Атаки начинались буквально через часы после раскрытия новых уязвимостей. При этом 40% эксплуатируемых уязвимостей существовали не менее четырех лет, а некоторые восходили еще к 1990-м годам. Группы, занимающиеся программами-вымогателями, активно использовали почти 30% уязвимостей из списка KEV (Known Exploited Vulnerabilities), отслеживаемых GreyNoise, пишут в Securitylab.
Одной из самых активно эксплуатируемых уязвимостей 2024 года стала проблема в домашних интернет-роутерах. Она позволила создать масштабные ботнеты, используемые в кибератаках.
Среди наиболее часто атакуемых уязвимостей остаются и давно известные. Злоумышленники продолжают эксплуатировать публично раскрытые уязвимости, некоторые из которых были обнаружены еще в прошлом веке.
GreyNoise зафиксировала эксплуатацию ряда уязвимостей еще до их включения в каталог KEV Агентства по кибербезопасности и защите инфраструктуры США (CISA). Это подчеркивает важность оперативного реагирования и получения актуальной информации о киберугрозах.
28% уязвимостей из списка KEV, отслеживаемых GreyNoise, активно использовались группами, распространяющими программы-вымогатели, что делает массовую эксплуатацию уязвимостей ключевым инструментом в финансово мотивированных атаках.
В мае 2024 года было зафиксировано масштабное событие — более 12 000 уникальных IP-адресов участвовали в атаке, нацеленной на устройства на базе Android.
Злоумышленники не ограничиваются эксплуатацией новых уязвимостей. Многие из наиболее атакуемых проблем остаются известными уже много лет, что заставляет пересмотреть традиционные подходы к управлению исправлениями.
GreyNoise зафиксировала наиболее часто используемые уязвимости:
Эти уязвимости активно использовались на протяжении всего года в ходе кампаний по массовому сканированию интернета, для построения ботнетов и в атаках с применением программ-вымогателей.
Как отметил основатель GreyNoise Эндрю Моррис, злоумышленники все меньше заботятся о баллах CVSS или списках KEV — они просто сканируют интернет в поисках открытых целей.