Малий бізнес побоюється кіберзагроз через зростання ризиків програм-вимагачів

Близько 60% малих та середніх підприємств побоюються кіберзагроз, і лише 23% відчувають себе готовими до атак з використанням програм-вимагачів, повідомляє Коаліція.

Атаки з використанням програм-вимагачів продовжують становити екзистенційну загрозу для організацій, особливо для МСБ, причому проблеми кібербезпеки є головною загрозою для 60% власників МСБ, тоді як лише 23% відчувають себе добре підготовленими, згідно з Індексом кіберзагроз 2025, підготовленим Coalition's Cyber Threat Index.

У звіті, який дає уявлення про ландшафт програм-вимагачів на основі даних цифрової криміналістики, сканування в Інтернеті та заяв про кіберстрахування, зазначається, що перші два місяці 2024 року підкреслили масштабність виклику кібербезпеці.

Серія вразливостей "нульового дня" в пристроях Ivanti дозволила як фінансово мотивованим злочинцям, так і представникам національних держав експлуатувати підприємства різних галузей. Дослідники, які першими виявили ці вразливості, повідомили, що жертвами стали "від малих підприємств до найбільших організацій світу".

Через кілька тижнів атака вірусу-здирника на компанію Change Healthcare, яка обробляє платежі та медичну інформацію, поставила під загрозу роботу тисяч медичних організацій усіх розмірів. Широкомасштабна подія змусила материнську компанію Change Healthcare видати 2 мільярди доларів авансових платежів і спричинила слухання в Конгресі.

Масштаб проблеми

Звіт Коаліції показує, що більшість вимог про викуп починаються з того, що зловмисники компрометують пристрої захисту периметра (58%) або програмне забезпечення для віддаленого робочого столу (18%). Ці пристрої захисту периметра включають продукти таких виробників, як Fortinet, Cisco, SonicWall і Palo Alto Networks, які зазвичай пропонують як VPN, так і функції брандмауера.

Програмне забезпечення для віддаленого робочого столу було другою найбільш часто використовуваною технологією. Згідно зі звітом, протокол віддаленого робочого столу (RDP), розроблений і підтримуваний компанією Microsoft, був скомпрометований у майже 80% інцидентів цієї категорії.

У звіті зазначається, що найпоширенішими векторами початкового доступу були викрадені облікові дані (47%) та програмні експлойти (29%). Скомпрометовані облікові дані, як правило, були спрямовані на RDP і VPN, які надають зловмисникам привілейований доступ до внутрішніх систем і мереж. У трохи менше половини (42%) з цих інцидентів дослідники спостерігали підбір паролів методом грубого перебору.

Програмні експлойти зазвичай використовують переваги вразливої системи, варіюючись за складністю від простих команд, які експлуатують одну вразливість, до просунутого шпигунського програмного забезпечення, яке об'єднує кілька вразливостей, повідомляє Коаліція. Соціальна інженерія була третім найпоширенішим вектором початкового доступу, який зазвичай включає в себе електронну пошту для спілкування з жертвами.

Відкриті інтерфейси входу в систему

Коаліція виявила понад 5 мільйонів доступних в Інтернеті рішень для віддаленого управління та десятки тисяч доступних в Інтернеті панелей входу в систему. Понад 65% компаній мали щонайменше одну веб-панель входу в систему, доступну в Інтернеті, на момент подання заявки на кіберстрахування. Ці панелі були виявлені за допомогою системи штучного інтелекту, створеної Коаліцією, яка навчена визначати візуальні шаблони веб-панелей входу в систему.

Виявлені панелі охоплюють електронну пошту, VPN, фінанси, людські ресурси тощо, йдеться у звіті. Щонайменше п'ять веб-панелей було виявлено у 15% з них, а у семи компаній було виявлено щонайменше 100 вразливих веб-панелей для входу, зазначається у звіті.

Вибух вразливостей у програмному забезпеченні

За даними Коаліції, у 2024 році було опубліковано трохи більше 40 000 вразливостей у програмному забезпеченні, що на 38% більше, ніж у 2023 році. Щомісяця зловмисники мали змогу обирати з понад 3 000 нових вразливостей, що пояснює, чому програмні експлойти були другим за частотою вектором початкового доступу в заявах Коаліції про вимагання.

Різкий сплеск вразливостей у квітні та травні – лише у травні було опубліковано понад 5 000 вразливостей – збігся зі збоєм у системі класифікації. Більшість вразливостей були класифіковані як "невідома ступінь серйозності", а не як низька, середня, висока чи критична.

Звіт рекомендує організаціям здійснювати моніторинг поверхні атаки для виявлення вразливих панелей входу та сервісів, виправляти вразливості "нульового дня" в технологіях, що працюють з інтернетом, та навчати співробітників про поширені тактики соціальної інженерії. Впровадження цілодобового моніторингу систем і мереж з процедурами швидкого реагування також має вирішальне значення.

Повний звіт можна переглянути тут.