על פי דוח איומי הסייבר של Red Canary לשנת 2024 גדל איום הסייבר על חשבונות ענן פי 16 בשנת 2023, כאשר פושעי סייבר אימצו טכניקות חדשות בסביבות אלו. חוקרי סייבר גילו שטכניקת MITER ATT&CK לפריצה לחשבונות חשבון ענן הייתה הטכניקה הרביעית הנפוצה ביותר בה השתמשו פושעי סייבר ב- 2023. MITER ATT&CK הינו בסיס ידע גלובלי של טקטיקות וטכניקות המשמש כבסיס לפיתוח מודלים ומתודולוגיות איומי סייבר ספציפיים במגזר הפרטי, בממשלה ובקהילת המוצרים והשירותים בתחום אבטחת הסייבר. מתקפות אלו השפיעו על פי שלושה ארגונים ב- 2023 בהשוואה ל- 2022, ככל שיותר מערכות מחשוב ומידע עוברים לענן. הדו"ח גם ציין כי פושעי סייבר מתנהגים אחרת בענן בהשוואה למערכות מחשוב אחרות: הם בדרך כלל גונבים אסימונים (Tokens) לטווח קצר כדי להשיג גישה לממשקי API ולהשתמש בהם לצורך הסלמת הרשאות. יש לציין כי קשה לזהות את הפעילות הזדונית הזו מכיוון שמשתמשים מורשים עושים שימוש באותם אסימונים וממשקי API. ברגע שיש ברשותם גישה לגיטימית לחשבון, מבצעים פושעי הסייבר סיור שיטתי כדי לחקור נקודות גישה זמינות. גם דו"ח של Palo Alto Networks מספטמבר 2023 מצא כי 80% מפרצות האבטחה שנצפו בארגונים בכל המגזרים מגיעים מסביבת ענן.
הדוח מציין כי במתקפות דיוג הופעלו מגוון טכניקות אשר נועדו לעקוף תכונות אבטחת דוא"ל כדי להדביק קורבנות בכופרה ובנוזקות אחרות. דוגמאות בולטות: שימוש בארכיונים דחוסים (ZIP, RAR) ובקבצי ISO, VHD כדי למנוע הגבלות Mark-of the-Web (MOTW); שימוש לרעה בקבצי OneNote כדי לספק נוזקות כמו Qbot בתחילת 2023. במאי 2023 עודכנה OneNote כדי לחסום קבצים מצורפים כברירת מחדל; השימוש בקבצי MSIX כדי לספק נוזקות. קבצים אלו משמשים לעתים קרובות מפתחים כדי לספק יישומי Windows בתוך ארגונים.
טכניקות נוספות המצוינות בדוח כוללות Quishing: השימוש בקודי QR בניסיונות דיוג; הרעלת SEO: פושעי סייבר המשתמשים בטכניקות SEO כגון הצבת מילות מפתח אסטרטגיות בגוף או בכותרת של דף אינטרנט כדי להפוך את האתרים הזדוניים שלהם לבולטים יותר בתוצאות חיפוש בגוגל ובמנועי חיפוש לגיטימיים אחרים; Malvertising: רכישת מודעות מזויפות בדפי מנועי חיפוש המתחזות לאתרים לגיטימיים.
מגמה בולטת נוספת שהודגשה בדוח הייתה עלייה של 600% בפושעי סייבר שמשתמשים בכללי העברת דוא"ל כדי להסתיר את הפעילות שלהם, כאשר הם פגעו בהצלחה בחשבונות הדוא"ל של המשתמשים. העברת הודעות דוא"ל לחשבון חיצוני משמשת להסתרת הודעות דוא"ל זדוניות הנשלחות מאותו חשבון. הודעות הנשלחות מחשבונות אלו כוללות שליחת מיילים למחלקות הכספים הפנימיות בבקשה לשנות את פרטי השכר או לשלוח העברה בנקאית. כמו כן, יכולה טקטיקה זו לאפשר לפושעי הסייבר להמשיך לקבל מידע רגיש לאחר איבוד הגישה לחשבון.
קית' מק'קמון – קצין האבטחה הראשי ב- Red Canary, אמר שהדו"ח מדגים שפושעי הסייבר מכוונים בעיקר לזהויות כדי לתקוף ארגונים: "כדי לגשת לחשבונות ענן וליישומי SaaS, חייבים פושעי הסייבר לגנוב צורה כלשהי של זהות או אישור וכזה שהוא בעל פריבילגיה גבוהה, יכול להעניק לפושעי הסייבר גישה לחשבונות יקרי ערך. Red Canary מתארים את הטכניקות, הכלים והנהלים הנפוצים ביותר לאורך שלבי 'טרום כופרה': גישה ראשונית – מספר מתקפות כופרה בשנה שעברה החלו כאשר ניצלו פושעי סייבר נקודות תורפה במכשירים הפונים לאינטרנט כגון Confluence או Veritas. החוקרים ציינו שלעיתים קרובות אין פיקוח על מכשירים אלו, כאשר החדירה מתגלה רק כאשר זזים פושעי הסייבר מהמכשיר הראשוני. מתקפות כופרה אחרות החלו באמצעות נוזקות נפוצות כמו SocGholish ו- Qbot; תנועה לרוחב – פושעי סייבר משתמשים בדרך כלל בחשבונות שנפגעו המתקבלים ממתקפות השלכת אישורים; סיור – פושעי סייבר נצפו לעתים קרובות עורכים סיור במערכות מחשוב של קורבנות פוטנציאליים וחשוב להבין כי המערכת האקולוגית של כופרה כשירות (RaaS) מציבה קשיים בזיהוי פושעי הסייבר.
