στους περισσότερους οργανισμούς παγκοσμίως. Ακριβώς όπως οι προηγούμενοι τεχνολογικοί παράγοντες ευνόησαν τις δραστηριότητες των παραβατών του κυβερνοχώρου – όπως παρατηρήθηκε με το ransomware και την κυριαρχία των Windows Server στην αγορά, τις επιθέσεις τύπου BEC και την κυριαρχία του Microsoft 365 ή την αθόρυβη και κακόβουλη παραβίαση μιας συσκευής (cryptojacking) και την ενοποίηση της αγοράς Υποδομών ως Υπηρεσία (IaaS) – το ίδιο μοτίβο θα επεκταθεί πιθανότατα και στην τεχνητή νοημοσύνη.
- Παρόλο που το Generative AI βρίσκεται επί του παρόντος στο στάδιο της προ-μαζικής αγοράς, είναι υψίστης σημασίας να διασφαλίσουν οι επιχειρήσεις τα μοντέλα τεχνητής νοημοσύνης τους πριν οι παραβάτες του κυβερνοχώρου επεκτείνουν τη δραστηριότητά τους. Οι επιχειρήσεις θα πρέπει επίσης να αντιληφθούν ότι η υφιστάμενη υποκείμενη υποδομή τους αποτελεί πύλη εισόδου στα μοντέλα τεχνητής νοημοσύνης τους, η οποία δεν απαιτεί νέες τακτικές από τους παραβάτες για να στοχοποιηθεί – γεγονός που υπογραμμίζει την ανάγκη για μια ολιστική προσέγγιση της ασφάλειας στην εποχή του Generative AI, όπως περιγράφεται στο IBM Framework for Securing Generative AI.
Πού πήγαν όλα τα «δολώματα» (phish); Παρά το γεγονός ότι οι επιθέσεις ηλεκτρονικού ψαρέματος παρέμειναν κορυφαίοι παράγοντες μόλυνσης, ο όγκος τους μειώθηκε κατά 44% σε σχέση με το 2022. Όμως με την τεχνητή νοημοσύνη έτοιμη να βελτιστοποιήσει αυτή την επίθεση και με την έρευνα της X-Force να δείχνει ότι η τεχνητή νοημοσύνη μπορεί να επιταχύνει τις επιθέσεις κατά σχεδόν δύο ημέρες, αυτός ο παράγοντας μόλυνσης θα παραμείνει μια προτιμώμενη επιλογή για τους παραβάτες του κυβερνοχώρου.
Όλοι είναι ευάλωτοι – Η RedHat Insights διαπίστωσε ότι το 92% των πελατών έχουν τουλάχιστον ένα σημείο τρωτό σε επίθεση που δεν έχει αντιμετωπιστεί στο περιβάλλον τους κατά τη διαδικασία ελέγχου, ενώ το 80% των δέκα κορυφαίων ευπαθειών που εντοπίστηκαν σε όλα τα συστήματα το 2023 είχαν βαθμό κρισιμότητας “Υψηλή” ή “Κρίσιμη” στο Κοινό Σύστημα Αξιολόγησης Ευπαθειών (CVSS base).
Το «σπάσιμο» κωδικών (Kerberoasting) αποδίδει – Η X-Force παρατήρησε 100% αύξηση των επιθέσεων “kerberoasting”, κατά τις οποίες οι επιτιθέμενοι προσπαθούν να υποδυθούν χρήστες για να αυξήσουν τα προνόμιά τους κάνοντας κατάχρηση των ψηφιακών διαπιστευτηρίων του Microsoft Active Directory.
Εσφαλμένες ρυθμίσεις ασφαλείας – Οι δοκιμές διείσδυσης της X-Force Red δείχνουν ότι οι εσφαλμένες ρυθμίσεις ασφαλείας αντιπροσώπευαν το 30% των συνολικών παραβιάσεων που εντοπίστηκαν, παρατηρώντας περισσότερους από 140 τρόπους με τους οποίους οι παραβάτες μπορούν να εκμεταλλευτούν τις εσφαλμένες ρυθμίσεις.
Με βάση την έρευνα, η IBM X-Force προχώρησε στις ακόλουθες συστάσεις για τις επιχειρήσεις:
- Περιορισμός της έκτασης του περιστατικού – Οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο εφαρμογής λύσεων για τον περιορισμό της ζημιάς που θα μπορούσε δυνητικά να προκαλέσει ένα περιστατικό ασφάλειας δεδομένων, μειώνοντας την έκταση του περιστατικού – δηλαδή τον πιθανό αντίκτυπο ενός περιστατικού λόγω της παραβίασης συγκεκριμένων χρηστών, συσκευών ή δεδομένων. Αυτό θα μπορούσε να περιλαμβάνει την εφαρμογή ενός πλαισίου λιγότερων προνομίων, την τμηματοποίηση του δικτύου και μια δομή λογαριασμού που επεκτείνει τις σύγχρονες δυνατότητες ασφάλειας, ανίχνευσης και απόκρισης σε παρωχημένες εφαρμογές και συστήματα.
- Δοκιμάστε το περιβάλλον σας σε συνθήκες πίεσης και αποκτήστε σχέδιο αντιμετώπισης – Προσλάβετε χάκερς για να ελέγξουν το περιβάλλον σας σε συνθήκες πίεσης και να εντοπίσουν υπάρχουσες αδυναμίες που θα μπορούσαν να εκμεταλλευτούν οι παραβάτες του κυβερνοχώρου για να αποκτήσουν πρόσβαση στο δίκτυό σας και να πραγματοποιήσουν επιθέσεις. Επίσης, η δημιουργία εξατομικευμένων σχεδίων αντιμετώπισης περιστατικών για το περιβάλλον σας είναι το κλειδί για τη μείωση του χρόνου απόκρισης, αποκατάστασης και ανάκαμψης από μια επίθεση. Τα εν λόγω σχέδια θα πρέπει να δοκιμάζονται συχνά και να διαχέονται σε όλο το εύρος του οργανισμού, να περιλαμβάνουν όλα τα εμπλεκόμενα μέρη εκτός του τομέα της πληροφορικής και να δοκιμάζουν τις γραμμές επικοινωνίας μεταξύ των τεχνικών ομάδων και της ανώτερης ηγεσίας.
- Υιοθετήστε την τεχνητή νοημοσύνη με ασφάλεια – Οι οργανισμοί θα πρέπει να εστιάσουν στις ακόλουθες βασικές αρχές για να διασφαλίσουν την υιοθέτηση της τεχνητής νοημοσύνης: Διασφαλίστε τα υποκείμενα στοιχεία εκπαίδευσης και τα μοντέλα της τεχνητής νοημοσύνης, καθώς τη χρήση και την εξαγωγή συμπερασμάτων από αυτά. Είναι υψίστης σημασίας να διασφαλιστεί επίσης η ευρύτερη υποδομή που περιβάλλει τα μοντέλα. Η IBM εισήγαγε πρόσφατα ένα ολοκληρωμένο Πλαίσιο για τη Διασφάλιση του Generative AI με σκοπό να βοηθήσει τους οργανισμούς να ιεραρχήσουν τις άμυνές τους με τον βέλτιστο τρόπο με βάση τον υψηλότερο κίνδυνο και τον δυνητικό αντίκτυπο.