על פי דו"ח חדש של Sophos – למעלה משלושה רבעים ממתקפות הסייבר השפיעו על עסקים קטנים בשנת 2023, כאשר ההשפעה של מתקפות כופרה הייתה הגדולה ביותר על עסקים קטנים. קבוצת LockBit הידועה לשמצה גרמה למספר הגבוה ביותר של מתקפות כופרה על עסקים קטנים (27.59%) שטופלו על ידי Sophos Incident Response בשנה שעברה. מתקפות הכופרה של LockBit היו גבוהות במידה ניכרת מבין קבוצות הסייבר: Akira (15.52%), BlackCat (13.79%) ו- Play (10.34%). הדו"ח מציין ומדגיש גם טקטיקות מתפתחות בהן השתמשו מפעילי כופרות, לרבות עלייה בשימוש בהצפנה מרחוק – לפיה ממנפים פושעי הסייבר מערכת מחשוב שנפרצה ברשתות של ארגונים, כדי לנסות להצפין קבצים במערכות מחשוב אחרות באמצעות גישה לקבצי רשת. בנוסף, בונים מפעילי כופרה נוזקות ייעודיות למיקוד מתקפות נגד מערכות הפעלה macOS ו- Linux. חוקרי Sophos צפו בפלטפורמות חומרה מרובות בגרסאות כופרת LockBit המיועדת ל- macOS במעבד של אפל עצמה ו- Linux.
המחקר מצא כי למעלה מ- 90% ממתקפות הסייבר שדווחו על ידי לקוחות Sophos כללו גניבת מידע אישי או גניבת אישורי גישה (שמות משתמשים וסיסמאות), באמצעות נוזקות כגון כופרה ונוזקות גניבת מידע. כמעט מחצית (43.26%) מכל הנוזקות המכוונות לעסקים קטנים ובינוניים (SMBs) בשנה שעברה התמקדו בגניבת נתונים. הנוזקות היו מורכבות בעיקר מגנבי סיסמאות, מקליטי מקלדת ותוכנות ריגול אחרות. הנוזקות הבולטות ביותר שזוהו ברחבי הטלמטריה של Sophos בשנה שעברה היו RedLine (8.71%), Raccoon Stealer (8.52%), Grandoreiro (8.17%) ו- Discord Token Stealer (8.12%). הדו"ח ציין כי לאישורי גישה גנובים יש ערך עצום עבור פושעי סייבר: מתקפות המשך של הנדסה חברתית, כגון פגיעה במייל עסקי (BEC); גישה לשירותי צד שלישי, כגון מערכות פיננסיות מבוססות ענן; גישה למשאבים פנימיים שניתן לנצל לצורך הונאה או רווח כספי אחר; מכירה על ידי מתווכים בפורומים מחתרתיים.
החוקרים גם הבחינו בשנת 2023 בעלייה בנוזקות גניבת מידע המתמקדות ב- macOS, מגמה הצפויה להימשך גם השנה. נוזקות אלו מסוגלות לאסוף נתוני מערכת, נתוני דפדפן וארנקי קריפטו – וחלקם נמכרים בפורומים מחתרתיים ובערוצי טלגרם במחיר של עד 3000 דולר. כריסטופר באד – מנהל מחקר Sophos X-Ops ב- Sophos, הגיב: "הערך של 'מידע' כמטבע, עלה באופן אקספוננציאלי בקרב פושעי סייבר וזה נכון במיוחד עבור עסקים קטנים ובינוניים הנוטים להשתמש בשירות או יישום תוכנה אחד".
מתקפות הנדסה חברתית מתפתחות במהירות – הדו"ח הדגיש עלייה במספר מפעילי נוזקות כשירות (MaaS) המשתמשות בפרסום זדוני ברשת ובהרעלת אופטימיזציה למנועי חיפוש (SEO) כדי לפגוע בקורבנות. הרעלת SEO הינה מצב בו רוכשים פושעי סייבר שירותים לגיטימיים כדי להגביר את הבולטות של אתרי האינטרנט שלהם במנועי החיפוש ולגרום להם להיראות אותנטיים. לדוגמא – קבוצה המשתמשת בנוזקה שכונתה Nitrogen מינפה פרסומות של גוגל ובינג הקשורות למילות מפתח ספציפיות כדי לפתות יעדים להוריד נוזקה מאתר מזויף, תוך שימוש בזהות המותג הלגיטימית של מפתח התוכנה.
חברת Sophos טוענת כי מתקפות פגיעה במייל עסקי – BEC זוהו על ידי צוות התגובה שלה לאירועים לעתים קרובות יותר מכל וקטור אחר, למעט מתקפות כופרה. הדו"ח מצא שתוקפי BEC הפכו להרבה יותר יצירתיים, מעבר להתחזות לעובד ולבקש מעובד אחר לשלוח כרטיסי מתנה. פושעי הסייבר היעילים ביותר של BEC נוטים יותר לפתוח תחילה בשיחה, לפני שליחת קישורים וקבצים מצורפים זדוניים לאחר קבלת תשובה מהקורבן. כמו כן נצפו פושעי סייבר כשהם מתנסים במגוון שיטות כדי להימנע מכלי זיהוי אבטחת דוא"ל, כולל החלפת כל תוכן טקסט זדוני בהודעות שלהם בתמונות מוטבעות ושימוש בקודי QR או תמונות שנראות כחשבוניות. פושעי סייבר עברו באופן כמעט בלעדי לקבצי PDF מצורפים בשנה שעברה, כך עולה מהדוח. קבצי PDF אלו מקשרים בעיקר לסקריפטים או לאתרים זדוניים ולפעמים כוללים קודי QR מוטמעים בקובץ.
